国标GB/T 25000.51-2016-信息安全性方法解读及重点分析

这篇具有很好参考价值的文章主要介绍了国标GB/T 25000.51-2016-信息安全性方法解读及重点分析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

在软件检测领域,GB/T 25000.51-2016 《系统与软件工程 系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》算得上是目前国内对就绪可用软件产品较多参照的软件检测标准,而其中对于软件的信息安全性也做了相关的要求,为测试工程师测试软件的安全性提供了指南。

标准原文:

GB/T 25000.51-2016 5.1.10 产品质量-信息安全性

适用时,产品说明应根据GB/T 25000.10-2016包含有关信息安全性的陈述,要考虑保密性、完整性、抗抵赖性、可核查性、真实性以及信息安全性的依从性,并以书面形式展示可验证的依从性依据。

国标GB/T 25000.51-2016-信息安全性方法解读及重点分析

GB/T 25000.51-2016软件检测标准的具体测试方法及要求是参照 GB/T 25000.10-2016《系统与软件工程 系统与软件质量要求和评价(SQuaRE)第10部分:系统与软件质量模型》这个标准,GB/T 25000.10-2016将软件的信息安全性主要分为四大类,它们分别是保密性、完整性、抗抵赖性、可核查性、真实性和信息安全的依从性,它们用于验证系统、产品保护信息和数据的程度,使用户、系统产品或系统具有与其授权类型和授权基本一致的数据访问度。

GB/T 25000.10-2016-信息安全性内容

类型

概述

保密性

未授权的人或系统不应得到相关信息

完整性

防止数据在传输和存储过程中被破坏或被篡改

抗抵赖性

活动或事件被记录,不可被篡改、删除

可核查性

可以覆盖多少安全事件,以及记录内容的丰富程度

真实性

对登录用户进行鉴别、不可冒用,有登录失败处理

依从性

软件是否遵循相关约定、法规

保密性

  1. 条款:产品或系统确保数据只有在被授权时才能被访问的程度。

  1. 解析:确保数据只有在被授权时才能被访问,须防止未得到授权的人或系统访问相关的信息或数据,还要保证得到授权的人或系统能够正常访问相关的信息或数据。为了保证数据在传输过程中不被窃听,须对通信过程中的整个报文或会话进行加密。例如在交易系统中,涉及到银行账号、交易明细、身份证号、手机号等敏感信息,须保证这些信息在传输过程中的安全性,可采用加密算法,如3DES、AES、IDEA等进行加密处理。同时,须保证敏感信息在存储过程的保密性。启用访问控制功能,依据安全策略和用户角色设置访问控制矩阵,控制用户对信息或数据的访问。用户权限应遵循“最小权限原则”,授予账户承担任务所需最小权限,例如管理员只有管理员权限,不具备业务操作权限;同时要求不同账号间形成相互制约关系,审计人员不应具有系统管理权限,管理人员也不应有审计权限,这样两个角色就形成了相互制约关系。

  1. 重点分析:测试工程师在检测软件程序保密性的过程中,应重点对软件系统如下几点进行检测:

a. 权限分配(垂直越权或水平越权);

b. 会话通信是否加密(https传输);

c. 加密算法是否合理(弱加密算法base64、md5);

d. 敏感信息是否存在泄露风险(用户信息、敏感数据)。

完整性

  1. 条款:产品、系统或组件防止未授权访问、篡改计算机程序或数据的程度。

  1. 解析:为了防止数据在传输和存储过程中被破坏或被篡改,一般采用增加校验位、循环冗余校验(CRC)的方式,检查数据完整性是否被破坏,或者采用各种散列运算和数字签名等方式实现通信过程中的数据完整性。采用关系型数据库保存数据,例如Oracle,增加数据完整性约束,如唯一键、可选值、外键等;实现事务的原子性,避免因为操作中断或回滚造成数据不一致,完整性被破坏。

  1. 重点分析:测试工程师在检测软件程序完整性的过程中,应重点对软件系统如下几点进行检测:

a. 系统软件在进行数据操作(增删改)时是否对数据格式进行了校验;

b. 检查数据库架构是否合理,数据库约束条件设置是否合理。

抗抵赖性

  1. 条款:活动或事件发生后可以被证实且不可被否认的程度。

  1. 解析:启用安全审计功能,对活动或事件进行追踪。对审计日志进行管理,日志不能被任何人修改或删除,形成完整的证据链。采用使用数字签名处理事务,在收到请求的情况下为数据原发者或接收者提供数据原发和接收证据。

  1. 重点分析:测试工程师在检测软件抗抵赖性的过程中,应重点对软件系统如下几点进行检测:

a. 软件系统后台是否具有日志记录机制,日志内容是否详细;

b. 系统会话处理机制是否有效(Cookie、Session、Token)。

可核查性

  1. 条款:实体的活动可以被唯一的追溯到该实体的程度。

  1. 解析:可核查性和抗抵赖性不同,重点在追溯实体的程度。主要考察启用安全审计功能后,覆盖用户的多少和安全事件的程度等。覆盖到每个用户活动,用户活动的日志记录内容至少应包括事件日期、事件、发起者信息、类型、描述和结束等;审计跟踪设置是否定义了审计跟踪极限的阈值,当存储空间被耗尽时,能否采取必要的保护措施。例如,报警并导出、丢弃未记录的审计信息、暂停审计或覆盖以前的审计记录等。

  1. 重点分析:测试工程师在检测软件可核查性的过程中,应重点对软件系统如下几点进行检测:

a. 软件日志内容记录是否详细,是否可溯源;

b. 软件日志覆盖内容是否齐全(大多数系统仅对ERROR错误进行记录);

c. 日志保存周期及备份方法是否合理。

真实性

  1. 条款:对象或资源的身份标识能够被证实符合其声明的程度。

  1. 解析:系统提供专用的登录模块对登录用户进行身份标识和鉴别,验证其身份的真实性,同时需证实符合其声明的程度;用户的身份鉴别信息不易被冒用,同时不存在重复的用户身份标识。系统中用户名唯一且与用户一一对应,采用用户名和口令方式对用户进行身份鉴别,提高用户口令开启复杂度,如口令长度8位以上,至少包含数字、大小写字母、特殊字符中的三种,强制定期更换口令;系统不存在共享账户。提供登录失败处理功能,采取如结束会话、限制非法登录次数和自动退出等措施。这些都是可以在用户文档集中进行要求。

  1. 重点分析:测试工程师在检测软件真实性的过程中,应重点对软件系统如下几点进行检测:

a. 软件系统是否具有身份鉴别机制(登录、退出、单点登录等);

b. 软件系统是否具有验证码机制,验证码复杂度是否合理,有无及验证机制等;

c. 软件系统对用户设置密码是否有要求,是否定期要求更换密码;

d. 软件系统针对Session会话中断、自动退出有无约束;

e. 软件系统是否拥有限制登录次数机制,防暴力破解。

依从性

  1. 条款:产品或系统遵循与信息安全性相关的标准、约定或法律法规以及类似规定的程度。

  1. 解析:产品说明是否提及产品信息安全性相关的标准、约定或法规要求,若提及并提供证明材料,则认可;否则,要验证软件与产品说明书提及的文件(需求文档)要求是否相符。

  1. 重点分析:测试工程师在检测软件信息安全依从性的过程中,应重点对软件系统如下几点进行检测:

a. 软件系统的需求说明书内有无对信息安全性相关要求(如系统无OWASP TOP 10 漏洞、渗透测试等);

b. 判断软件系统类型,是否为特殊行业软件(金融、测绘、电力等行业)、特殊行业软件开发内容一般会存在其行业的相关要求。

参考条款:

  1. GB/T 25000.51-2016 《系统与软件工程 系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》

  1. GB/T 25000.10-2016《系统与软件工程 系统与软件质量要求和评价(SQuaRE)第10部分:系统与软件质量模型》

  1. 《软件产品质量要求和测试细则-GB/T 25000.51-2016标准实施指南》文章来源地址https://www.toymoban.com/news/detail-483275.html

到了这里,关于国标GB/T 25000.51-2016-信息安全性方法解读及重点分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • GB28181国标协议

    GB28181主要解决: 不同平台之间的对接和互通问题 。 协议属于应用层的协议,是国内多家厂家联合制定的一套标准。 国标基于SIP(会话发起协议或会话初始化协议) 各厂家之间GB28181协议的差别: 1.查询录像的时间。 2.查询录像的返回结果时长。 监控领域业务: 1.获取设备

    2023年04月08日
    浏览(41)
  • WebSocket与Shiro认证信息传递的实现与安全性探讨

    在现代Web应用程序中,WebSocket已经成为实时双向通信的重要组件。而Shiro作为一个强大的Java安全框架,用于处理身份验证、授权和会话管理。本文将探讨如何通过WebSocket与Shiro集成,实现认证信息的传递,并关注在这一过程中确保安全性的关键考虑因素。 步骤概述 WebSocket连接

    2024年01月25日
    浏览(44)
  • 视频国标GB28181及一个相关平台的应用

    所谓国标GB28181,是我国制订的一项视频流接入协议。好处是,只要摄像头支持该项协议,那么无论是海康还是大华,或者别的什么摄像头,都能接入一个支持该协议的媒体平台,达到无缝集成、统一管理的目的。 对普通用户来说,假如拥有好几个厂商的摄像头,海康也、大

    2024年02月11日
    浏览(45)
  • 汽车摄像头匿名化处理解决方案,保护信息的安全性和隐私性

    随着智能交通和自动驾驶技术的迅猛发展,汽车摄像头已成为现代汽车不可或缺的一部分,摄像头所捕捉的图像信息也引发了日益严峻的信息安全问题。如何在充分利用摄像头功能的同时,保障个人隐私和信息安全,已成为企业亟待解决的问题。 美摄科技凭借深厚的技术积累

    2024年04月25日
    浏览(42)
  • 信息安全技术 网络安全漏洞分类分级指南(GB/T 30279-2020 )

    前  言 本标准按照GB/T 1.1—2009《标准化工作导则 第1部分:标准的结构和编写》给出的规则起草。 本标准代替GB/T 33561—2017《 信息安全技术 安全漏洞分类 》、GB/T 30279—2013《 信息安全技术 安全漏洞等级划分指南 》。 与GB/T 33561—2017、GB/T 30279—2013相比,除编辑性修改外的

    2024年02月13日
    浏览(43)
  • 国标GB28181视频融合监控汇聚云平台的方案及场景

    Liveweb国标视频融合云平台基于端-边-云一体化架构,部署轻量简单、功能灵活多样,平台可支持多协议(GB28181/RTSP/Onvif/海康SDK/Ehome/大华SDK/RTMP推流等)、多类型设备接入(IPC/NVR/监控平台),在视频能力上,可实现视频直播、录像、回放、检索、云存储、告警上报、语音对讲、

    2024年01月20日
    浏览(48)
  • 几款支持国标GB28181平台的视频监控设备接入方案

    GB/T28181-2011 《安全防范视频监控联网系统信息传输、交换、控制技术要求》是由公安部科技信息化局提出,由全国安全防范报警系统标准化技术委员会(SAC/TC100)归口,公安部一所等多家单位共同起草的一部国家标准。 ​该标准规定了城市监控报警联网系统中​​信息传输​​

    2023年04月25日
    浏览(48)
  • 国标GB28181协议客户端开发(一)整体流程和技术选型

    本系列文章将介绍国标GB28181协议设备端的开发过程。本文旨在探讨整体设计和技术选型方面的考虑,为开发人员提供指导和参考。文章将从设备端开发的整体架构、信令交互流程以及关键技术选型等方面展开讨论,帮助有需要的读者了解和把握GB28181协议设备端开发的要点,

    2024年02月08日
    浏览(42)
  • LiveNVR监控流媒体Onvif/RTSP功能-支持语音对讲支持非国标摄像头SDK语音对讲GB28181级联国标平台非国标转国标语音对讲

    可以访问摄像头自己的页面,看是否能够对讲。可以看摄像头的音频编码页面,看看音频输入有没有mic的 音频输入 。如下: 确认摄像头的视频类型,是否是复合流。 LiveNVR - 通道配置,添加配置通道,通过 SDK类型接入 。音频输出选择 原始音频 ,如下: 播放后,可以看到云

    2024年02月11日
    浏览(74)
  • 国标GB28181视频平台EasyGBS国标平台智能边缘计算网关关于小区电动车进电梯的应用方案设计

    一、行业背景 随着人工智能技术的不断成熟与落地,各行各业也逐渐融入AI智能检测技术,尤其是在视频监控领域,通过AI视频智能检测与分析,可以大大提高视频的自动化、智能化监控能力。比如在小区的管理中,由电动车上楼入户引发的电梯、楼道火灾、爆炸等安全事故

    2024年02月10日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包