非金融机构支付服务业务系统测试要点与测试方法分析(3)

　　4. 安全性测试方法

　　安全性测试方法采用访谈、检查、测试三种基本的方法，与相关责任人进行研讨交流，确认被测单位的信息安全保护措施。

　　图1：POS收单平台结构

　　● 人员访谈：通过与相关技术和管理人员交流和访谈等，获取相关证据。包括信息安全主管领导、系统管理员、安全管理员、审计员等的访谈。

　　● 文档查阅：通过检查技术及管理相关文档和记录，获取相关证据。包括管理制度、系统配置文件等系统各个层面的安全相关文档等的查阅。

　　● 现场核查：通过对检查对象进行现场观察、查验、分析等活动，获取相关证据以证明信息系统安全保护措施是否得以有效实施。包括物理环境查验、系统安全策略配置、审计日志的检查等。

　　● 人工测试：通过人工执行相关的命令或程序，查看被信息系统产生的特定响应，分析响应输出的结果，获取证据以证明信息系统安全保护措施是否得以有效实施。包括安全功能验证等。

　　● 工具测试：通过采用自动化工具对测评对象产生的特定响应等活动进行查看，分析响应输出结果，获取证据以证明信息系统安全保护措施是否得以有效实施。包括系统漏洞扫描等。

　　在安全性测试也需要根据不同种类的测试综合使用以上介绍的方法和技术。如在网络安全性测试中，检测方法是需要对网络设备的安全配置策略的检测、对相关文档的审核、用相应工具设备或安全设备对网络设备进行扫描等;在主机安全性测试中采用的方法是对主机设备的安全配置策略的检测、对相关文档的审核、用相应工具设备对主机设备进行扫描、检查设备采用哪两种身份鉴别机制、对配置文件的离线备份的检查等;在数据安全性测试和应用安全性测试中采用的方法是对相关应用的渗透性测试、对相关文档的审核、用相应工具设备对服务器设备进行扫描等;而在运维安全性测试中，采用的方法是对相关文档进行审核;业务连续性测试采用的方法是对备份设备查看及相关文档进行审核。

　　5. 文档审核方法

　　文档审核主要采用以下方法，包括采用抽查方式，检测操作和文档描述是否一致;通过查阅版本历史的方式检测文档的版本控制和管理;采用抽查的方式，依据待查内容列表对被测试文档进行审核;结合功能测试结果检测文档和系统实现的一致性;采用抽查的方式，检测文档之间是否存在冲突。如在用户文档检测中，主要检测操作和文档描述是否一致及查阅版本历史的方式检测文档的版本控制和管理;在开发文档从测试中，需要依据待查内容列表对被测试文档进行审核，结合功能测试结果检测开发文档和系统实现的一致性，并审核开发文档之间是否存在冲突;管理文档测试可采用抽查的方式，依据待查内容列表对被测试文档进行审核。

　　三. 总结

　　本文依据非金融机构支付服务业务系统检测规范，从检测的内容出发详细地介绍了功能测试、风险监控测试、性能测试、安全性测试和文档审核的方法、策略和技术，它们被实际运用到测试实践中，指导和规范了测试实施，提高了测试结果准确性，节约了测试周期，提高了测试效率，保障了非金融机构支付服务业务系统测试顺利开展，有效地支持了中国人民银行的工作。

原文转自：http://www.ltesting.net