張沁怡

第三方項(xiàng)目驗(yàn)收測(cè)試是對(duì)項(xiàng)目建設(shè)范圍內(nèi)的功能、性能等技術(shù)指標(biāo)進(jìn)行驗(yàn)證，評(píng)估項(xiàng)目所采取的安全措施能否滿足項(xiàng)目建設(shè)的需要。本文對(duì)第三方項(xiàng)目驗(yàn)收測(cè)試的定義、測(cè)評(píng)依據(jù)、測(cè)評(píng)內(nèi)容及測(cè)試流程進(jìn)行了介紹和論述。

信息化項(xiàng)目是指以計(jì)算機(jī)、通信技術(shù)及其他現(xiàn)代信息技術(shù)為主要手段的信息網(wǎng)絡(luò)、信息安全、信息資源和信息應(yīng)用系統(tǒng)等新建、擴(kuò)建或者改建的工程項(xiàng)目。

項(xiàng)目申報(bào)單位由于技術(shù)條件等諸多因素限制，無(wú)法獨(dú)立組織項(xiàng)目并實(shí)施項(xiàng)目驗(yàn)收測(cè)試。因此，建議對(duì)項(xiàng)目質(zhì)量要求比較嚴(yán)格的項(xiàng)目申報(bào)單位委托第三方測(cè)試機(jī)構(gòu)進(jìn)行項(xiàng)目驗(yàn)收測(cè)試，對(duì)于提高項(xiàng)目的安全性建設(shè)、降低系統(tǒng)運(yùn)行時(shí)的風(fēng)險(xiǎn)具有極其重要的作用。

驗(yàn)收測(cè)試

驗(yàn)收測(cè)試定義

第三方項(xiàng)目驗(yàn)收測(cè)試可分為安全測(cè)評(píng)和軟件測(cè)試，根據(jù)立項(xiàng)文件的項(xiàng)目建設(shè)內(nèi)容，對(duì)項(xiàng)目建設(shè)范圍內(nèi)的功能、性能等技術(shù)指標(biāo)進(jìn)行驗(yàn)證，并結(jié)合國(guó)家、地方的信息安全相關(guān)標(biāo)準(zhǔn)，對(duì)建設(shè)完成的信息系統(tǒng)進(jìn)行安全測(cè)試和評(píng)估，評(píng)估項(xiàng)目所采取的安全措施能否滿足項(xiàng)目建設(shè)的需要。

在第三方項(xiàng)目測(cè)試驗(yàn)收中，“第三方”的“獨(dú)立性”是保證其結(jié)果公正的起點(diǎn)，而“第三方”的專(zhuān)業(yè)性和權(quán)威性則是保證其結(jié)果公正的基礎(chǔ)。第三方測(cè)評(píng)機(jī)構(gòu)聘用的測(cè)評(píng)人員資質(zhì)應(yīng)經(jīng)過(guò)審查，確保測(cè)評(píng)人員的可信性，采用的測(cè)評(píng)工具應(yīng)經(jīng)過(guò)選型，確保測(cè)評(píng)工具的可信性，測(cè)評(píng)過(guò)程應(yīng)依據(jù)相關(guān)測(cè)評(píng)標(biāo)準(zhǔn)進(jìn)行，確保測(cè)試過(guò)程及結(jié)果的可信性。

測(cè)評(píng)依據(jù)

安全測(cè)評(píng)主要參照網(wǎng)絡(luò)等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)進(jìn)行測(cè)評(píng)，具體測(cè)評(píng)依據(jù)如下：

GB/T 22239-2019：《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》；

GB/T 18336.2-2015：《信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則》。

軟件測(cè)試主要參照軟件產(chǎn)品質(zhì)量要求和測(cè)試國(guó)家標(biāo)準(zhǔn)進(jìn)行測(cè)評(píng)，具體測(cè)評(píng)依據(jù)如下：

GB T 25000.51-2016：《系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)（SQuaRE）第51部分就緒可用軟件產(chǎn)品（RUSP）的質(zhì)量要求和測(cè)試細(xì)則》

測(cè)評(píng)內(nèi)容

安全測(cè)評(píng)：一般依據(jù)項(xiàng)目建設(shè)內(nèi)容進(jìn)行確定，可從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理制度等測(cè)評(píng)層面進(jìn)行安全配置核查和文檔記錄核查。例如某項(xiàng)目建設(shè)內(nèi)容不包括機(jī)房建設(shè)，則不對(duì)安全物理環(huán)境進(jìn)行測(cè)評(píng)，以此類(lèi)推。

軟件測(cè)試：一般依據(jù)項(xiàng)目建設(shè)任務(wù)書(shū)、項(xiàng)目批復(fù)、需求規(guī)格說(shuō)明書(shū)等文檔對(duì)項(xiàng)目涉及的應(yīng)用系統(tǒng)功能進(jìn)行驗(yàn)證，具體內(nèi)容根據(jù)項(xiàng)目而定。若項(xiàng)目不涉及應(yīng)用的開(kāi)發(fā)和改造，則不進(jìn)行項(xiàng)目功能驗(yàn)證。

根據(jù)項(xiàng)目建設(shè)任務(wù)書(shū)、項(xiàng)目批復(fù)、項(xiàng)目設(shè)計(jì)（建設(shè)）方案中要求的性能指標(biāo)進(jìn)行測(cè)試。常見(jiàn)的性能指標(biāo)有：用戶數(shù)、最大并發(fā)用戶數(shù)、響應(yīng)時(shí)間、事務(wù)通過(guò)率、資源利用率（CPU平均利用率、平均可用內(nèi)存分析、磁盤(pán)占用率等）和壓力指標(biāo)等。

驗(yàn)收測(cè)試流程

項(xiàng)目的生命周期分為4個(gè)階段：?jiǎn)?dòng)項(xiàng)目、組織與準(zhǔn)備、執(zhí)行項(xiàng)目工作和結(jié)束項(xiàng)目。對(duì)信息化項(xiàng)目進(jìn)行第三方項(xiàng)目驗(yàn)收測(cè)試，本質(zhì)上也是完成項(xiàng)目，對(duì)應(yīng)項(xiàng)目生命周期的各個(gè)階段、測(cè)評(píng)方人員的主要工作內(nèi)容及輸出結(jié)果如表1所示。本章節(jié)將就各階段的詳細(xì)工作內(nèi)容進(jìn)行展開(kāi)論述。

項(xiàng)目合同簽訂

測(cè)評(píng)單位與具有信息化項(xiàng)目驗(yàn)收需求的項(xiàng)目申報(bào)單位負(fù)責(zé)人簽訂測(cè)評(píng)合同（單獨(dú)做安全測(cè)評(píng)或軟件測(cè)試，或是都做），經(jīng)過(guò)內(nèi)部業(yè)務(wù)分配流程將項(xiàng)目授權(quán)于特定測(cè)評(píng)組負(fù)責(zé)實(shí)施。

驗(yàn)收測(cè)評(píng)準(zhǔn)備

與項(xiàng)目申報(bào)單位進(jìn)行聯(lián)系，收集項(xiàng)目立項(xiàng)文檔，包括但不限于項(xiàng)目建設(shè)任務(wù)書(shū)、項(xiàng)目批復(fù)文件等，收集軟件開(kāi)發(fā)文檔，包括但不限于需求規(guī)格說(shuō)明書(shū)、用戶操作手冊(cè)、安裝部署手冊(cè)和運(yùn)維手冊(cè)等；收集被測(cè)對(duì)象清單，包括但不限于項(xiàng)目?jī)?nèi)采購(gòu)的服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備以及項(xiàng)目?jī)?nèi)新建/升級(jí)改造的應(yīng)用系統(tǒng)；硬件設(shè)備需提供設(shè)備名稱(chēng)、型號(hào)、操作系統(tǒng)/數(shù)據(jù)庫(kù)系統(tǒng)、數(shù)量和IP等信息，軟件系統(tǒng)需提供系統(tǒng)名稱(chēng)、功能簡(jiǎn)介和訪問(wèn)地址等信息；收集網(wǎng)絡(luò)拓?fù)鋱D，確認(rèn)項(xiàng)目建設(shè)范圍內(nèi)的硬件設(shè)備所在位置及軟件系統(tǒng)的網(wǎng)絡(luò)邊界。

根據(jù)收集到的項(xiàng)目立項(xiàng)文檔，確定本次安全測(cè)評(píng)中需要選取的測(cè)評(píng)層面及測(cè)試項(xiàng)，根據(jù)網(wǎng)絡(luò)拓?fù)鋱D中硬件設(shè)備所在位置及軟件系統(tǒng)的網(wǎng)絡(luò)邊界，確定安全配置核查、漏洞掃描的測(cè)試工具接入點(diǎn)位置。

根據(jù)收集到的項(xiàng)目立項(xiàng)文檔，確定本次軟件測(cè)試中的功能指標(biāo)、性能指標(biāo)，對(duì)項(xiàng)目建設(shè)范圍內(nèi)的系統(tǒng)進(jìn)行功能分解、等價(jià)類(lèi)劃分以及邊界值分析來(lái)設(shè)計(jì)測(cè)試用例，并依據(jù)每項(xiàng)測(cè)試輸入列舉預(yù)期的測(cè)試輸入，并確定判定準(zhǔn)則，根據(jù)網(wǎng)絡(luò)拓?fù)鋱D中硬件設(shè)備所在位置及軟件系統(tǒng)的網(wǎng)絡(luò)邊界，確定功能測(cè)試、性能測(cè)試的測(cè)試工具接入點(diǎn)位置。

匯總上述信息進(jìn)行測(cè)評(píng)方案的編制，測(cè)評(píng)方案包括項(xiàng)目概述、測(cè)評(píng)對(duì)象組成、測(cè)試方法與環(huán)境、測(cè)評(píng)內(nèi)容及要求等章節(jié)，最后與項(xiàng)目申報(bào)單位約定現(xiàn)場(chǎng)測(cè)評(píng)時(shí)間及配合測(cè)試人員，提前告知現(xiàn)場(chǎng)測(cè)評(píng)流程及過(guò)程中可能存在的一些風(fēng)險(xiǎn)。

現(xiàn)場(chǎng)實(shí)施

（1）測(cè)試內(nèi)容

根據(jù)項(xiàng)目組成員數(shù)量對(duì)測(cè)評(píng)工作進(jìn)行合理分工，按照測(cè)評(píng)方案中測(cè)評(píng)對(duì)象和測(cè)評(píng)內(nèi)容進(jìn)行測(cè)試。

（2）測(cè)試工具

測(cè)評(píng)過(guò)程中可能使用到的測(cè)評(píng)工具包括測(cè)評(píng)報(bào)告撰寫(xiě)工具：測(cè)評(píng)能手1.8.2.0、操作系統(tǒng)漏洞掃描工具、Nessus 8.13.1/綠盟極光遠(yuǎn)程安全評(píng)估系統(tǒng)V5.0；數(shù)據(jù)庫(kù)掃描工具：APPDectective 8.7；應(yīng)用漏洞掃描工具：明鑒Web應(yīng)用弱點(diǎn)掃描器6.0；性能測(cè)試工具：Loadrunner 12。

（3）風(fēng)險(xiǎn)控制

對(duì)于合格的測(cè)評(píng)人員來(lái)說(shuō)基本的業(yè)務(wù)能力是必備條件，此外安全意識(shí)的培訓(xùn)和培養(yǎng)也不可缺失，若是在測(cè)評(píng)過(guò)程中由于業(yè)務(wù)能力不足或安全意識(shí)不到位，可能會(huì)產(chǎn)生測(cè)評(píng)工具的操作不當(dāng)、測(cè)評(píng)記錄存儲(chǔ)不當(dāng)、破壞系統(tǒng)等后果，最終給雙方造成損失，因此第三方測(cè)評(píng)機(jī)構(gòu)應(yīng)定期對(duì)測(cè)評(píng)人員進(jìn)行資質(zhì)審查，可以采取簽署保密協(xié)議、現(xiàn)場(chǎng)見(jiàn)證等方式進(jìn)行風(fēng)險(xiǎn)管控。

下面將分別闡述測(cè)評(píng)過(guò)程中可能產(chǎn)生風(fēng)險(xiǎn)的環(huán)節(jié)和可采取的應(yīng)對(duì)措施。

配置核查

風(fēng)險(xiǎn)：誤操作。

措施：操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備等核查過(guò)程中，測(cè)評(píng)人員告知配合人員需要執(zhí)行的命令、需要查看的配置，命令的輸入和執(zhí)行、配置導(dǎo)出等操作可以由配合人員完成。

工具掃描

風(fēng)險(xiǎn)：增加系統(tǒng)和網(wǎng)絡(luò)負(fù)載，可能造成設(shè)備宕機(jī)。

措施：與配合人員商議掃描時(shí)間時(shí)避開(kāi)系統(tǒng)高峰期，若配備了備機(jī)也可以對(duì)備機(jī)進(jìn)行掃描。

滲透性測(cè)試

風(fēng)險(xiǎn)：可能產(chǎn)生測(cè)試冗余數(shù)據(jù)，或造成部分?jǐn)?shù)據(jù)丟失。

措施：進(jìn)行測(cè)試前對(duì)生產(chǎn)數(shù)據(jù)庫(kù)進(jìn)行備份，若配備了與生產(chǎn)環(huán)境一致的測(cè)試環(huán)境，可以在測(cè)試環(huán)境下執(zhí)行應(yīng)用層面滲透性測(cè)試。

功能測(cè)試

風(fēng)險(xiǎn)：誤操作。

措施：進(jìn)行測(cè)試前對(duì)生產(chǎn)數(shù)據(jù)庫(kù)進(jìn)行備份，涉及到增加、刪除、修改的功能點(diǎn)，可以由配合人員按照測(cè)試用例執(zhí)行，若配備了與生產(chǎn)環(huán)境一致的測(cè)試環(huán)境，可以在測(cè)試環(huán)境下執(zhí)行用例。

性能測(cè)試

風(fēng)險(xiǎn)：可能影響系統(tǒng)運(yùn)行甚至導(dǎo)致系統(tǒng)崩潰。

措施：與配合人員商議性能測(cè)試時(shí)間時(shí)避開(kāi)系統(tǒng)高峰期，若配備了與生產(chǎn)環(huán)境一致的測(cè)試環(huán)境，可以在測(cè)試環(huán)境下執(zhí)行性能測(cè)試。

（4）結(jié)果記錄及交流

在安全測(cè)評(píng)和軟件測(cè)試的測(cè)試過(guò)程中，測(cè)評(píng)人員將實(shí)際測(cè)試結(jié)果作為原始測(cè)試結(jié)果進(jìn)行記錄，初次測(cè)評(píng)完成后，若發(fā)現(xiàn)功能、性能、安全性或文檔等方面存在不滿足測(cè)評(píng)要求的情況，安全測(cè)評(píng)可以出具安全問(wèn)題匯總。內(nèi)容包括測(cè)評(píng)對(duì)象、測(cè)評(píng)項(xiàng)、安全問(wèn)題描述、安全建設(shè)整改建議等內(nèi)容，軟件測(cè)試可以出具異常統(tǒng)計(jì)與改進(jìn)情況表，內(nèi)容包括軟件異常簡(jiǎn)要描述、功能模塊、異常等級(jí)和改進(jìn)情況。測(cè)評(píng)人員在初次測(cè)評(píng)的末尾就以上文檔的內(nèi)容與配合人員進(jìn)行溝通交流，明確目前與達(dá)到項(xiàng)目驗(yàn)收要求的差距，待整改完畢后再次約定時(shí)間進(jìn)行回歸測(cè)試。

（5）測(cè)評(píng)結(jié)束

安全測(cè)評(píng)中，當(dāng)項(xiàng)目無(wú)主要高風(fēng)險(xiǎn)問(wèn)題，單項(xiàng)符合率≥60 %，單項(xiàng)符合率+單項(xiàng)部分符合率≥80%時(shí)，達(dá)到了出具安全測(cè)評(píng)報(bào)告的要求。軟件測(cè)試中，當(dāng)項(xiàng)目無(wú)功能要求和相關(guān)技術(shù)指標(biāo)要求的異常，通過(guò)率≥95%時(shí)，達(dá)到了出具軟件測(cè)試報(bào)告的要求。

進(jìn)行回歸測(cè)試時(shí)，當(dāng)整改情況滿足上述出具報(bào)告要求時(shí)，測(cè)評(píng)人員記錄下相關(guān)問(wèn)題的整改情況，此時(shí)現(xiàn)場(chǎng)測(cè)評(píng)結(jié)束，測(cè)評(píng)人員可以進(jìn)入報(bào)告撰寫(xiě)階段。

報(bào)告撰寫(xiě)

安全測(cè)評(píng)報(bào)告由信息化項(xiàng)目安全測(cè)評(píng)基本信息表、聲明、報(bào)告摘要與結(jié)論、主要安全問(wèn)題及整改建議、項(xiàng)目概述、測(cè)評(píng)概述、單項(xiàng)測(cè)評(píng)結(jié)果匯總、測(cè)評(píng)結(jié)論、安全問(wèn)題整改建議和附錄構(gòu)成，可通過(guò)測(cè)評(píng)能手1.8.2.0進(jìn)行報(bào)告初稿的導(dǎo)出。

軟件測(cè)試報(bào)告由項(xiàng)目軟件測(cè)試基本信息表、聲明、報(bào)告摘要與結(jié)論、軟件概況、測(cè)試概述、測(cè)試過(guò)程與結(jié)果、符合性評(píng)價(jià)結(jié)果、測(cè)試結(jié)論和附錄構(gòu)成。

對(duì)于項(xiàng)目申報(bào)單位來(lái)說(shuō)，項(xiàng)目驗(yàn)收測(cè)評(píng)僅是對(duì)項(xiàng)目完成現(xiàn)狀的安全性、功能性等特性進(jìn)行了測(cè)試，并不代表絕對(duì)的安全性，為了實(shí)現(xiàn)可持續(xù)的安全性，項(xiàng)目申報(bào)單位也不能僅依賴(lài)于項(xiàng)目驗(yàn)收測(cè)試，應(yīng)采取持續(xù)的防護(hù)手段，例如安全服務(wù)、實(shí)時(shí)監(jiān)控、修復(fù)與加固等。

對(duì)于第三方測(cè)評(píng)機(jī)構(gòu)來(lái)說(shuō)，測(cè)評(píng)必須強(qiáng)化質(zhì)量第一的原則，若是測(cè)評(píng)中放過(guò)一個(gè)安全漏洞，就有可能使系統(tǒng)帶病上崗，最終可能產(chǎn)生無(wú)法估計(jì)的損失。此外測(cè)評(píng)機(jī)構(gòu)也需要不斷提升測(cè)評(píng)技術(shù)能力，信息安全產(chǎn)品升級(jí)換代很快，各類(lèi)技術(shù)也不斷革新，測(cè)評(píng)也要跟上時(shí)代發(fā)展和技術(shù)進(jìn)步，確保測(cè)評(píng)公正和專(zhuān)業(yè)性。