ICS03.060 A11JR 中华人民共和国金融行业标准 JR/T0191—2020 证券期货业软件测试指南软件安全测试 Guideforsecuritiesandfuturesindustrysoftwaretest—Softwaresecuritytesting 2020-07-10发布 2020-07-10实施 中国证券监督管理委员会发布JR/T0191—2020 I目  次 前言.......................................................................................................................................................................II 1范围.....................................................................................................................................................................1 2规范性引用文件.................................................................................................................................................1 3术语和定义.........................................................................................................................................................1 4软件安全测试内容及流程.................................................................................................................................2 5软件安全测试技术.............................................................................................................................................3 6软件安全测试基本测试方法.............................................................................................................................7 7移动应用安全测试特定测试方法...................................................................................................................13 附录A（资料性附录）软件安全测试模板......................................................................................................16 A.1.软件安全测试方案.......................................................................................................................................16 A.2.软件安全测试用例.......................................................................................................................................17 A.3.软件安全测试报告.......................................................................................................................................17JR/T0191—2020 II前  言 本标准按照GB/T1.1—2009给出的规则起草。 本标准由全国金融标准化技术委员会证券分技术委员会（SAC/TC180/SC4）提出。 本标准由全国金融标准化技术委员会(SAT/TC180)归口。 本标准起草单位：中国证券监督管理委员会信息中心、大连商品交易所、证券期货业信息技术测试 中心（大连）、中证信息技术服务有限责任公司、上海证券交易所、深圳证券交易所、上海期货交易所、 中国金融期货交易所、国泰君安证券股份有限公司、恒生电子股份有限公司、北京梆梆安全科技有限公 司。 本标准主要起草人：姚前、刘铁斌、周云晖、许强、李向东、俞枫、刘军、孙瑞超、刘进、丁新杰、 董琳、肖昱、高心远、高锋远、李婷婷、沙明、谢冉、林林、陈冬严、杨硕、刘舒骐。JR/T0191—2020 1证券期货业软件测试指南软件安全测试 1范围 本标准给出了证券期货行业信息系统建设过程中的软件安全测试目标及流程、软件安全测试技术、 软件安全测试基本测试方法及移动应用安全测试特定测试方法。 本标准适用于指导证券期货行业市场核心机构（以下简称核心机构）、证券期货基金经营机构（以 下简称经营机构）以及证券期货信息技术服务机构（以下简称服务机构）实施证券期货业计算机软件和 外部信息系统的安全测试。 注1：核心机构，如证券期货交易所、证券登记结算机构、期货市场监控中心等； 注2：经营机构，如证券公司、期货公司、基金公司等； 注3：服务机构为软件开发商、信息商、服务商。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T20271-2006信息安全技术信息系统通用安全技术要求 GB/T25069-2010信息安全技术术语 JR/T0060-2010证券期货业信息系统安全等级保护基本要求（试行） JR/T0067-2011证券期货业信息系统安全等级保护测评要求（试行） JR/T0146-2016（所有部分）证券期货业信息系统审计指南 JR/T0175-2019证券期货业软件测试规范 3术语和定义 GB/T25069-2010界定的以及下列术语和定义适用于本文件。 3.1 软件安全测试softwaresecuritytesting 在信息系统软件产品的生命周期中，对软件产品进行检验，以验证软件产品符合安全需求和软件产 品质量标准的过程。 3.2 渗透测试penetrationtesting 以未经授权的动作绕过某一系统的安全机制的方式，检查数据处理系统的安全功能，以发现信息系 统安全问题的手段。 [GB/T25069-2010，定义2.3.87] 3.3 模糊测试fuzztesting 通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的技术。JR/T0191—2020 23.4 敏感信息sensitiveinformation 一旦遭到泄露或修改，会对标识的信息主体造成影响的信息。 注：证券期货行业敏感信息包括客户姓名、客户详细地址、客户联系电话、客户证件号码、客户开户行及账号、会 员交易情况、会员持仓数量、会员可用资金等。 3.5 移动互联网应用程序mobileinternetapplication 通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件。 4软件安全测试内容及流程 4.1测试内容 软件安全测试的内容包括： a)确定软件的安全特性实现与预期设计一致； b)检测软件中潜在的漏洞和风险； c)检验软件产品在受到恶意攻击的情形下，依然能够继续正确运行并确保软件被在授权范围内合 法使用的能力； 4.2测试流程 4.2.1系统分析 评估被测系统，分别从物理架构及逻辑架构的角度分析系统使用的组件、网络拓扑、系统配置与安 全防御措施等信息： a)物理架构：根据系统所使用的组件梳理得到物理架构，包括数据库、控制组件、前端库以及通 信协议等，进而了解系统的结构； b)逻辑架构：根据系统的业务逻辑梳理得到逻辑架构，进而了解系统内部的数据流。 4.2.2威胁分析 根据系统分析的结果，选择合适的威胁模型，分析系统面临的主要安全威胁。风险分析应符合GB/T 20271-2006。如常见的基于数据流的威胁分析模型STRIDE，它包含六个维度（假冒、篡改、否认、信息 泄露、拒绝服务和提升权限）的威胁，通常结合使用数据流关系图(DFD)来辅助STRIDE分析，将系统分 解成部件，并证明每个部件都不易受相关威胁攻击。 系统分析及威胁分析完成后，应产出安全测试方案，方案内容包括系统分析阶段的物理架构、逻辑 架构，以及威胁分析阶段的数据流关系图、制定的技术方案、实施方案等，报告格式可参照模板输出（参 见附