基于通用準則的信息安全系統(tǒng)測試研究.pdf

1、隨著信息產(chǎn)業(yè)的發(fā)展，信息技術已經(jīng)滲透到社會的各個方面。在信息技術給人們帶來諸多方便與保障的同時，也給人們帶來了安全方面的擔憂。由于生產(chǎn)者和消費者都很難對信息產(chǎn)品和系統(tǒng)的安全特性給予客觀的評價，所以信息產(chǎn)品只有經(jīng)過權威、公正的第三方——評估機構認證后，才能夠被市場所承認。因此，如何發(fā)現(xiàn)信息產(chǎn)品內(nèi)在的安全缺陷，從而滿足第三方權威標準的要求，是每一個生產(chǎn)者需要認真考慮的問題。
　　軟件測試的過程就是發(fā)現(xiàn)并指出系統(tǒng)中存在缺陷的過程。為了能

2、夠使產(chǎn)品達到標準的要求，開發(fā)者在提交測評之前自行測試是對產(chǎn)品質量驗證的重要環(huán)節(jié)。目前的針對信息產(chǎn)品安全特性的測試主要依賴個人的經(jīng)驗對安全性進行判斷，所以人為因素對測試質量有很大的影響。因此測試人員如何能夠更好地理解產(chǎn)品的安全性，進行規(guī)范的測試，已經(jīng)成為一個亟待解決的問題。
　　本文研究的目的在于根據(jù)國際信息產(chǎn)品安全特性評估準則——通用準則(CC,CommonCriteria)，設計一種分析產(chǎn)品安全要求、設計測試計劃和用例的方法，為

3、實際的測試工作提供理論依據(jù)和操作參考。
　　本文綜述了當今國際上較為通用的評估標準，闡明了通用準則的特點和應用范圍；根據(jù)通用準則中對應與依賴的特性，說明了分析系統(tǒng)安全要求的過程，給出了一種抽取和搜索安全要求的方法；研究了安全要求組件與安全環(huán)境分析的應用，設計了采用評估等級分析生成測試計劃和采用橫縱兩種途徑進行測試用例設計的方法；通過設計一個測試系統(tǒng)，解決了一個實際測試的問題。
　　從實際測試中得到的結論反映出該方法可以規(guī)范測