非金融機構支付服務業務系統測試要點與測試方法分析(3)

　　4. 安全性測試方法

　　安全性測試方法采用訪談、檢查、測試三種基本的方法，與相關責任人進行研討交流，確認被測單位的信息安全保護措施。

　　圖1：POS收單平臺結構

　　● 人員訪談：通過與相關技術和管理人員交流和訪談等，獲取相關證據。包括信息安全主管領導、系統管理員、安全管理員、審計員等的訪談。

　　● 文檔查閱：通過檢查技術及管理相關文檔和記錄，獲取相關證據。包括管理制度、系統配置文件等系統各個層面的安全相關文檔等的查閱。

　　● 現場核查：通過對檢查對象進行現場觀察、查驗、分析等活動，獲取相關證據以證明信息系統安全保護措施是否得以有效實施。包括物理環境查驗、系統安全策略配置、審計日志的檢查等。

　　● 人工測試：通過人工執行相關的命令或程序，查看被信息系統產生的特定響應，分析響應輸出的結果，獲取證據以證明信息系統安全保護措施是否得以有效實施。包括安全功能驗證等。

　　● 工具測試：通過采用自動化工具對測評對象產生的特定響應等活動進行查看，分析響應輸出結果，獲取證據以證明信息系統安全保護措施是否得以有效實施。包括系統漏洞掃描等。

　　在安全性測試也需要根據不同種類的測試綜合使用以上介紹的方法和技術。如在網絡安全性測試中，檢測方法是需要對網絡設備的安全配置策略的檢測、對相關文檔的審核、用相應工具設備或安全設備對網絡設備進行掃描等;在主機安全性測試中采用的方法是對主機設備的安全配置策略的檢測、對相關文檔的審核、用相應工具設備對主機設備進行掃描、檢查設備采用哪兩種身份鑒別機制、對配置文件的離線備份的檢查等;在數據安全性測試和應用安全性測試中采用的方法是對相關應用的滲透性測試、對相關文檔的審核、用相應工具設備對服務器設備進行掃描等;而在運維安全性測試中，采用的方法是對相關文檔進行審核;業務連續性測試采用的方法是對備份設備查看及相關文檔進行審核。

　　5. 文檔審核方法

　　文檔審核主要采用以下方法，包括采用抽查方式，檢測操作和文檔描述是否一致;通過查閱版本歷史的方式檢測文檔的版本控制和管理;采用抽查的方式，依據待查內容列表對被測試文檔進行審核;結合功能測試結果檢測文檔和系統實現的一致性;采用抽查的方式，檢測文檔之間是否存在沖突。如在用戶文檔檢測中，主要檢測操作和文檔描述是否一致及查閱版本歷史的方式檢測文檔的版本控制和管理;在開發文檔從測試中，需要依據待查內容列表對被測試文檔進行審核，結合功能測試結果檢測開發文檔和系統實現的一致性，并審核開發文檔之間是否存在沖突;管理文檔測試可采用抽查的方式，依據待查內容列表對被測試文檔進行審核。

　　三. 總結

　　本文依據非金融機構支付服務業務系統檢測規范，從檢測的內容出發詳細地介紹了功能測試、風險監控測試、性能測試、安全性測試和文檔審核的方法、策略和技術，它們被實際運用到測試實踐中，指導和規范了測試實施，提高了測試結果準確性，節約了測試周期，提高了測試效率，保障了非金融機構支付服務業務系統測試順利開展，有效地支持了中國人民銀行的工作。

原文轉自：http://www.anti-gravitydesign.com