Q／GDW 10942-2018标准规范下载简介：

内容预览由机器从pdf转换为word，准确率92%以上，供参考

Q／GDW 10942-2018 应用软件系统安全性测试方法.pdf

Q/GDW19422017

软件容错功能的测试方法如下： a）测试项：引用Q/GDW1597—2015中5.1.6的要求； b）测试类型：安全功能测试：

测试方法： 1 在系统的输入界面，根据设置的输入条件GB/T 24688-2009 动物防疫消毒机 试验方法，录入非法的数据，检查系统是否对数据的有效 性进行验证；输入不同数据类型（数字、字母、特殊字符等）的输入，检查系统是否对用 户的输入进行严格限制：输入超长字符，检查系统是否对用户输入的长度进行严格限制：

Q/GDW 109422017

外部接口功能的测试方法如下： a）测试项：引用Q/GDW1597—2015中5.1.9的要求； 测试类型：安全功能测试； 测试方法：

外部接口功能的测试方法如下： a）测试项：引用Q/GDW1597—2015中5.1.9的要求； b）测试类型：安全功能测试； C) 测试方法：

Q/GDW 19422017

5. 2. 2 访问控制

访问控制功能的测试方法如下： 测试项：引用Q/GDW1597—2015中5.2.2的要求； 测试类型：安全功能测试； 测试方法：本项测试方法包括本标准5.1.2的全部内容，并增加如下要求： 1） 查看审核管理员角色对应的权限列表，检查该类角色是否只有对关键操作进行审批的权 限：

D/GDW10942201

数据保密性功能的测试方法如下： a) 测试项：引用Q/GDW1597—2015中5.2.5的要求； b) 测试类型：安全功能测试； c)测试方法:

Q/GDW 19422017

软件容错功能的测试方法如下： a）测试项：引用Q/GDW1597—2015中5.2.6的要求； 测试类型：安全功能测试： ）测试方法：本项测试方法包括本标准5.1.6c）中的全部内容： 结果判定：若本标准5.2.6c)满足Q/GDW1597一2015中5.2.6的要求，则应用软件系统符合 本单元测试要求，否则，应用软件系统不符合或部分符合本单元测试要求

5. 2. 7 会话管理

会话管理功能的测试方法如下： 测试项：引用Q/GDW1597—2015中5.2.7的要求； b）测试类型：安全功能测试； c）测试方法：本项测试方法包括本标准5.1.7c)中的全部内容； 结果判定：若本标准5.2.7c)满足Q/GDW1597—2015中5.2.7的要求，则应用软件系统符合 本单元测试要求，否则，应用软件系统不符合或部分符合本单元测试要求。

安全漏洞功能的测试方法如下： a）测试项：引用Q/GDW1597—2015中5.2.8的要求； b) 测试类型：渗透测试； C 测试方法：本项测试方法包括本标准5.1.8c)中的全部内容； d) 结果判定：若本标准5.2.8c)的测试项中未发现明显可利用安全漏洞，则渗透测试整体结论 为“未发现明显可利用安全漏洞”

外部接口功能的测试方法如下： a) 测试项：引用Q/GDW1597—2015中5.2.9的要求； b) 测试类型：安全功能测试： C 测试方法：本项测试方法包括本标准5.1.9c)中的全部内容； d) 结果判定：若本标准5.2.9c)满足Q/GDW1597—2015中5.2.9的要求，则应用软件系统符合 本单元测试要求，否则，应用软件系统不符合或部分符合本单元测试要求。

抗抵赖功能的测试方法如下： a）测试项：引用Q/GDW1597—2015中5.2.10的要求； 测试类型：安全功能测试： C 测试方法：对具有抗抵赖需求的业务系统（如电子交易、协同办公等系统），使用工具检查 应用软件系统是否采用数字签名或数字证书等方式保证在必要时能够为用户提供不可抵赖证 据的功能； 结果判定：若本标准5.2.10c)满足Q/GDW1597—2015中5.2.10的要求，则应用软件系统符 合本单元测试要求，否则，应用软件系统不符合或部分符合本单元测试要求

根据安全缺陷对应用软件系统造成影响的程度，将测试项定义为高风险测试项、中风险测试项及 风险测试项（风表1

Q/GDW 19422017

Q/GDW19422017

评价方法描述测试人员执行完测试方法过程，产生客种测试证据后，如何依据这些测试证据来判定 应用软件系统是否满足安全性要求。安全检测报告应给出应用软件系统安全测试结论，确认应用软件系 统达到相应安全要求的程度。测试结论评价如下： a）安全功能所有测试项均为“符合”，且渗透测试结果为“未发现明显可利用安全漏洞”，则安 全测试整体结论为“符合”； b） 安全功能所有高风险或中风险的测试项均为“符合”，低风险的测试项存在“部分符合”或“不 符合”，且渗透测试结果为“未发现明显可利用安全漏洞”，则安全测试整体结论为“基本符 合”； c） 安全功能高风险或中风险的测试项中存在“部分符合”或“不符合”，或渗透测试结果为“有 在明显可利用安全漏洞”，则安全测试整体结论为“不符合”； d 如果某测试项，在特定应用软件系统中不适用，则可判定该测试项为“不适用”，不影响整体 测试结论； e）安全测试整体结论为“符合”或“基本符合”，则满足总体安全性要求。

Q/GDW109422017

附录A （资料性附录） 渗透测试方法示例

表A.1渗透测试方法示例列表

Q/GDW 19422017

/GDW 109422017

D/GDW109422017

Q/GDW19422017

应用软件系统安全性测试方法

Q/GDW19422017

编制育方 编制主要原则， .19 与其他标准文件的关系. ..19 主要工作过程. .19 标准结构和内容.. ..20 条文说明 20

编制育方 编制主要原则， .19 与其他标准文件的关系. ..19 主要工作过程. .19 标准结构和内容.. ..20 条文说明 20

D/GDW109422017

本标准依据《国家电网公司关于下达2017年度公司第一批技术标准制修订计划的通知》（国家电网 科（2017）72号）的要求编写。 随着国家电网有限公司应用软件系统业务集成度更高，数据交互性更强，信息安全对于公司生产经 营的保障作用愈加明显，因此公司对应用软件系统安全测试提出了更高的要求，原Q/GDWZ1942一2013 《国家电网公司应用系统安全性测试方法》已不能满足公司新的要求，因此需要对原标准进行修订。 本标准编制主要目的是明确国家电网公司应用软件系统的安全技术测试要求和安全保障测试要求， 为公司应用软件系统的安全测试及前期研发工作提供依据，进一步保障公司应用软件系统的安全稳定运 行。

本标准根据以下原则编制： a）遵循企业标准不低于国家标准的原则，充分考虑国家电网公司应用软件系统业务特性及安全需 求，适应公司信息化发展对信息安全的要求。 b） 规范应用软件系统安全相关的术语和定义、技术要求、保障要求等相关内容，坚持安全要求具 备可操作性，切实指导软件安全测试和前期研发工作。 C 遵循已有的国家、行业相关标准，符合公司信息系统安全相关要求，推动公司信息化建设。 本标准项目计划名称为“应用系统安全性测试方法”，考虑到本标准只适用于具有管理界面的软件 系统，而不适用于无管理界面的文字处理软件、实时控制软件等，因此，为进一步明确标准适用范围， 经编写组商定，更名为“应用软件系统安全性测试方法”

DB35T 1201-2011 草生食用菌安全生产技术规范 地方标准3与其他标准文件的关系

本标准与相关技术领域的国家现行法律、法规和政策保持一致。 本标准不涉及专利、软件著作权等知识产权问题。 本标准编制过程中的主要参考文件包括： GB/T25069—2010信息安全技术术语 GB/T 28452—2012 信息安全技术应用软件系统通用安全技术要求 GB/T22240—2008 信息安全技术信息系统安全等级保护定级指南 Q/GDW1597—2015 国家电网公司应用软件系统通用安全要求

D/GDW19422017

2017年10月，修改形成标准送审稿。 2017年11月，公司信息通信技术标准专业工作组（TC06）组织召开送审会，送审后的审查结论为： 经专家组协商一致，同意修改后报批。 2017年11月，修改形成标准报批稿

本标准代替Q/GDW/Z1942一2013，与Q/GDW/Z1942一2013相比，在结构和内容上的 要差异如下： a）增加情况： 1）增加第4章“测试环境”； 2）在“基本型应用软件”和“增强型应用软件”中分别增加了关于会话管理、安全漏洞和外 部接口的要求。 b）删除情况： 删除原标准第4章“适用对象” 2） 删除原标准第5章“测试要求及原则”； 3） 删除原标准第7章“附则”； 4） 删除“测评方法”中关于源代码安全测试要求和开发安全测试要求的内容； 5） 删除“基本型应用软件”中关于资源控制、备份和恢复的内容； 删除“增强型应用软件”中关于备份和恢复的内容。 c）修改情况： 对“范围”进行了修改； 对“术语和定义”进行了修改； 3）对“测试结论评价方法”进行了修改； 4）对“安全测试方法”中各条款的描述进行了修改和细化。 本标准按照《国家电网公司技术标准管理办法》（国家电网企管（2018）222号文）的要求编写。 本标准主题章分为3章。 第4章测试环境：给出了应用软件系统应满足的安全测试环境要求。 第5章安全测试方法：给出了应用软件系统自身应满足的安全性测试要求。 第6章综合评价方法：给出了应用软件系统满足安全要求的评判方法。 原标准起草单位：中国电力科学研究院。 原标准主要起草人：单松玲、刘楠、李凌、高昆仑、詹雄、郝增帅、宋小芹、王杰、王玉柱、郭旭 皇。

本标准第5章中DL/T 1278-2013 海底电力电缆运行规程，从测试要求、测试手段、测试方法的角度，根据公司标准Q/GDW1597一2015《国 家电网公司应用软件系统通用安全要求》分别将基本型应用软件和增强型应用软件中的技术要求进行了 详细的描述。