软件系统/产品安全性测试
服务概述
依据国家标准,验证软件产品自身的安全功能(如身份认证、访问控制、安全审计、数据保护等)是否按设计要求正确实现;核查安全配置是否合理。
适用对象
- 项目验收单位:作为信息化系统建设项目或定制软件开发项目的验收依据,确保交付成果满足合同与标准规定的安全性要求
- 软件开发方/系统集成商(乙方):用于验证其软件产品的安全性能,满足合规要求,并作为产品质量证明的重要材料
- 需满足特定合规要求的企业:如医疗、电力等有合规要求的行业企业
测试依据
- GB/T 25000.51-2016《系统与软件工程 系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》
测试内容
1
保密性:确保数据只能被授权人员访问,防止信息泄露给未授权用户或实体。
2
完整性:保护程序和数据免受未授权的篡改、创建或删除,保证数据的准确和可靠。
3
抗抵赖性:确保操作者无法否认其行为,为事后责任认定提供证据。
4
可核查性:确保系统能唯一追溯用户活动,通常通过记录包含关键信息的审计日志实现。
5
真实性:验证用户、系统等实体的身份标识是真实有效的,防止身份伪造或冒用。
6
信息安全性依从性:验证产品在信息安全方面是否遵循了特定的国家标准、行业法规或内部约定。
交付成果
第三方系统/软件产品安全测试报告