淺談第三方項目驗收測試

張沁怡

第三方項目驗收測試是對項目建設(shè)范圍內(nèi)的功能、性能等技術(shù)指標進行驗證，評估項目所采取的安全措施能否滿足項目建設(shè)的需要。本文對第三方項目驗收測試的定義、測評依據(jù)、測評內(nèi)容及測試流程進行了介紹和論述。

信息化項目是指以計算機、通信技術(shù)及其他現(xiàn)代信息技術(shù)為主要手段的信息網(wǎng)絡(luò)、信息安全、信息資源和信息應(yīng)用系統(tǒng)等新建、擴建或者改建的工程項目。

項目申報單位由于技術(shù)條件等諸多因素限制，無法獨立組織項目并實施項目驗收測試。因此，建議對項目質(zhì)量要求比較嚴格的項目申報單位委托第三方測試機構(gòu)進行項目驗收測試，對于提高項目的安全性建設(shè)、降低系統(tǒng)運行時的風險具有極其重要的作用。

驗收測試

驗收測試定義

第三方項目驗收測試可分為安全測評和軟件測試，根據(jù)立項文件的項目建設(shè)內(nèi)容，對項目建設(shè)范圍內(nèi)的功能、性能等技術(shù)指標進行驗證，并結(jié)合國家、地方的信息安全相關(guān)標準，對建設(shè)完成的信息系統(tǒng)進行安全測試和評估，評估項目所采取的安全措施能否滿足項目建設(shè)的需要。

在第三方項目測試驗收中，“第三方”的“獨立性”是保證其結(jié)果公正的起點，而“第三方”的專業(yè)性和權(quán)威性則是保證其結(jié)果公正的基礎(chǔ)。第三方測評機構(gòu)聘用的測評人員資質(zhì)應(yīng)經(jīng)過審查，確保測評人員的可信性，采用的測評工具應(yīng)經(jīng)過選型，確保測評工具的可信性，測評過程應(yīng)依據(jù)相關(guān)測評標準進行，確保測試過程及結(jié)果的可信性。

測評依據(jù)

安全測評主要參照網(wǎng)絡(luò)等級保護的相關(guān)標準進行測評，具體測評依據(jù)如下：

GB/T 22239-2019：《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》；

GB/T 18336.2-2015：《信息技術(shù)安全技術(shù)信息技術(shù)安全評估準則》。

軟件測試主要參照軟件產(chǎn)品質(zhì)量要求和測試國家標準進行測評，具體測評依據(jù)如下：

GB T 25000.51-2016：《系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評價（SQuaRE）第51部分就緒可用軟件產(chǎn)品（RUSP）的質(zhì)量要求和測試細則》

測評內(nèi)容

安全測評：一般依據(jù)項目建設(shè)內(nèi)容進行確定，可從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理制度等測評層面進行安全配置核查和文檔記錄核查。例如某項目建設(shè)內(nèi)容不包括機房建設(shè)，則不對安全物理環(huán)境進行測評，以此類推。

軟件測試：一般依據(jù)項目建設(shè)任務(wù)書、項目批復(fù)、需求規(guī)格說明書等文檔對項目涉及的應(yīng)用系統(tǒng)功能進行驗證，具體內(nèi)容根據(jù)項目而定。若項目不涉及應(yīng)用的開發(fā)和改造，則不進行項目功能驗證。

根據(jù)項目建設(shè)任務(wù)書、項目批復(fù)、項目設(shè)計（建設(shè)）方案中要求的性能指標進行測試。常見的性能指標有：用戶數(shù)、最大并發(fā)用戶數(shù)、響應(yīng)時間、事務(wù)通過率、資源利用率（CPU平均利用率、平均可用內(nèi)存分析、磁盤占用率等）和壓力指標等。

驗收測試流程

項目的生命周期分為4個階段：啟動項目、組織與準備、執(zhí)行項目工作和結(jié)束項目。對信息化項目進行第三方項目驗收測試，本質(zhì)上也是完成項目，對應(yīng)項目生命周期的各個階段、測評方人員的主要工作內(nèi)容及輸出結(jié)果如表1所示。本章節(jié)將就各階段的詳細工作內(nèi)容進行展開論述。

項目合同簽訂

測評單位與具有信息化項目驗收需求的項目申報單位負責人簽訂測評合同（單獨做安全測評或軟件測試，或是都做），經(jīng)過內(nèi)部業(yè)務(wù)分配流程將項目授權(quán)于特定測評組負責實施。

驗收測評準備

與項目申報單位進行聯(lián)系，收集項目立項文檔，包括但不限于項目建設(shè)任務(wù)書、項目批復(fù)文件等，收集軟件開發(fā)文檔，包括但不限于需求規(guī)格說明書、用戶操作手冊、安裝部署手冊和運維手冊等；收集被測對象清單，包括但不限于項目內(nèi)采購的服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備以及項目內(nèi)新建/升級改造的應(yīng)用系統(tǒng)；硬件設(shè)備需提供設(shè)備名稱、型號、操作系統(tǒng)/數(shù)據(jù)庫系統(tǒng)、數(shù)量和IP等信息，軟件系統(tǒng)需提供系統(tǒng)名稱、功能簡介和訪問地址等信息；收集網(wǎng)絡(luò)拓撲圖，確認項目建設(shè)范圍內(nèi)的硬件設(shè)備所在位置及軟件系統(tǒng)的網(wǎng)絡(luò)邊界。

根據(jù)收集到的項目立項文檔，確定本次安全測評中需要選取的測評層面及測試項，根據(jù)網(wǎng)絡(luò)拓撲圖中硬件設(shè)備所在位置及軟件系統(tǒng)的網(wǎng)絡(luò)邊界，確定安全配置核查、漏洞掃描的測試工具接入點位置。

根據(jù)收集到的項目立項文檔，確定本次軟件測試中的功能指標、性能指標，對項目建設(shè)范圍內(nèi)的系統(tǒng)進行功能分解、等價類劃分以及邊界值分析來設(shè)計測試用例，并依據(jù)每項測試輸入列舉預(yù)期的測試輸入，并確定判定準則，根據(jù)網(wǎng)絡(luò)拓撲圖中硬件設(shè)備所在位置及軟件系統(tǒng)的網(wǎng)絡(luò)邊界，確定功能測試、性能測試的測試工具接入點位置。

匯總上述信息進行測評方案的編制，測評方案包括項目概述、測評對象組成、測試方法與環(huán)境、測評內(nèi)容及要求等章節(jié)，最后與項目申報單位約定現(xiàn)場測評時間及配合測試人員，提前告知現(xiàn)場測評流程及過程中可能存在的一些風險。

現(xiàn)場實施

（1）測試內(nèi)容

根據(jù)項目組成員數(shù)量對測評工作進行合理分工，按照測評方案中測評對象和測評內(nèi)容進行測試。

（2）測試工具

測評過程中可能使用到的測評工具包括測評報告撰寫工具：測評能手1.8.2.0、操作系統(tǒng)漏洞掃描工具、Nessus 8.13.1/綠盟極光遠程安全評估系統(tǒng)V5.0；數(shù)據(jù)庫掃描工具：APPDectective 8.7；應(yīng)用漏洞掃描工具：明鑒Web應(yīng)用弱點掃描器6.0；性能測試工具：Loadrunner 12。

（3）風險控制

對于合格的測評人員來說基本的業(yè)務(wù)能力是必備條件，此外安全意識的培訓(xùn)和培養(yǎng)也不可缺失，若是在測評過程中由于業(yè)務(wù)能力不足或安全意識不到位，可能會產(chǎn)生測評工具的操作不當、測評記錄存儲不當、破壞系統(tǒng)等后果，最終給雙方造成損失，因此第三方測評機構(gòu)應(yīng)定期對測評人員進行資質(zhì)審查，可以采取簽署保密協(xié)議、現(xiàn)場見證等方式進行風險管控。

下面將分別闡述測評過程中可能產(chǎn)生風險的環(huán)節(jié)和可采取的應(yīng)對措施。

配置核查

風險：誤操作。

措施：操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等核查過程中，測評人員告知配合人員需要執(zhí)行的命令、需要查看的配置，命令的輸入和執(zhí)行、配置導(dǎo)出等操作可以由配合人員完成。

工具掃描

風險：增加系統(tǒng)和網(wǎng)絡(luò)負載，可能造成設(shè)備宕機。

措施：與配合人員商議掃描時間時避開系統(tǒng)高峰期，若配備了備機也可以對備機進行掃描。

滲透性測試

風險：可能產(chǎn)生測試冗余數(shù)據(jù)，或造成部分數(shù)據(jù)丟失。

措施：進行測試前對生產(chǎn)數(shù)據(jù)庫進行備份，若配備了與生產(chǎn)環(huán)境一致的測試環(huán)境，可以在測試環(huán)境下執(zhí)行應(yīng)用層面滲透性測試。

功能測試

風險：誤操作。

措施：進行測試前對生產(chǎn)數(shù)據(jù)庫進行備份，涉及到增加、刪除、修改的功能點，可以由配合人員按照測試用例執(zhí)行，若配備了與生產(chǎn)環(huán)境一致的測試環(huán)境，可以在測試環(huán)境下執(zhí)行用例。

性能測試

風險：可能影響系統(tǒng)運行甚至導(dǎo)致系統(tǒng)崩潰。

措施：與配合人員商議性能測試時間時避開系統(tǒng)高峰期，若配備了與生產(chǎn)環(huán)境一致的測試環(huán)境，可以在測試環(huán)境下執(zhí)行性能測試。

（4）結(jié)果記錄及交流

在安全測評和軟件測試的測試過程中，測評人員將實際測試結(jié)果作為原始測試結(jié)果進行記錄，初次測評完成后，若發(fā)現(xiàn)功能、性能、安全性或文檔等方面存在不滿足測評要求的情況，安全測評可以出具安全問題匯總。內(nèi)容包括測評對象、測評項、安全問題描述、安全建設(shè)整改建議等內(nèi)容，軟件測試可以出具異常統(tǒng)計與改進情況表，內(nèi)容包括軟件異常簡要描述、功能模塊、異常等級和改進情況。測評人員在初次測評的末尾就以上文檔的內(nèi)容與配合人員進行溝通交流，明確目前與達到項目驗收要求的差距，待整改完畢后再次約定時間進行回歸測試。

（5）測評結(jié)束

安全測評中，當項目無主要高風險問題，單項符合率≥60 %，單項符合率+單項部分符合率≥80%時，達到了出具安全測評報告的要求。軟件測試中，當項目無功能要求和相關(guān)技術(shù)指標要求的異常，通過率≥95%時，達到了出具軟件測試報告的要求。

進行回歸測試時，當整改情況滿足上述出具報告要求時，測評人員記錄下相關(guān)問題的整改情況，此時現(xiàn)場測評結(jié)束，測評人員可以進入報告撰寫階段。

報告撰寫

安全測評報告由信息化項目安全測評基本信息表、聲明、報告摘要與結(jié)論、主要安全問題及整改建議、項目概述、測評概述、單項測評結(jié)果匯總、測評結(jié)論、安全問題整改建議和附錄構(gòu)成，可通過測評能手1.8.2.0進行報告初稿的導(dǎo)出。

軟件測試報告由項目軟件測試基本信息表、聲明、報告摘要與結(jié)論、軟件概況、測試概述、測試過程與結(jié)果、符合性評價結(jié)果、測試結(jié)論和附錄構(gòu)成。

對于項目申報單位來說，項目驗收測評僅是對項目完成現(xiàn)狀的安全性、功能性等特性進行了測試，并不代表絕對的安全性，為了實現(xiàn)可持續(xù)的安全性，項目申報單位也不能僅依賴于項目驗收測試，應(yīng)采取持續(xù)的防護手段，例如安全服務(wù)、實時監(jiān)控、修復(fù)與加固等。

對于第三方測評機構(gòu)來說，測評必須強化質(zhì)量第一的原則，若是測評中放過一個安全漏洞，就有可能使系統(tǒng)帶病上崗，最終可能產(chǎn)生無法估計的損失。此外測評機構(gòu)也需要不斷提升測評技術(shù)能力，信息安全產(chǎn)品升級換代很快，各類技術(shù)也不斷革新，測評也要跟上時代發(fā)展和技術(shù)進步，確保測評公正和專業(yè)性。