2023自主可控軟件測(cè)試與認(rèn)證規(guī)范

自主可控軟件測(cè)試與認(rèn)證規(guī)范PAGE\*ROMANPAGE\*ROMANII目 次前言 III1范引文件 1語(yǔ)定義 1主控件2自性2用文要求 2軟質(zhì)要求 2試3總則 3自性3功性3安性4可性4易性5性效測(cè)試 5維性5兼性5用文6試6測(cè)樣提交 6測(cè)需分析 6測(cè)計(jì)劃 6測(cè)設(shè)計(jì) 7測(cè)環(huán)準(zhǔn)備 7測(cè)執(zhí)行 7測(cè)結(jié)匯與7測(cè)結(jié)評(píng)價(jià) 7報(bào)編制 7試施8測(cè)計(jì)要求 8測(cè)用要求 8測(cè)執(zhí)記要求 8符性?xún)r(jià)告88認(rèn)要求 8認(rèn)申請(qǐng) 9認(rèn)實(shí)施 9認(rèn)證書(shū) 9PAGEPAGE1自主可控軟件測(cè)試與認(rèn)證規(guī)范范圍本標(biāo)準(zhǔn)規(guī)定了自主可控軟件要求、測(cè)試內(nèi)容、測(cè)試流程、測(cè)試實(shí)施要求和認(rèn)證。GB/T25000.51—2016 統(tǒng)與件工程 系與件質(zhì)要求評(píng)價(jià)（SQuaRE） 51部：緒可軟產(chǎn)（RUSP）的質(zhì)要和試GB/T25000.51—2016界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1國(guó)產(chǎn)軟件在中華人民共和國(guó)境內(nèi)最終形成，其著作權(quán)歸屬中華人民共和國(guó)境內(nèi)的自然人、法人或其他組織，并且在國(guó)內(nèi)的開(kāi)發(fā)成本不低于總開(kāi)發(fā)成本的百分之五十的軟件產(chǎn)品。3.2自主可控軟件3.3符合性評(píng)價(jià)報(bào)告說(shuō)明對(duì)自主可控軟件實(shí)施評(píng)價(jià)的行為和結(jié)果的文檔。注：改寫(xiě)IEEEstd610.12-1998。3.4測(cè)試機(jī)構(gòu)3.5認(rèn)證機(jī)構(gòu)依據(jù)該標(biāo)準(zhǔn)對(duì)自主可控軟件實(shí)施認(rèn)證的組織機(jī)構(gòu)。軟件應(yīng)自主研發(fā)，且擁有自主知識(shí)產(chǎn)權(quán)。用戶(hù)文檔對(duì)于該軟件的用戶(hù)應(yīng)是可用的。用戶(hù)文檔應(yīng)具有唯一標(biāo)識(shí)，應(yīng)包含使用該軟件所必需的信息，應(yīng)說(shuō)明最終用戶(hù)能調(diào)用的所有功能。用戶(hù)文檔中所有信息都應(yīng)是正確的，且不應(yīng)有歧義的信息。用戶(hù)文檔不應(yīng)自相矛盾、互相矛盾，以及與產(chǎn)品說(shuō)明矛盾。用戶(hù)文檔應(yīng)采用軟件特定讀者可理解的術(shù)語(yǔ)和文體。軟件應(yīng)符合產(chǎn)品說(shuō)明中有關(guān)性能效率的陳述。軟件應(yīng)按照用戶(hù)文檔中定義的維護(hù)性特征來(lái)執(zhí)行。軟件應(yīng)按照用戶(hù)文檔和產(chǎn)品說(shuō)明中所定義的兼容性特征來(lái)執(zhí)行。總則測(cè)試內(nèi)容如表1所示：表1 自主測(cè)內(nèi)容測(cè)試項(xiàng)目項(xiàng)目說(shuō)明自主管理可行性與計(jì)劃研究應(yīng)有相應(yīng)的文檔或記錄能夠證明對(duì)軟件進(jìn)行了可行性分析，并制定了開(kāi)發(fā)計(jì)劃。需求分析應(yīng)有相應(yīng)的文檔或記錄能夠證明對(duì)軟件進(jìn)行了需求分析。軟件設(shè)計(jì)應(yīng)有相應(yīng)的文檔或記錄能夠證明對(duì)軟件進(jìn)行了設(shè)計(jì)。質(zhì)量控制應(yīng)有相應(yīng)的文檔或記錄能夠證明對(duì)軟件進(jìn)行了質(zhì)量控制。版本控制應(yīng)有相應(yīng)的文檔、記錄能夠證明對(duì)軟件進(jìn)行了版本控制。自主研發(fā)源代碼可執(zhí)行驗(yàn)證軟件源代碼編譯后生成的軟件的功能完整，且與用戶(hù)文檔描述的軟件功能一致。源代碼自主研發(fā)驗(yàn)證軟件所有功能都應(yīng)有對(duì)應(yīng)的源代碼，且軟件核心功能應(yīng)由自主研發(fā)的源代碼獨(dú)立實(shí)現(xiàn)。測(cè)試內(nèi)容如表2所示：表2 功能測(cè)內(nèi)容測(cè)試項(xiàng)目項(xiàng)目說(shuō)明完備性功能實(shí)現(xiàn)的完整性軟件中應(yīng)包括產(chǎn)品說(shuō)明中所描述的所有功能。正確性功能的正確性產(chǎn)品說(shuō)明中所有的功能應(yīng)都能正確執(zhí)行。精度軟件中所有精度應(yīng)與產(chǎn)品說(shuō)明中的精度要求一致。測(cè)試內(nèi)容如表3所示：表3 安全測(cè)內(nèi)容測(cè)試項(xiàng)目項(xiàng)目說(shuō)明身份鑒別鑒別機(jī)制軟件應(yīng)提供專(zhuān)用的登錄控制模塊對(duì)登錄用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別。登錄失敗處理軟件連續(xù)多次登錄失敗時(shí)，可采取限制非法登錄次數(shù)、結(jié)束會(huì)話等措施。強(qiáng)口令策略軟件應(yīng)啟用強(qiáng)口令策略，口令長(zhǎng)度、類(lèi)型等具有復(fù)雜度限制。會(huì)話超時(shí)機(jī)制軟件提供會(huì)話超時(shí)機(jī)制；會(huì)話超時(shí)后，應(yīng)使會(huì)話進(jìn)入休眠狀態(tài)或中斷連接。錯(cuò)誤提示信息軟件認(rèn)證錯(cuò)誤提示信息中不存在確切錯(cuò)誤分類(lèi)信息。用戶(hù)權(quán)限控制權(quán)限控制功能軟件具有權(quán)限控制策略，對(duì)于每個(gè)角色用戶(hù)權(quán)限控制合理。越權(quán)控制機(jī)制軟件不存在橫向越權(quán)漏洞。軟件不存在縱向越權(quán)漏洞。權(quán)限控制范圍軟件權(quán)限控制范圍覆蓋系統(tǒng)的主要功能操作。限制默認(rèn)賬戶(hù)權(quán)限軟件嚴(yán)格限制默認(rèn)帳戶(hù)的訪問(wèn)權(quán)限，默認(rèn)用戶(hù)權(quán)限應(yīng)合理。用戶(hù)最小權(quán)限原則軟件各角色用戶(hù)應(yīng)根據(jù)業(yè)務(wù)特性及權(quán)限互斥原則，分配最小權(quán)限。訪問(wèn)審計(jì)審計(jì)的廣泛性軟件審計(jì)范圍覆蓋所有角色用戶(hù)。審計(jì)的完整性軟件限制刪除、修改或覆蓋審計(jì)記錄，維護(hù)審計(jì)活動(dòng)的完整性。審計(jì)內(nèi)容全面性軟件審計(jì)記錄的內(nèi)容至少包括事件的日期、時(shí)間、發(fā)起者信息、類(lèi)型、描述和結(jié)果等。審計(jì)關(guān)鍵事件軟件重要安全事件記錄日志。數(shù)據(jù)安全數(shù)據(jù)保密性軟件重要信息或敏感信息加密傳輸或存儲(chǔ)。數(shù)據(jù)完整性應(yīng)能夠檢測(cè)到重要用戶(hù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞。數(shù)據(jù)有效性應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求。測(cè)試內(nèi)容如表4所示：表4 可靠測(cè)內(nèi)容測(cè)試項(xiàng)目項(xiàng)目說(shuō)明成熟性可控制性數(shù)據(jù)完整性在測(cè)試過(guò)程中，不應(yīng)由于軟件故障而導(dǎo)致軟件丟失數(shù)據(jù)，破壞數(shù)據(jù)的完整性。避免失效在測(cè)試過(guò)程中，不應(yīng)出現(xiàn)由于軟件的故障而導(dǎo)致系統(tǒng)失效的現(xiàn)象。容錯(cuò)性抵御誤操作軟件應(yīng)對(duì)非法輸入、非法操作等進(jìn)行屏蔽處理。易恢復(fù)性在發(fā)生中斷或失效時(shí)，軟件能夠恢復(fù)直接受影響的數(shù)據(jù)，并重建期望的系統(tǒng)狀態(tài)。測(cè)試內(nèi)容如表5所示：表5 易用測(cè)內(nèi)容測(cè)試項(xiàng)目項(xiàng)目說(shuō)明易理解性描述的完整性用戶(hù)在閱讀產(chǎn)品說(shuō)明后應(yīng)能理解軟件的能力。明顯的功能軟件界面中所有的功能應(yīng)易于識(shí)別。功能的易理解性軟件中所有界面對(duì)應(yīng)的功能應(yīng)易于理解。易理解的輸入輸出軟件界面中所有的輸入輸出項(xiàng)應(yīng)易于理解。易學(xué)性用戶(hù)文檔和/或幫助機(jī)制的有效性軟件提供的聯(lián)機(jī)幫助系統(tǒng)和/或文檔應(yīng)能有效地指導(dǎo)用戶(hù)完成相關(guān)操作。幫助的獲得性軟件應(yīng)提供幫助的快速定位查找功能，以便用戶(hù)能正確定位所需的幫助內(nèi)容。易操作性在使用中功能操作的一致性軟件中功能操作界面的組成應(yīng)保持一致。在使用中消息的一致性軟件中提示的信息應(yīng)易于指導(dǎo)用戶(hù)操作。使用中錯(cuò)誤的糾正在使用軟件過(guò)程中，用戶(hù)應(yīng)能成功撤銷(xiāo)其錯(cuò)誤操作。使用中默認(rèn)值的可用性軟件應(yīng)提供參數(shù)值的默認(rèn)值以方便用戶(hù)使用。使用中消息的可理解性軟件中的提示信息不應(yīng)導(dǎo)致用戶(hù)操作停頓與失敗。在使用中操作錯(cuò)誤的易恢復(fù)性軟件應(yīng)對(duì)關(guān)鍵數(shù)據(jù)的操作給出警告或在執(zhí)行前要求確認(rèn)。（用戶(hù)錯(cuò)誤糾正的）可還原性軟件應(yīng)提供關(guān)鍵操作的可逆處理，以便用戶(hù)糾正錯(cuò)誤。測(cè)試內(nèi)容如表6所示：表6 性能率試容測(cè)試項(xiàng)目項(xiàng)目說(shuō)明時(shí)間特性響應(yīng)時(shí)間從發(fā)出請(qǐng)求到請(qǐng)求完成為止，用戶(hù)經(jīng)歷的平均等待時(shí)間間隔。吞吐率軟件在給定的時(shí)間周期內(nèi)有多少個(gè)任務(wù)成功的執(zhí)行。資源特性CPU利用率在測(cè)試過(guò)程中服務(wù)器端CPU的平均使用率。資源特性?xún)?nèi)存利用率在測(cè)試過(guò)程中服務(wù)器端內(nèi)存的平均使用率。容量并發(fā)用戶(hù)數(shù)軟件能夠支撐的最大并發(fā)用戶(hù)數(shù)量。存儲(chǔ)數(shù)據(jù)項(xiàng)數(shù)量軟件能夠支撐的最大存儲(chǔ)數(shù)據(jù)項(xiàng)數(shù)量。測(cè)試內(nèi)容如表7所示：表7 維護(hù)測(cè)內(nèi)容測(cè)試項(xiàng)目項(xiàng)目說(shuō)明易分析性狀態(tài)監(jiān)視能力在運(yùn)行中要記錄足以監(jiān)視軟件狀態(tài)的數(shù)據(jù)。易修改性參數(shù)表示的修改性軟件應(yīng)提供方便的參數(shù)修改手段，以便變更軟件適應(yīng)新的應(yīng)用。測(cè)試內(nèi)容如表8所示：表8 兼容測(cè)內(nèi)容測(cè)試項(xiàng)目項(xiàng)目說(shuō)明適應(yīng)性硬件環(huán)境適應(yīng)性軟件兼容產(chǎn)品說(shuō)明中要求的國(guó)產(chǎn)硬件環(huán)境。軟件環(huán)境適應(yīng)性軟件兼容產(chǎn)品說(shuō)明中要求的國(guó)產(chǎn)軟件運(yùn)行環(huán)境。共存性有效的共存性軟件能夠與產(chǎn)品說(shuō)明中列舉的國(guó)產(chǎn)軟件共存運(yùn)行。測(cè)試內(nèi)容如表9所示：表9 用戶(hù)檔試容測(cè)試項(xiàng)目項(xiàng)目說(shuō)明完備性標(biāo)識(shí)指示用戶(hù)文檔應(yīng)具有唯一的文檔標(biāo)識(shí)。使用信息用戶(hù)文檔應(yīng)包含使用該軟件所必需的信息。陳述所有功能用戶(hù)文檔應(yīng)說(shuō)明在產(chǎn)品說(shuō)明中陳述的所有功能以及最終用戶(hù)能調(diào)用的所有功能。差錯(cuò)和失效、數(shù)據(jù)丟失條件用戶(hù)文檔應(yīng)列出所處置的和引起應(yīng)用系統(tǒng)失效或終止的差錯(cuò)和失效，特別是那些導(dǎo)致數(shù)據(jù)丟失的應(yīng)用系統(tǒng)終止的結(jié)束條件。備份和恢復(fù)指南用戶(hù)文檔應(yīng)給出必要數(shù)據(jù)的備份和恢復(fù)指南。關(guān)鍵功能細(xì)則對(duì)于所有關(guān)鍵的軟件功能（即失效后會(huì)對(duì)安全產(chǎn)生影響或會(huì)造成重大財(cái)產(chǎn)損失或社會(huì)損失的軟件，用戶(hù)文檔應(yīng)提供完備的細(xì)則信息和參考信息。磁盤(pán)空間要求用戶(hù)文檔應(yīng)陳述安裝所要求的最小和最大磁盤(pán)空間。應(yīng)用管理對(duì)用戶(hù)要完成的應(yīng)用管理職能，用戶(hù)文檔應(yīng)包括所有必要的信息。集分標(biāo)識(shí)如果用戶(hù)文檔分若干部分提供，在該集合中至少有一處應(yīng)標(biāo)識(shí)出所有的部分。正確性用戶(hù)文檔中所有信息都應(yīng)是正確的，且不應(yīng)有歧義的信息。一致性用戶(hù)文檔不應(yīng)自相矛盾、互相矛盾，以及與產(chǎn)品說(shuō)明矛盾。易理解性用戶(hù)文檔應(yīng)采用軟件特定讀者可理解的術(shù)語(yǔ)和文體。根據(jù)自主可控的軟件要求，以及用戶(hù)文檔和軟件產(chǎn)品說(shuō)明，確定測(cè)試內(nèi)容。根據(jù)測(cè)試內(nèi)容及測(cè)試計(jì)劃中預(yù)定的測(cè)試方法，進(jìn)行測(cè)試用例的設(shè)計(jì)。按照測(cè)試設(shè)計(jì)要求，準(zhǔn)備相應(yīng)的測(cè)試環(huán)境，包括相關(guān)軟件、硬件設(shè)備，以及網(wǎng)絡(luò)環(huán)境等。按照設(shè)計(jì)的測(cè)試用例，實(shí)施測(cè)試，形成測(cè)試記錄。對(duì)測(cè)試記錄進(jìn)行整理和綜合分析。實(shí)施評(píng)價(jià)以確定軟件自主性與4.1要求的符合程度。實(shí)施評(píng)價(jià)以確定用戶(hù)文檔與4.2要求的符合程度。實(shí)施評(píng)價(jià)以確定軟件質(zhì)量與4.3要求的符合程度。符合性評(píng)價(jià)報(bào)告應(yīng)確立自主可控軟件與第4章要求的符合性。符合性評(píng)價(jià)報(bào)告應(yīng)包含以下各