ICS 29.240 Q/GDW 国家电网有限公司企业标准 Q/GDW 10942—2018 代替Q/GDW/Z1942-2013 应用软件系统安全性测试方法 The security testing methods for application software system 2019-07-26发布 2019-07-26实施 国家电网有限公司 发布 Q/GDW 10942—2017 目 次 前 言 范围 规范性引用文件 3术语和定义 4 测试环境， 2 5 安全测试方法 6 测试结论评价方法 附录A（资料性附录） 渗透测试方法示例 13 编制说明 17 1 Q/GDW 1942—2017 前 言 为规范国家电网有限公司应用软件系统的安全性，实现信息安全与软件系统同步规划、同步建设、 同步运行，落实Q/GDW1597一2015《国家电网公司应用软件系统通用安全要求》的要求，结合当前国内 外信息安全形势及国家电网公司对应用软件系统提出的安全要求，制定本标准 本标准代替Q/GDW/Z 21942—2013,与Q/GDW/Z1942—2013相比，主要技术性差异如下： 一一增加了第4章“测试环境”； 口的要求。 一一删除了原标准第4章“适用对象”； 删除了原标准第5章“测试要求及原则”； 删除了原标准第7章“附则”； 删除了“基本型应用软件”中关于资源控制、备份和恢复的内容； 删除了“增强型应用软件”中关于备份和恢复的内容； 修改了“范围”； 修改了“术语和定义”； 修改了“测试结论评价方法 一对“安全测试方法”中各条款的描述进行了修改和细化 本标准由国家电网有限公司信息通信部提出并解释 本标准由国家电网有限公司科技部归口。 本标准起草单位：中国电力科学研究院有限公司。 本标准主要起草人：王杰、张美娟、刘楠、李凌、陈艳红、朱朝阳、刘莹、孙炜、张丞、严敏辉、 张唐勇、佟雪松、宋小芹、郭旭、单松玲、方晓文、刘圣龙、赵莹、朱宏杰、郝战、陈刚、陈涛、魏桂 臣、马广鹏、吴哲翔、牛德玲、李楠芳、席泽生、宫鑫、张君艳、赵雷鸣。 本标准2014年5月首次发布，2017年1月第一次修订。 本标准在执行过程中的意见或建议反馈至国家电网有限公司科技部。 II Q/GDW109422017 应用软件系统安全性测试方法 1范围 本标准规定了国家电网有限公司管理信息大区的应用软件系统安全测试方法，不涉及安全保障要求 与源代码安全检测方法，是Q/GDW1597一2015《国家电网公司应用软件系统通用安全要求》的配套标准， 本标准适用于国家电网有限公司应用软件系统内部安全测试及第三方安全测试。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。 GB/T22240—2008信息安全技术信息系统安全等级保护定级指南 GB/T25069—2010信息安全技术术语 GB/T28452—2012信息安全技术应用软件系统通用安全技术要求 Q/GDW1597—2015国家电网公司应用软件系统通用安全要求 3术语和定义 GB/T25069一2010、GB/T28452一2012界定的以及下列术语和定义适用于本文件。 3.1 应用软件系统 applicationsoftware system 信息系统的重要组成部分，是指信息系统中对特定业务进行处理的软件系统。（本标准中未特别声 明，出现的“系统”代表“应用软件系统”） [GB/T28452—2012,定义3.1.1] 3.2 基本型 basic model 安全级别为二级的应用软件系统。应用软件系统安全等级定义参见GB/T22240一2008。 3.3 增强型 enhanced model 安全级别为三级的应用软件系统。应用软件系统安全等级定义参见GB/T22240—2008。 3.4 检查 examination 1 Q/GDW 1942—2017 不同于行政执法意义上的监督检查，是指测试人员通过对测试对象进行观察、查验、分析等活动， 获取证据以证明信息系统安全等级保护措施是否有效的一种方法。 3.5 测试 testing 测试人员通过对测试对象按照预定的方法/工具使其产生特定的行为等活动，查看、分析输出结果， 获取证据以证明应用软件系统安全措施是否有效的一种方法。 3.6 用户user 通过应用软件系统提供的操作界面对软件系统进行操作控制的人、账号、进程等。 3.7 保密性confidentiality 使信息不泄露给未授权的个人、实体、进程，或不被其利用的特性。 [GB/T 25069—2010,定义2.1.1] 3.8 完整性 integrality 数据没有遭受以未授权方式所作的更改或破坏的特性。 [GB/T 25069—2010,定义2.1.36] 3.9 动态口令dynamicpassword 根据特殊算法生成一个不可预测的随机数字组合，每个密码只能使用一次。 4测试环境 4.1测试环境 测试委托单位应提供应用软件系统所使用的基础软件（如中间件、数据库等），基础软件版本应符 合公司相关管理要求。第三方检测机构应具备相应的资质（同等或高于中国合格评定国家认可委员会认 证资质）。第三方检测机构与内部检测机构应具备如下测试环境： a）硬件基础环境，包括网络、存储、硬件服务器等通用的硬件资源； b）软件基础环境，包括主流操作系统（Red Hat Linux、CentOSLinux等）； c) 应用及平台，包括统一权限平台、短信平台、GIS平台、邮件系统等，提供一体化平台测试环 境所涉及系统软件的最新版本。 4.2测试手段 2 Q/GDW 10942—2017 通过人工查看和工具检测的方式开展测试，第三方检测机构与内部检测机构应具备商用或自主研发 的检测工具，包括但不限于网络漏洞扫描工具、WEB应用漏洞扫描工具、数据包分析工具、逆向分析工 具。 5安全测试方法 5.1基本型应用软件 5.1.1标识和鉴别 标识和鉴别功能的测试方法如下： a) 测试要求：引用Q/GDW1597—2015中5.1.1的要求； b) 测试类型：安全功能测试； c) 测试方法： 1)检查应用软件系统的登录入口，是否通过公司统一权限平台登录，未与公司统一权限平台 集成的系统，是否提供独立的登录控制模块进行登录，是否具备权限分离管理功能； 2）删除用户A后，新建与其用户名相同的用户B，检查是否可新建成功；若可新建成功，检 查用户A与用户B的唯一标识（如UID、登录账号或其它用户信息在系统中是唯一的，此 标识能唯一识别该用户）是否一样； 3）使用默认账号（guest、admin、root、anonymous等）依次登录被检应用软件系统，检查 是否可登录成功；检查应用软件系统用户管理列表，用户账号是否按照实名制原则进行创 建（实名制包括但不限于人资编码、身份证字段等）； 4)新建用户，是否可为用户选择长期使用账号或临时使用账号，临时账号原则上仅能查看或 操作临时工作所需的信息，临时账号必须有使用时间期限，到期即转为休眠状态； 5） 检查应用软件系统用户管理列表的账号状态，是否根据使用周期将用户账号标注为长期使 用账号和临时使用账号； 6) 检查应用软件系统用户管理列表的账号状态，是否将用户使用状态划分为激活账号、休眠 账号和已注销账号； 7 注册3个月及以上未使用的账号登录系统，检查是否可成功登录系统；检查应用软件系统 用户管理列表，查看3个月及以上未使用的账号的状态，是否为休眠或锁定状态，是否可 根据业务需求设定休眠或锁定时间的限制（原则上限不超过1年），是否具备可统一查询 长期未使用帐号的功能，并导出详细列表； 8）将用户鉴别信息复杂度配置为最低限制，查看最低限制是否满足：长度不小于8位字符， 复杂度为大写字母、小写字母、数字、特殊字符中的三种或三种以上的组合，用户口令不 能与用户名相同或包含用户名； （6 系统管理员设置用户口令时，设置口令与用户名相同或包含用户名，检查是否可设置成功； 用户更换自身口令时，设置口令与用户名相同或包含用户名；检查是否可设置成功； 10)系统管理员设置用户口令和用户更换自身口令时，设置口令长度小于8位，检查是否可设 置成功；设置口令的复杂度低于大写字母、小写字母、数字、特殊字符中的三种组合，检 查是否可设置成功； 11)使用3个月未更换过口令的用户登录系统，检查系统是否强制其修改口令；更换用户口令 与上次的口令相同，检查是否可更换成功； 12)对于使用一次性动态口令的应用软件系统，检查动态口令的位数，是否为6位或6位以上； 接收到动态口令后，等待6分钟后输入动态口令，检查动态口令是否仍然有效； 3