结论
是的,GB/T 25000.51-2016中的信息安全性测试可以部分依据GB/T 22239-2019进行,但需结合两者的具体要求和测试范围。
1. 标准关联性
GB/T 25000.51-2016(信息安全性部分)明确要求软件产品需符合相关标准和法规,其中GB/T 22239-2019(网络安全等级保护基本要求)是重要参考依据之一。
GB/T 22239-2019作为网络安全等级保护的核心标准,覆盖了安全物理环境、安全通信网络、安全计算环境、安全管理中心等技术和管理要求,与GB/T 25000.51的信息安全性测试内容高度重叠。
2. 测试内容对比
GB/T 25000.51-2016 信息安全性测试要点
保密性:
检查数据传输和存储是否加密(如3DES、AES)。
验证账户权限遵循最小权限原则。
完整性:
校验数据传输和存储的完整性(如散列算法、数据库约束)。
确保事务原子性,防止数据不一致。
抗抵赖性:
审计日志的不可篡改性。
关键操作采用数字签名。
可核查性:
审计日志覆盖所有用户操作,记录事件日期、时间、发起者等信息。
真实性:
身份鉴别机制(如双因子认证、密码复杂度要求)。
依从性:
验证软件是否符合GB/T 22239等行业标准。
GB/T 22239-2019 关键要求
安全计算环境:
身份鉴别:要求两种以上鉴别方法,限制登录失败次数。
访问控制:最小权限原则,权限分离。
数据完整性:校验技术(如CRC、散列算法)。
抗抵赖性:审计日志保护,数字签名。
安全通信网络:
数据传输完整性校验。
加密技术(如SSL/TLS)。
重叠内容
不同内容
3. 测试依据的可行性
技术实现层面:
GB/T 22239-2019中关于身份鉴别、数据加密、审计日志、完整性校验的要求可直接用于GB/T 25000.51的测试。
例如,GB/T 25000.51的保密性测试可引用GB/T 22239对加密算法和密钥管理的要求。
管理要求层面:
GB/T 22239包含安全管理中心、安全制度等管理要求,而GB/T 25000.51更侧重技术验证,因此管理部分需单独测试。
差异与补充:
GB/T 25000.51强调软件产品功能验证(如用户权限分配、会话管理),而GB/T 22239侧重系统级安全防护(如网络架构、物理环境)。
测试时需结合GB/T 25000.51的依从性条款,验证软件是否符合GB/T 22239的具体技术要求。
4. 实施建议
测试用例设计:
引用GB/T 22239中与信息安全性相关的技术条款(如身份鉴别、数据加密、审计日志)。
补充GB/T 25000.51特有的测试项(如软件权限分配、会话管理)。
工具与方法:
使用漏洞扫描工具(如Nessus)检查未授权访问漏洞。
通过协议分析工具(如Wireshark)验证数据加密和完整性。
合规性验证:
对照GB/T 22239的等级保护要求(如第二级、第三级),确认软件是否满足对应安全功能。
GB/T 25000.51-2016的信息安全性测试可部分依据GB/T 22239-2019进行,尤其在技术实现层面(如加密、身份鉴别、审计日志)。但需注意两者的侧重点差异,确保全面覆盖GB/T 25000.51规定的六个子特性(保密性、完整性、抗抵赖性、可核查性、真实性、依从性)。建议结合两个标准的具体要求设计测试用例,以实现全面验证。
相关文章推荐
【标准】GB/T 25000.51-2016国家标准汇总性介绍