| 对业务系统进行全面保障的安全体系,主要体现在以下7个层次。
|
|
|
|
|
| ②平台安全:网络平台、计算机操作系统、基本通用应用平台(服务/数据库等)的安全;
|
|
|
| ③数据安全:系统数据的机密性、完整性、访问控制和可恢复性;
|
|
|
| ④通信安全:系统之间数据通信和会话访问不被非法侵犯;
|
|
|
| ⑤应用安全:业务运行逻辑安全/业务资源的访问控制;业务交往的不可抵赖性/业务实体的身份鉴别/业务数据的真实完整性;
|
|
|
| ⑥运行安全:对系统安全性的动态维护和保障,控制由于时间推移和系统运行导致安全性的变化;
|
|
|
| ⑦管理安全:对相关的人员、技术和操作进行管理,总揽以上各安全要素并进行控制。
|
|
|
|
|
| 安全系统的主要构成一般包括证书业务服务系统、证书查询验证服务系统、密钥管理系统、密码服务系统、授权管理服务系统、可信时间戳服务系统、网络信任域系统、基本安全防护系统等。在后续的章节中,我们将针对这些关键技术,提出详细的测试策略。
|
|
|
|
|
| 证书业务服务主要包括证书认证及证书审核注册两项功能。对证书业务服务的测试主要是结合业务应用系统的特点,分析业务系统运行实际面临的威胁,验证证书业务服务系统的功能和性能是否满足需求。
|
|
|
| 对证书业务服务系统的功能测试主要从以下几个方面进行:
|
|
|
| . 证书认证系统是否采用国家密码主管部门审批的签名算法完成签名操作,是否提供证书的签发和管理、证书撤销列表的签发和管理、证书/证书撤销列表的发布以及证书审核注册中心的设立、审核及管理等功能;
|
|
|
| . 按使用对象分类,系统是否能提供人员证书、设备证书、机构证书三种类型的证书;
|
|
|
|
|
|
|
| . 系统是否提供证书申请、身份审核、证书下载等服务功能;
|
|
|
| . 证书申请、身份审核、证书下载等服务是否都可采用在线或离线两种方式;
|
|
|
| . 系统是否提供证书认证策略及操作策略管理、自身证书安全管理等证书管理服务。
|
|
|
| 对证书业务服务系统还要进行性能测试,以验证是否满足用户的需求。一般性能测试需要考虑以下几个方面:
|
|
|
| . 检查证书业务服务系统设计的处理性能是否具备可伸缩配置及扩展的能力;
|
|
|
|
|
| . 是否满足系统的不间断运行、在线故障修复和在线系统升级。
|
|
|
| . 是否满足需求说明中预测的最大数量用户正常访问的需求,并且,是否有3~4倍的冗余,如有必要,需要测试系统的并发压力承受能力。
|
|
|
|
|
| 证书查询验证服务系统为应用系统提供证书认证服务,对证书查询验证服务系统的功能测试,从以下几个方面进行:
|
|
|
| . 是否能够提供目录管理与证书查询两种主要服务功能;
|
|
|
| . 是否能够根据用户网络设置需求,采用集中式与分布式两种方式构建目录管理服务;
|
|
|
| . 系统是否能提供证书和证书撤销列表的发布、证书和证书撤销列表的下载、证书和证书撤销列表的更新、证书和证书撤销列表的恢复、基于LDAP技术的目录访问控制服务、目录查询等安全服务功能;
|
|
|
| . 是否提供基于OCSP技术的证书在线状态查询服务。
|
|
|
|
|
| . 系统是否满足一定数量的基本的LDAP查询和OCSP查询并发;
|
|
|
|
|
| . 是否能为应用系统提供LDAP、OCSP查询接口和C/C++/C#和Java等接口。
|
|
|
|
|
| 密钥管理系统是整个安全系统的基础,对密钥管理系统的测试需要考虑以下几点:
|
|
|
|
|
| . 是否具备密钥生成、密钥发送、密钥存储、密钥查询、密钥撤消、密钥恢复等基本功能;
|
|
|
|
|
| . 密钥管理中心的系统、设备、数据、人员等安全管理是否严密;
|
|
|
| . 密钥管理中心的审计、认证、恢复、统计等系统管理是否具备;
|
|
|
| . 密钥管理系统与证书认证系统之间是否采用基于身份认证的安全通信协议。
|
|
|
|
|
| . 针对按实际需要配置密钥管理系统,利用企业级的并发压力测试工具测试受理点连接数、签发在用证书数目、密钥发放并发请求数是否满足基本业务需求;
|
|
|
| . 测试是否具备系统所需最大量的密钥生成、存储、传送、发布、归档等密钥管理功能;
|
|
|
| . 测试是否支持密钥5年(或用户要求的年限)保存期;
|
|
|
|
|
|
|
|
|
|
|
| 通常在客户端和服务器端都要提供密码服务。对密码服务系统的测试包括:
|
|
|
|
|
|
|
|
|
| . 随着业务量的逐渐增加,是否可以灵活地增加密码服务模块,实现性能平滑扩展,且不影响上层的应用系统。
|
|
|
|
|
| . RSA算法密钥长度能否达到1024~2048位;ECC算法密钥长度能否达到192位;
|
|
|
| . 如有必要进行系统速度测试,对应用层的服务器端密码设备测试项包括:公钥密码算法签名速度、公钥密码算法验证速度、对称密钥密码算法加解密速度;对应用层的客户端密码设备测试项包括:公钥密码算法签名速度、公钥密码算法验证速度、对称密钥密码算法加解密速度,验证是否满足需求;
|
|
|
| . 处理性能如公钥密码算法签名等是否具有扩展能力。
|
|
|
|
|
| 授权服务系统在信任服务系统的基础上,为应用提供资源的授权管理及访问控制服务,有集中式授权服务与分布式授权服务两种工作模式。
|
|
|
| 对集中式授权服务的测试,主要验证其是否具有用户管理、审核管理、资源管理、角色管理等主要功能。
|
|
|
| 对分布式授权服务的测试主要验证其是否有资源访问的签名授权、授权管理等功能。
|
|
|
| 如有必要,对可信授权服务系统的测试还要考虑,利用并发压力测试工具验证系统是否满足一定的授权服务并发数,以及系统能否提供客户端签名授权和服务器端资源访问授权验证的应用接口,包括C/C++及Java等。
|
|
|
|
|
| 可信时间戳服务为业务处理的不可抵赖性和可审计性提供支持。对可信时间戳服务的测试点包括:
|
|
|
| . 能否从可信时间源(授时中心)获取时间,校准时间戳服务器的时间;
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| 通过安全审查的网络可信接入设备和网络信任域管理系统组成网络信任域,测试点包括:
|
|
|
| . 系统是否具备接入认证交换机,确保只有合法的才能接入网络;
|
|
|
| . 是否具备网络信任域管理系统,进行网络接入管理配置。
|
|
|
|
|
|
|
|
|
| . 验证接入认证交换机是否提供与客户端通信的遵循IEEE 802.1X接口,传输IEEE 802.1X认证数据包;
|
|
|
| . 验证是否提供网络信任域管理系统与接入认证交换机间的交互接口。
|
|
|
|
|
| 应用系统的稳定性与可靠性,在一定程度上取决于故障恢复和容灾备份措施。一般有以下三个测试点。
|
|
|
| . 故障恢复。整个系统是否存在单点故障;对于关键性应用系统,当任何一台设备失效时,按照预先定义的规则是否能够快速切换;是否采用磁盘镜像技术,实现主机系统到磁盘系统的高速连接;
|
|
|
| . 数据备份。对于关键的业务,是否具备必要的热备份机制,例如双机热备、磁盘镜像等;对于所有业务,是否提供磁带备份和恢复机制,保证系统能根据备份策略恢复到指定时间的状态;
|
|
|
| . 容灾备份。可否建立异地容灾备份中心,当主中心发生灾难性事件时,由备份中心接管所有的业务;备份中心是否有足够的带宽确保与主中心的数据同步,有足够的处理能力来接管主中心的业务,能否确保快速可靠地与主中心的应用切换。
|
|
|
|
|
| 安全产品是安全系统构架的基础,合理地选择安全类产品是至关重要的,我们给出以下几点建议。
|
|
|
| . 产品是否具有公安部《计算机信息系统安全专用产品销售许可证》和检测报告;
|
|
|
| . 如果安全产品涉及数据加密,那么该产品的加密算法是否具有国密办的批准文号;
|
|
|
| . 建议尽量选择具有中国自主知识产权的产品,有利于厂家对产品的升级与维护;
|
|
|
|
|
| . 必须考虑安全产品的系统处理速度,因为处理速度直接影响到应用的效果;
|
|
|
| . 建议察看安全产品在权威机构(如公安部安全产品检测中心)的检测报告,考察其各项安全功能是否达到安全要求。
|
|
|
