JR_T 0191-2020证券期货业软件测试指南 软件安全测试.pdf

ICS 03. 060A11JR中华人民共和国金融行业标准JR/T0191—2020证券期货业软件测试指南软件安全测试Guide for securities and futures industry software testSoftware security testing2020-07-10发布2020-07-10实施中国证券监督管理委员会发布 JR/T 0191—2020表7行业软件安全测试技术对应表-基金管理公司（续)部署环境系统类别系统举例安全功代码安渗透模糊能检查全测试扫描测试测试办公自动化（0A）系统、客户面向专网办公系统关系管理（CRV）系统、营销服务一体化平台等面间互联网互联网服务系统公司网站、订单系统、和移动应用程序等注：“√”为必选项表8行业软件安全测试技术对应表-期货公司部署环境系统类别系统例安全动代码安漏润渗透模构能检查全测试扫描测试测试柜台交易系统（主席和次席）、交易系统程序化交易系统、资管平台、V面向专网核心交易结算系统等业务系统风控系统、监控系统等面向专网办公系统办公自动化（0A）系统、客户关系管理（CBI）系统等面向互联网互联网服务系统公司网站、交易客户端、重资管平台等注：“√”为必选项6软件安全测试基本测试方法6. 1身份认证安全6. 1.1测试目标应用程序在投予访间权限之前进行了身份验证、对数据访间进行限制并且认证信息不会被绕过。6. 1. 2测试内容若该系统安全等级为等保三级及以上或系统设计文档中明确具有身份认证功能，其应用安全应符合JR/T0060-2010和JR/T0067-2011，检测内容包括：a)服务端对用户请求等操作均进行了认证授权，认证的方式包括采用静态密码、动态口令、USBkey等：b)服务端与客户端使用双因子或多因子认证机制：c)服务端具备登录异常处理机制：d)服务增能够对验证码等措施的认证绕过进行防范：e)认证信息不会被轻易破解和基改。 JR/T 0191—20206.1.3结果判定若完全符合6.1.2测试内容，则判定应用程序符合本项测试需求，否则判定其不符合或部分符合本项测试需求。6.2口令安全6.2.1测试目标应用程序使用了强密码策略，对用户登录有错误次数限制，在超过规定错误次数后，对用户进行锁定或冻结。6.2.2测试内容检测内容包括：a)服务端能够对口令复杂度进行安全检测并提示：b)密码输入框不以明文形式显示密码：c)服务增对用户登永错误次数进行限制：d)服务增口令我回功能的密码找回凭证足够复杂、不可猜测并且不存在越权。e)服务增对用户登永失败进行统一提示。6.2.3结果判定完全符合6.2.2测试内容，则判定应用程序符合本项测试需求，否则判定其不符合或部分符合本项测试需求。6.3访问权限安全6.3.1测试目标应用程序对用户权限进行了配置，不会发生越权行为（包括横向越权和纵向越权）。6.3.2测试内睿若该系统安全等级为等保三级及以上或系统设计文档中明确具有访间权限控制功能，检测内容包括：a)服务端具备权限配置功能，且有权限判断机制：b)服务增对感数据进行访间权限控制：c)服务增对每个请求URL进行鉴权，而非仅仅通过客户端的菜单屏散或者接钮不可用来限制：d)用户认证采用多因子认证方式，防止通过修改用户身份证明（UID）实现越权操作。6.3.3结果判定若完全符合6.3.2测试内容，则判定应用程序符合本项测试需求，否则判定其不符合或部分符合本项测试需求。6.4会话管理安全6.4.1测试目标应用程序在用户登录并空闲一定时间后，会对用户会话进行检测，对超时会话进行自动终止，8 JR/T 0191—20206.4.2测试内容检测内容包括：a)已对会话信息进行安全加密：b)用户登永后，身份信息不再由客户端提交，而是以服务器端会话信息中保存的身份信息为准：c)应用程序提供注销登录功能，注销时，会话信息随之清除；d) :每次登永成功后变更会话标识：e)对用户的操作进行token验证，防止跨站请求伪造（CSRF）的操作。6.4.3结果判定若完全符合6.4.2测试内容，则判定应用程序符合本项测试需求，否则判定其不符合或部分符合本项测试需求。6.5通信安全6.5.1测试目标应用程序在处理通信过程中使用了安全的通信协议，并对传输数据采用了加密传输的机制。6.5.2测试内容若该系统安全等级为等保三级及以上或系统设计文档中明确具有通信安全要求，检测内容包括：应用程序在进行通信时采用了安全通信协议，例如SSL/TLS、IPSec等：应用程序在进行通信时对通信数据进行加密保护应用程序在进行通信时对通信数据进行完整性校验：d)应用程序对通信数字证书进行安全性校验。6.5.3结果判定若完全符合6.5.2测试内容，则判定应用程序符合本项测试需求，否则判定其不符合或部分符合本项测试需求。6.6