基于通用準(zhǔn)則的信息安全系統(tǒng)測(cè)試研究.pdf

1、隨著信息產(chǎn)業(yè)的發(fā)展，信息技術(shù)已經(jīng)滲透到社會(huì)的各個(gè)方面。在信息技術(shù)給人們帶來(lái)諸多方便與保障的同時(shí)，也給人們帶來(lái)了安全方面的擔(dān)憂。由于生產(chǎn)者和消費(fèi)者都很難對(duì)信息產(chǎn)品和系統(tǒng)的安全特性給予客觀的評(píng)價(jià)，所以信息產(chǎn)品只有經(jīng)過(guò)權(quán)威、公正的第三方——評(píng)估機(jī)構(gòu)認(rèn)證后，才能夠被市場(chǎng)所承認(rèn)。因此，如何發(fā)現(xiàn)信息產(chǎn)品內(nèi)在的安全缺陷，從而滿足第三方權(quán)威標(biāo)準(zhǔn)的要求，是每一個(gè)生產(chǎn)者需要認(rèn)真考慮的問(wèn)題。
　　軟件測(cè)試的過(guò)程就是發(fā)現(xiàn)并指出系統(tǒng)中存在缺陷的過(guò)程。為了能

2、夠使產(chǎn)品達(dá)到標(biāo)準(zhǔn)的要求，開發(fā)者在提交測(cè)評(píng)之前自行測(cè)試是對(duì)產(chǎn)品質(zhì)量驗(yàn)證的重要環(huán)節(jié)。目前的針對(duì)信息產(chǎn)品安全特性的測(cè)試主要依賴個(gè)人的經(jīng)驗(yàn)對(duì)安全性進(jìn)行判斷，所以人為因素對(duì)測(cè)試質(zhì)量有很大的影響。因此測(cè)試人員如何能夠更好地理解產(chǎn)品的安全性，進(jìn)行規(guī)范的測(cè)試，已經(jīng)成為一個(gè)亟待解決的問(wèn)題。
　　本文研究的目的在于根據(jù)國(guó)際信息產(chǎn)品安全特性評(píng)估準(zhǔn)則——通用準(zhǔn)則(CC,CommonCriteria)，設(shè)計(jì)一種分析產(chǎn)品安全要求、設(shè)計(jì)測(cè)試計(jì)劃和用例的方法，為

3、實(shí)際的測(cè)試工作提供理論依據(jù)和操作參考。
　　本文綜述了當(dāng)今國(guó)際上較為通用的評(píng)估標(biāo)準(zhǔn)，闡明了通用準(zhǔn)則的特點(diǎn)和應(yīng)用范圍；根據(jù)通用準(zhǔn)則中對(duì)應(yīng)與依賴的特性，說(shuō)明了分析系統(tǒng)安全要求的過(guò)程，給出了一種抽取和搜索安全要求的方法；研究了安全要求組件與安全環(huán)境分析的應(yīng)用，設(shè)計(jì)了采用評(píng)估等級(jí)分析生成測(cè)試計(jì)劃和采用橫縱兩種途徑進(jìn)行測(cè)試用例設(shè)計(jì)的方法；通過(guò)設(shè)計(jì)一個(gè)測(cè)試系統(tǒng)，解決了一個(gè)實(shí)際測(cè)試的問(wèn)題。
　　從實(shí)際測(cè)試中得到的結(jié)論反映出該方法可以規(guī)范測(cè)