DB44_T 1557-2015 移动智能终端软件安全性测试规范.docx

《DB44_T 1557-2015 移动智能终端软件安全性测试规范.docx》由会员分享，可在线阅读，更多相关《DB44_T 1557-2015 移动智能终端软件安全性测试规范.docx（23页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS.33.060.99M36备案号：47088-2015DB44广东省地方标准DB44/T15572015移动智能终端软件安全性测试规范2015-03-26发布2015-06-26实施广东省质量技术监督局发布DB44/T15572015目次前言I引言II1范围12规范性引用文件13术语和定义14总则25文档审查76源代码测试97可执行代码测试11附录A（资料性附录）代码安全缺陷测试内容16参考文献18DB44/T15572015前言本标准按照GB/T1.12009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由广东省质量技术监督局提出并

2、归口。本标准起草单位：珠海南方软件网络评测中心、佛山市南海区标准化研究与促进中心、魅族科技（中国）有限公司、广州市信息安全测评中心、广州市标准化研究院、珠海市软件行业协会。本标准主要起草人：侯建华、黄兆森、王忠福、何春江、黄华婕、周永康、彭宇帆、周晓斌、徐超、陈江玲、王学伟。本标准为首次发布。DB44/T15572015引言近年来，随着移动通信技术的发展和移动通信网络的不断完善，我国移动智能终端和移动互联网应用产业取得了巨大的发展，移动办公、手机支付等新兴移动业务日益兴旺。与此同时，由于移动智能终端软件的各种安全问题产生的安全事件频发，使用户对移动智能终端软件的安全性产生顾虑，进而影响到移动智

3、能终端和移动互联网应用的发展。移动智能终端软件的安全性问题越来越多地受到移动智能终端软件开发商、嵌入式操作系统提供商、移动运营商、政府监管部门和移动智能终端用户等社会各界的关注。本标准的制定，旨在通过提出移动智能终端软件的安全性测试规范，提高移动智能终端软件的安全性，避免用户的利益受到损害。DB44/T15572015移动智能终端软件安全性测试规范1范围本标准规定了移动智能终端软件在软件开发周期内的安全性测试活动和内容。本标准适用于移动智能终端软件生存周期的开发过程，适用于移动智能终端软件的开发方、需方和第三方测试机构。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件

4、，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T8566信息技术软件生存周期过程（GB/T8566-2007,ISO/IEC12207:1995,MOD）GB/T9386计算机软件测试文档编制规范GB/T11457信息技术软件工程术语GB/T15532计算机软件测试规范GB/T18492-2001信息技术系统及软件完整性级别（GB/T18492-2001,ISO/IEC15026:1998,IDT）GB/T20158信息技术软件生存周期过程配置管理(GB/T20158-2006,ISO/IECTR15846：1998,IDT)GJB/Z

5、142军用软件安全性分析指南YD/T2407-2013移动智能终端安全能力技术要求(YD/T2407-2013,ITU-TX.msec-6：2012,NEQ)YD/T2408移动智能终端安全能力测试方法3术语和定义GB/T8566、GB/T11457、GB/T15532、GB/T18492-2001、GJB/Z142、YD/T2407-2013界定的以及下列术语和定义适用于本文件。为了便于使用，以下重复列出了GB/T18492-2001、GJB/Z142、YD/T2407-2013中的一些术语和定义。3.1移动智能终端smartmobileterminal具有接入移动通信网能力，能够提供应用程

6、序开发接口的开放操作系统，并能够安装和运行第三方应用软件的移动终端。YD/T2407-2013，定义3.1.13.2移动智能终端软件smartmobileterminalsoftware运行于移动智能终端之上的程序以及程序的文档和数据。1DB44/T15572015注：本标准所提及的移动智能终端软件测试范围包括移动智能终端的应用软件和支撑软件。3.3项item能够作为单独考虑的一个实体，如一个零件、部件、子系统、设备或系统。一个项可以包括硬件、软件或两者兼而有之。GB/T18492-2001，定义3.103.4完整性级别integritylevel项的某个特性的取值范围的一种表示，该特性取值范

7、围对将系统风险保持在可容忍的限度内是必需的。对于执行缓减功能的项，此特性是指项必须执行缓减功能的可靠性。对于因其失效能导致一个威胁的项，此特性是指对该失效的频率或概率的限制。GB/T18492-2001，定义3.93.5风险risk一个给定威胁发生的概率及该威胁发生后的潜在不利后果的函数。GB/T18492-2001，定义3.123.6风险维riskdimension对系统进行风险评估采用的一种视点(如安全性、经济性、安全保密性)。GB/T18492-2001，定义3.133.7威胁threat系统或系统环境的一种状态，它能导致一个或多个给定的风险维内的负面作用。GB/T18492-2001，

8、定义3.213.8安全功能safetyfunction针对特定的威胁事件，为达到或保持系统的安全状态而实现的功能。4总则4.1测试目的移动智能终端软件安全性测试的目的是：a)验证移动智能终端软件是否满足软件开发合同或项目开发计划的安全性要求；b)验证移动智能终端软件安全性是否符合YD/T2407-2013的要求；c)发现移动智能终端软件的安全问题；d)为移动智能终端软件的安全性测量和评价提供依据。2DB44/T155720154.2测试类别本标准的测试类别包括：a)文档审查；b)源代码测试；c)可执行代码测试。可根据移动智能终端软件的规模、类型和完整性级别选择执行测试的类别。选择的测试类别应经

9、过投资方、开发方、政府监管部门、用户等利益相关方的同意。4.3测试组织移动智能终端软件安全性测试作为移动智能终端软件测试内容的一部分，一般与移动智能终端软件其他内容的测试共同开展。一般情况下，移动智能终端软件测试的测试组织应满足以下要求：a)测试应由相对独立的人员进行，可由不同机构组织实施；b)测试可在开发方内部随着项目的进展逐步完成，也可在完成开发后由需方或第三方同时完成所有类型的测试。4.4测试过程4.4.1概述移动智能终端软件测试的测试过程一般包括五项活动，分别是：测试策划、测试需求分析、测试设计、测试执行、测试总结。4.4.2测试策划移动智能终端软件的投资方、开发方、测试方、政府监管部

10、门、用户等利益相关方应参与软件测试策划活动。移动智能终端软件安全性测试的测试策划活动，应包括以下任务：a)明确软件开发合同或项目开发计划对移动智能终端软件的安全性要求；b)明确YD/T2407-2013对移动智能终端软件的安全性要求；c)明确投资方、开发方、政府监管部门、用户等利益相关方的其他特定安全性要求；d)确定安全性测试的类别、范围和时间要求；e)确定安全性测试的充分性要求；f)提出安全性测试策略、基本方法等技术要求；g)估算工作量；h)确定安全性测试的人员、材料、技术、环境、基础设施、数据等资源需求；i)确定环境和基础设施的规定；j)确定安全性测试的活动和任务要求；k)确定安全性测试的

11、工作产品要求；l)确定及时完成测试任务的进度安排；m)分配测试任务和人员职责；n)进行风险分析与评估；o)制定测试计划。4.4.3测试需求分析移动智能终端软件安全性测试的测试需求分析活动，应包括以下任务：a)分析软件开发合同或项目开发计划对移动智能终端软件的安全性要求，确定文档审查、源代码3DB44/T15572015测试及可执行代码测试的测试内容；b)分析YD/T2407-2013对移动智能终端软件的安全性要求，确定相关测试内容；c)分析开发方的具体实现技术和软件开发工程情况，确定相关测试内容。4.4.4测试设计移动智能终端软件安全性测试的测试设计活动，应包括以下任务：a)依据安全性测试需求

12、，分析并选用已有的测试用例或设计新的测试用例；b)分析由于设计、编码原因可能导致的安全问题，选用已有的测试用例或设计新的测试用例；c)可执行代码测试应分析测试用例与YD/T2408的符合性；d)获取并验证测试数据；e)根据测试资源、风险等约束条件，确定测试用例执行顺序；f)获取测试资源，如果需要，开发测试辅助软件；g)建立并校准测试环境，对测试的运行环境和测试工具环境进行安全性检查，确保测试运行环境和测试工具环境满足安全性测试要求；h)进行测试就绪评审，在进入下一阶段工作之前，应通过测试就绪评审。4.4.5测试执行移动智能终端软件安全性测试的测试执行活动，应包括以下任务：a)执行测试用例，详细

13、记录测试执行时与软件安全性相关初始状态、约束条件、有效类数据、无效类数据和测试结果，分析测试执行情况是否满足测试要求，判定测试结果是否与预期一致；b)根据不同的判定结果采取相应的措施，对测试过程的正常或异常终止情况进行核对，并根据核对结果，对未达到测试终止条件的测试用例，决定是停止测试，还是需要修改或补充测试用例集，并进一步测试。4.4.6测试总结移动智能终端软件安全性测试的测试总结活动，应包括以下任务：a)整理和分析测试数据，评价测试效果和测试软件项，总结测试完成情况，如实际测试与测试计划和测试说明的差异、测试充分性分析、未能解决的测试事件等；b)描述被测软件项的状态，如被测软件与需求的差异

14、、发现的软件差错等；c)分析被测软件与安全性需求和设计的符合性；d)分析被测软件与YD/T2407-2013的符合性；e)可执行代码测试应分析测试方法与YD/T2408的符合性；f)完成软件测试报告，并进行测试评审。4.5测试管理4.5.1过程管理4.5.1.1概述测试过程管理包括下述活动：a)启动和范围定义；b)策划；c)执行和控制；d)结束。4DB44/T155720154.5.1.2启动和范围定义启动和范围定义活动包括以下任务：a)在启动测试管理过程时应建立安全性测试的要求；b)当安全性测试的要求得以建立后，管理者应通过检查执行和管理安全性测试所需要的人员、材料、技术、环境、数据等资源的

15、可用性、充分性和适用性以及检查执行时间表的可完成性，来建立测试的可行性；c)若需要并经投资方、开发方、政府监管部门、最终用户等利益相关方的同意，可以在此刻修改安全性测试的要求以满足完成准则。4.5.1.3策划在策划活动中管理者应为安全性测试的执行制定计划。测试策划活动在软件安全性测试方面的任务应满足4.4.2的要求。4.5.1.4执行和控制执行和控制活动包括以下任务：a)管理者应启动测试计划的实施，以满足所设定的测试目标和准则，并对测试过程实施控制；b)管理者应监督测试过程的执行，提供测试过程进展的内部报告。如果需要，还应按照合同（或项目计划）的规定向测试委托方提供测试过程进展的外部报告。测试

16、过程进展的报告应对安全性测试的进度和状况进行说明；c)管理者应调查、分析和解决在测试过程执行期间发现的问题，包括安全性测试的问题。问题的解决可能导致对测试计划的变更。管理者应负责保证对变更的影响进行确定、控制和监督。问题及其解决方案应形成文档。4.5.1.5结束结束活动包括以下任务：a)当安全性测试的所有测试活动和任务结束时，管理者应根据合同中（或项目计划）中规定的准则确定安全性测试是否完成；b)管理者应检查安全性测试开展的活动和完成的任务的结果和记录是否完整，这些结果和记录应按规定在适当的环境中归档。4.5.2配置管理移动智能终端软件安全性测试应满足以下配置管理的要求：a)将被测试的移动智能

17、终端软件（包括开发文档、源代码、可执行代码和数据）、测试资源以及测试工作产品纳入配置管理；b)对移动智能终端软件、测试资源和测试工作产品进行的所有访问均进行权限控制；c)对配置管理项变更进行申请、分析、审批实施变更控制；d)对移动智能终端软件、测试资源和测试工作产品配置基线实施配置审核；e)移动智能终端软件变更时，测试方应针对软件变更进行软件安全性测试影响域分析，并调整软件安全性测试活动和测试内容，实施回归测试。配置管理的详细要求按GB/T20158执行。4.5.3测试准入准出条件5DB44/T155720154.5.3.1测试准入条件开始移动智能终端软件安全性测试工作一般应具备下列条件：a)

18、具有测试合同（或项目计划），测试合同（或项目计划）中包含安全性测试的要求；b)具有移动智能终端软件的需求规格说明和设计文档，软件需求规格说明中应包括移动智能终端软件的安全性需求，软件设计文档中应包括移动智能终端软件的安全性设计；c)所提交的被测软件的开发文档、源代码和可执行代码受控；d)所提交的被测源代码正确通过编译或汇编；e)具有开展移动智能终端软件安全性测试的运行环境和工具，且运行环境和工具满足安全性测试的要求。4.5.3.2测试准出条件结束移动智能终端软件安全性测试工作一般应具备下列条件：a)安全性测试的测试文档齐全、符合规范；b)已按要求完成了合同（或项目计划）所规定的安全性测试任务；

19、c)实际测试过程遵循了原定的测试计划和测试说明；d)客观、详细地记录了安全性测试的过程和结果；e)安全性测试的全过程自始至终在控制下进行；f)测试中的安全问题或异常已与委托方达成一致；g)安全性测试工作通过了测试评审；h)测试的规范性、充分性和有效性已得到委托方确认；i)安全性测试的全部被测软件、测试资源和测试工作产品已纳入配置管理。4.6测试文档移动智能终端软件安全性测试的测试文档可以与移动智能终端软件其他内容的测试文档合并，也可以单独形成自己的文档。测试文档一般包括测试计划、测试说明（需要时进一步细分为测试设计说明、测试用例说明和测试规程说明）、测试项传递报告、测试日志、测试记录、测试问题

20、报告（也称测试事件报告）和测试总结报告，测试文档的内容应满足GB/T9386的要求。4.7测试环境测试环境包括测试的运行环境和测试工具环境，在执行安全性测试前，应检查移动智能终端软件安全性测试的运行环境和测试工具环境中部署的软件是否配置正确，是否需要安装最新的软件补丁，当测试环境无法完全满足安全性测试的要求时，应分析测试环境对安全性测试结果的影响，并评估其影响程度，并尽可能采取措施控制测试风险或降低测试结果影响程度。4.8评审4.8.1评审人员对移动智能终端软件的安全性测试进行评审应组织利益相关方参与，包括投资方、开发方、测试方、政府监管部门的人员以及用户代表。4.8.2评审时间在执行移动智能

21、终端软件安全性测试前应进行测试就绪评审，在完成移动智能终端软件安全性测试后应进行测试评审。6DB44/T155720154.8.3评审内容4.8.3.1测试就绪评审在进行测试就绪评审时应对移动智能终端软件安全性测试的以下内容进行评审：a)评审测试文档中安全性测试内容的完整性、正确性和规范性；b)评审测试组织、环境和设备工具是否齐备并符合安全性测试要求；c)评审测试活动的独立性；d)评审测试项选择的完整性和合理性；e)评审测试计划的合理性；f)评审测试用例的可行性、正确性、有效性和覆盖充分性；g)评审测试用例执行顺序的合理性；h)评审测试方法的合理性；i)评审测试风险的可控性。4.8.3.2测试

22、评审在进行测试评审时应对移动智能终端软件安全性测试的以下内容进行评审：a)评审文档和记录中安全性测试内容的完整性、正确性和规范性；b)评审测试活动的独立性和有效性；c)评审测试环境是否符合安全性测试要求；d)评审测试记录、测试数据以及测试报告内容与实际测试过程和结果的一致性；e)评审实际测试过程与测试计划和测试说明的一致性；f)评审未测试项和新增测试项的合理性；g)评审测试结果的真实性和正确性；h)评审对测试过程中出现的异常进行处理的正确性；i)评审测试问题严重等级划分的合理性；j)评审测试问题修复建议的合理性。5文档审查5.1概述软件文档作为软件产品的组成部分，需与相关程序测试一并进行审查，

23、确保软件文档之间、软件文档与程序之间保持一致、正确。文档审查的主要对象包括系统需求规格说明、系统设计说明、软件需求规格说明、软件概要设计说明和软件详细设计说明。5.2系统需求规格说明审查系统需求规格说明审查一般应包括以下安全相关内容：a)是否列出了移动智能终端所有可能发生的威胁。例如：用户隐私数据泄露，话费损失，系统崩溃等；b)对于列出的威胁，是否规定了用于消除或控制威胁的安全功能需求，包括安全控制、安全监视、失效处理等安全功能；c)是否确定了所有安全功能的完整性级别，可按照GB/T18492-2001的规定确定所有安全功能的完整性级别；7DB44/T15572015d)安全功能是否符合YD/

24、T2407-2013的安全性要求；e)其他需要审查的内容。5.3系统设计说明审查系统设计说明审查一般应包括以下安全相关内容：a)系统结构设计是否将系统的所有安全需求分配给了指定的硬件、软件和人工操作项；b)是否考虑了移动智能终端软件与其他配置项之间接口的安全性；c)是否规定了移动智能终端软件功能的安全约束条件；d)是否考虑了移动智能终端软件适配不同移动智能终端硬件设备的安全性；e)是否进行了系统需求规格说明其他需求与安全性相关的分析。5.4软件需求规格说明审查软件需求规格说明审查一般应包括以下安全相关内容：a)安全性需求是否能完整追溯到系统设计说明分配给移动智能终端软件的安全需求；b)安全性需

25、求是否考虑了以下内容：1)对移动智能终端硬件设备和操作系统的错误进行检测、报警和处理；2)对移动智能终端软件本身的错误进行检测、报警和处理；3)对其他硬件和软件的错误进行检测、报警和处理。c)是否明确了移动智能终端软件的外部接口和设计约束；d)安全性需求是否具有设计和实现的可行性；e)安全性需求是否具有可测试性；f)安全性需求是否清晰准确；g)安全性需求自身是否保持一致；h)其他需要审查的内容。5.5软件概要设计说明审查软件概要设计说明审查一般应包括以下安全相关内容：a)安全功能是否能溯源到软件需求规格说明中的安全功能，显示对于软件安全性需求的依从性；b)是否将所有的软件安全功能分配给了指定的

26、软件部件；c)是否考虑了以下安全相关内容：1)将安全功能与非安全功能进行隔离；2)考虑容错、避错、冗余和多样性的设计策略；3)使用奇偶校验或CRC校验确保数据传输的正确性。d)安全相关软件部件的接口是否安全；e)是否确定了安全相关软件部件的设计约束；f)是否选择了合适的软件支持工具和编程语言；g)是否为安全相关软件部件制定了合适的安全编码标准；h)采用的操作系统的安全机制能否满足软件安全性需求；i)对安全相关软件部件进行详细设计的可行性；j)安全性设计是否易于验证和确认；k)安全性设计在现有技术条件下是否能按时实现；l)安全性设计是否清晰准确；m)安全性设计自身是否保持一致；8DB44/T15

27、572015n)其他需要审查的内容。5.6软件详细设计说明审查软件详细设计说明审查一般应包括以下安全相关内容：a)安全功能是否能溯源到软件概要设计说明中的安全功能，显示对于软件概要设计说明的依从性；b)是否将软件部件的所有安全功能分配给了指定的软件单元；c)安全相关软件单元的接口是否安全；d)是否确定了安全相关软件单元的设计约束；e)安全性设计是否满足模块化要求；f)安全功能是否具有编码的可行性；g)安全性设计是否易于验证；h)安全功能的算法是否安全；i)安全功能的算法的复杂度是否满足要求；j)安全性设计是否清晰准确；k)安全性设计自身是否保持一致；l)其他需要审查的内容。6源代码测试6.1代

28、码审查6.1.1组织形式代码审查组由四人以上组成，分别为组长、资深程序员、程序编写者与专职测试人员。组长应由具有编程经验、有较强的组织协调和表达能力的人员来担当，他不能是被测试程序的编写者。组长负责分配资料、安排计划、主持会议、记录并保存被发现的差错。如果代码审查由第三方组织实施，审查组应与程序编写者对发现的问题进行讨论，形成双方共同认可的审查结果，以避免由于理解不一致带来的问题。6.1.2审查过程代码审查的过程如下：a)准备：组长提前把移动智能终端软件的相关文档、源代码清单及有关要求、规范等材料分发给审查组成员，作为审查的依据。分发的材料中应包括安全编码的详细要求。审查组成员熟悉这些材料，被

29、测程序的设计人员和程序编写者要向审查组详细说明审查材料，并回答审查组成员提出的问题；b)程序阅读：审查组成员充分阅读代码和相关材料，对照代码审查单检查程序，记录发现的问题；c)会议审查：审查会由组长主持。程序编写者首先逐句讲解程序，在此过程中，程序编写者或其他审查人员可提出问题，审查错误是否存在。然后，审查组成员利用代码审查单进行分析讨论，在讨论的过程中，组长负责保证讨论沿着建设性方向前进，而其他人则集中于发现错误，但不去纠正错误。最后，审查组对讨论的问题形成统一意见；d)形成报告：审查组在会后应做出总结审查结果的书面报告或审查问题表，尽快交给开发人员。如果发现错误较多或发现重大错误，那么在软

30、件开发人员改正错误之后，组长应再次组织审9DB44/T15572015查会议。6.1.3审查内容代码审查一般应审查以下安全相关内容：a)是否能溯源到软件需求，以显示对于软件需求的依从性；b)是否覆盖了软件安全性需求和软件设计的要求，软件安全性需求已经完整地由相应的代码实现；c)软件代码是否与软件详细设计、软件概要设计、软件安全性需求和系统安全性需求的外部一致，以及软件代码的内部一致；d)安全性功能的代码是否满足模块化、可验证、易安全修改的要求；e)是否符合设计活动中对于语言和编码标准的要求；f)是否基于或限于定义清晰的符号，源代码是否可读、易理解和标准化；g)是否充分注解安全相关的代码，是否对

31、安全性相关代码加以适当注解，以降低未来因代码变更而引起威胁状态的可能性；h)使用的技术和方法的合理性；i)其他安全相关的内容。6.2代码走查6.2.1组织形式代码走查组由四人以上组成，分别为组长、秘书、资深程序员与专职测试人员。组长应由具有编程经验、有较强的组织协调和表达能力的人员来担当，负责分配资料、安排计划、主持会议；秘书负责记录发现的错误；测试人员应是具有经验的程序设计人员，或者是精通程序设计语言人员且从未介入被测程序的设计工作的技术人员。被测试程序的编写者可以作为走查组成员。如果代码走查由第三方组织实施，走查组应与程序编写者对发现的问题进行讨论，形成双方共同认可的走查结果，以避免由于理

32、解不一致带来的问题。6.2.2走查过程代码走查的过程如下：a)准备：组长提前把移动智能终端软件的相关文档和源代码分发给走查组成员，走查组成员详细阅读材料、认真研究程序；b)生成测试实例：走查组的测试人员根据被测程序设计测试实例，测试实例可以按照使用要求进行设计，还可以按照详细设计的程序流程图进行设计。测试实例包括具有一定代表性的输入数据及其期望输出结果。走查组应尽可能多地设计测试实例，对于安全功能的走查，应尽可能多地设计违反约束的实例；c)会议走查：走查组举行会议，组长主持会议。在会上，测试人员讲述每个测试实例的程序执行过程，其他人员扮演计算机角色，对每个测试实例用头脑来替代计算机执行程序，记

33、录程序状态（变量的值）。对于安全性要求高的移动智能终端软件，走查时应逐条语句记录程序的状态，对于安全性要求较低的移动智能终端软件，走查时至少应在程序的路径或控制流发生变化时记录程序的状态。在这个过程中，如果发现问题由秘书记录下来，中间不讨论任何纠错问题，主要是发现错误；d)形成报告：会后，走查组要将发现的错误形成报告，交给软件开发人员。如果发现错误较多或发现重大错误，那么在软件开发人员改正错误之后，组长应再次组织走查会议。10DB44/T155720156.2.3走查内容代码走查设计的实例应关注控制算法、状态迁移、处理机制、故障模式及故障树处理、时间顺序、空间关联等因素的安全性影响。6.3静态

34、分析6.3.1组织形式源代码静态分析一般应配备以下角色的人员：a)测试项目负责人：管理测试项目，提供技术指导，获取适当资源，负责项目的总体质量管理；b)测试分析员：确定测试计划、测试内容、测试方法、测试（软、硬件）环境、测试工具，分析测试结果，评估测试工作的有效性；c)测试员：建立测试环境，执行测试，记录测试结果；d)测试监督人员：对测试过程的规范性、测试工作产品的符合性和测试结果的可信性进行监督；e)测试系统管理员：对测试环境和资产进行管理和维护；f)配置管理员：设置、管理和维护测试配置管理。注：一个人可承担多个角色，一个角色也可由多个人承担。6.3.2测试内容和方法6.3.2.1静态结构分

35、析移动智能终端软件安全性测试的静态结构分析应绘制出安全功能源代码的控制流程图和程序调用关系图，静态结构分析人员应将控制流程图和程序调用关系图与移动智能终端软件的概要设计说明和详细设计说明进行比较，验证移动智能终端软件的源代码是否符合概要设计和详细设计的要求。6.3.2.2代码安全缺陷测试移动智能终端软件的代码安全缺陷测试宜先采用自动化测试工具对安全功能相关的源代码进行扫描，然后对扫描结果进行人工分析，筛除误报的安全缺陷。代码安全缺陷测试的内容可参见附录A。6.3.2.3编码标准测试移动智能终端软件的编码标准测试应采用自动化测试工具扫描的方式对移动智能终端软件的安全功能源代码进行检查，验证安全功

36、能源代码是否符合软件概要设计说明中规定的安全编码标准要求。6.3.3测试环境6.3.3.1测试运行环境静态分析可在开发支持环境中进行，也可脱离开发支持环境独立进行，这取决于所选择的静态分析工具。6.3.3.2测试工具环境静态分析的测试工具应满足以下要求：a)测试工具的功能和性能应满足静态分析的要求；b)测试工具应支持被测源代码的开发语言；c)测试工具的静态分析规则库应覆盖被测移动智能终端软件需要测试的安全缺陷和编码规则；d)测试工具测试安全缺陷和编码规则的准确性应满足静态分析的要求。11DB44/T155720157可执行代码测试7.1组织形式移动智能终端软件可执行代码测试一般应配备以下角色的

37、人员：a)测试项目负责人：管理测试项目，提供技术指导，获取适当资源，负责项目的总体质量管理；b)测试分析员：确定测试计划，测试内容、测试方法、测试数据生成方法、测试（软、硬件）环境、测试工具，评估测试工作的有效性；c)测试设计员：设计测试用例，确定测试用例的优先级，建立测试环境；d)测试程序员：编写测试辅助软件；e)测试员：执行测试、记录测试结果；f)测试监督人员：对测试过程的规范性、测试工作产品的符合性和测试结果的可信性进行监督；g)测试系统管理员：对测试环境和资产进行管理和维护；h)配置管理员：设置、管理和维护测试配置管理。注：一个人可承担多个角色，一个角色也可由多个人承担。7.2测试内容

38、7.2.1应用软件测试当测试对象为移动智能终端的应用软件时，应对以下安全相关内容进行测试：a)是否存在未向用户明示并经用户同意，擅自收集用户数据的行为，包括在用户无确认情况下开启通话录音、本地录音、拍照/摄像、定位、记录用户操作内容和操作习惯等行为；b)测试应用软件是否存在未向用户明示并经用户同意，擅自修改用户数据的行为，包括在用户无确认情况下删除或修改用户电话本数据、通话记录、短信数据和彩信数据等行为；c)测试应用软件是否存在未向用户明示并经用户同意，擅自调用终端通信功能造成用户流量消耗的行为，包括在用户无确认情况下通过移动通信网络数据连接、WLAN网络连接和无线外围接口传送数据等行为；d)

39、测试应用软件是否存在未向用户明示并经用户同意，擅自调用终端通信功能造成用户费用损失的行为，包括在用户无确认情况下拨打电话、三方通话、发送短信、发送彩信和开启移动通信网络连接并收发数据等行为；e)测试应用软件是否存在未向用户明示并经用户同意，擅自调用终端通信功能造成用户信息泄露的行为，包括在用户无确认情况下读取并传送用户电话本数据、通话记录、短信数据、彩信数据、通话录音、本地录音、图片、视频、音频、定位信息、用户操作内容和操作习惯等行为；f)测试应用软件对自身数据的安全保护能力，包括是否能防止数据被非法修改，是否能防止数据被窃取，敏感数据是否加密保存和传输，软件崩溃后用户数据是否不丢失等功能；g

40、)测试应用软件是否存在未向用户明示并经用户同意，自动安装和启动应用程序的行为；h)测试应用软件是否存在安装后找不到相应的图标的行为；i)测试应用软件是否具备可改变通信系统提示信号的功能；j)测试应用软件是否包含数字签名；k)测试应用软件是否提供卸载功能，卸载时是否能够完全卸载掉安装进去的文件和后台服务；l)测试应用软件删除用户使用软件所产生的用户文件时是否有提示；m)测试应用软件的卸载是否影响其他软件功能；n)测试应用软件与操作系统之间接口的安全性；12DB44/T15572015o)测试应用软件与其他应用软件之间接口的安全性；p)测试应用软件与其他系统联网进行通信的安全性；q)测试应用软件图

41、形用户界面的安全性；r)测试应用软件是否包含国家法律法规禁止的内容；s)测试应用软件是否为传播发布国家法律法规禁止信息内容提供服务；t)测试其他可能影响移动智能终端应用软件安全性的功能或特性。7.2.2支撑软件测试移动智能终端软件的支撑软件包括操作系统、嵌入式数据库、驱动等为应用软件提供支撑服务的软件。当测试对象为专门研制的支撑软件时，应对支撑软件的功能进行全面的安全性测试；当测试对象为定制或重用的支撑软件，应重点对支撑软件的接口、参数进行可能影响安全的适配性、恢复性等测试。支撑软件的安全性测试相关内容可包括：a)测试操作系统自身的安全控制功能，包括：1)移动通信网络数据连接开启/关闭；2)WLAN网络连接开启/关闭；3)蓝牙接口开启/关闭；4)蓝牙配对连接必须经过用户确认；5)近距离无线通讯技术（NFC）接口开启/关闭；6)只允许使用授权的操作系统进行系统更新；7)使用既可用于充电又可进行数据连接的有线外围接口连接至计算机时，要求用户选择“充电模式”或“数据连接模式”，选择“充电模式”时，计算机不可访问移动