安全测试信息的检验方法技术

本申请公开一种安全测试信息的检验方法

【技术实现步骤摘要】
安全测试信息的检验方法、装置、存储介质和设备


[0001]本申请属于安全测试
，尤其涉及一种安全测试信息的检验方法
、
装置
、
存储介质和设备
。

技术介绍

[0002]按投产检验规范要求，开发交付版本需经过投产检验后才可投产
。
其中包含了安全测试检验
。
安全测试检验分为两个检验阶段：投产检验准入阶段，准出阶段
。
准入阶段需要检验的信息包括明文口令扫描测试信息
、
串联网络应用防火墙
(Web Application Firewall
，
waf)
验证必要性评估及测试信息
、app
静态安全扫描测试信息，准出阶段需要检核的内容包括敏感信息扫描测试信息
。
[0003]当前，安全测试信息结果交付及检验处于人工处理阶段，检验过程的工作量大耗时长，处理效率低下，并且检验质量得不到保证，信息资产沉淀保存困难
。

技术实现思路

[0004]为此，本申请公开如下技术方案，以提供一种自动的安全测试信息的检验方案
。
[0005]本申请第一方面提供一种安全测试信息的检验方法，包括：
[0006]获得被测版本的投产基线的安全测试信息文件；
[0007]根据预先配置的特征提取参数，从所述安全测试信息文件提取得到检验特征；
[0008]根据所述检验特征和预设的检验标准检验所述安全测试信息文件，获得检验结果
。
[0009]本申请第二方面提供一种安全测试信息的检验装置，包括：
[0010]获得单元，用于获得被测版本的投产基线的安全测试信息文件；
[0011]提取单元，用于根据预先配置的特征提取参数，从所述安全测试信息文件提取得到检验特征；
[0012]检验单元，用于根据所述检验特征和预设的检验标准检验所述安全测试信息文件，获得检验结果
。
[0013]本申请第三方面提供一种计算机存储介质，用于存储计算机程序，所述计算机程序被执行时，具体用于实现本申请第一方面任意一项所提供的安全测试信息的检验方法
。
[0014]本申请第四方面提供一种电子设备，包括存储器和处理器；
[0015]所述存储器用于存储计算机程序；
[0016]所述处理器用于执行所述计算机程序，具体用于实现本申请第一方面任意一项所提供的安全测试信息的检验方法
。
[0017]本申请公开一种安全测试信息的检验方法
、
装置
、
存储介质和设备，方法包括，获得安全测试信息文件；根据预先配置的特征提取参数，从安全测试信息文件提取得到检验特征；根据检验特征和预设的检验标准检验安全测试信息文件，获得检验结果
。
本方案利用预先配置的特征提取参数和检验标准，实现对安全测试信息文件的自动检验，从而提高安
全测试检验的效率
。
附图说明
[0018]为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图
。
[0019]图1是本申请实施例提供的一种安全测试信息的检验系统的示意图；
[0020]图2是本申请实施例提供的一种安全测试信息的检验方法的流程图；
[0021]图3是本申请实施例提供的一种安全测试信息的检验装置的结构示意图；
[0022]图4是本申请实施例提供的一种电子设备的结构示意图
。
具体实施方式
[0023]下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚
、
完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例
。
基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围
。
[0024]为便于理解本申请的技术方案，首先对可能涉及的部分术语进行解释
。
[0025]投产检验，是指根据需要对开发交付版本进行投产前的检查和测试，包括交付准入和检验实施两部分
。
[0026]安全测试检验，是指检验版本落实安全方案设计
、
符合软件开发安全规范要求情况的控制过程，主要检查版本投产前是否完成相应的安全测试，是否存在未修复或未制定应对措施的安全漏洞和隐患
。
[0027]投产基线，每一个开发完成并等待交付的软件版本，都对应有一个投产基线
。
投产基线可以理解为一个信息集合，该信息集合包括这个软件版本在交付之前所经过的所有工作流程，包括但不限于设计阶段，开发阶段和测试阶段的相关记录和信息
。
[0028]本实施例提供的安全测试信息的检验方法，可以由运行在计算机上的安全测试信息的检验系统执行，该系统可以视为一种计算机软件，请参见图1，该系统可以包括检核文件上传模块，自动检核模块和更新系统审核状态模块
。
[0029]其中，检核文件上传模块用于获取投产基线的安全测试信息文件
。
[0030]自动检核模块用于从安全测试信息文件中提取得到检验特征，以及用于根据提取到的检验特征进行分析，获得投产基线对应的检验结果
。
[0031]更新系统审核状态模块用于根据自动检核模块输出的检验结果，更新被测版本的审核状态，例如，检验结果是通过，则更新系统审核状态模块就将被测版本的审核状态更新为通过
。
[0032]需要说明的，更新系统审核状态模块为可选的模块，在一些实施例中，自动检核模块输出的检验结果也可以直接通过显示器向相关用户显示，而不通过更新系统审核状态模块自动更新
。
[0033]本实施例中，自动检核模块支持参数化配置，随着安全测试工作的开展深入，用户
可以通过参数化配置的方式调整自动检核模块的配置参数，从而灵活更新自动检核模块提取检验特征的方式，提取的检验特征的类型，以及自动检核模块分析检验特征时所依据的检验标准
(
也可以称为检核规则
)。
[0034]安全测试信息的检验系统可以在计算机后台定时启动并运行，从而周期性地对提交的安全测试信息文件进行分析
。
[0035]请参见图2，为本申请实施例提供的一种安全测试信息的检验方法的流程图，该方法可以包括如下步骤
。
[0036]S201
，获得被测版本的投产基线的安全测试信息文件
。
[0037]安全测试信息文件，可以由相关人员手动上传，也可以在执行本实施例的检验系统和测试系统之间建立数据连接，由检验系统本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种安全测试信息的检验方法，其特征在于，包括：获得被测版本的投产基线的安全测试信息文件；根据预先配置的特征提取参数，从所述安全测试信息文件提取得到检验特征；根据所述检验特征和预设的检验标准检验所述安全测试信息文件，获得检验结果
。2.
根据权利要求1所述的方法，其特征在于，所述检验特征包括扫描测试系统清单，扫描任务标识和明文口令扫描漏洞明细；所述根据所述检验特征和预设的检验标准检验所述安全测试信息文件，获得检验结果，包括：获得第一检验结果为未提交或者不通过的投产基线，所述第一检验结果为所述投产基线的明文口令扫描测试的检验结果；比对所述投产基线和所述检验特征，以更新所述第一检验结果
。3.
根据权利要求1所述的方法，其特征在于，所述检验特征包括，互联网接入系统清单，所述投产基线的评估表和第一交付结果，所述第一交付结果用于指示所述投产基线对应的串联网络应用防火墙验证测试的测试报告是否被提交；所述根据所述检验特征和预设的检验标准检验所述安全测试信息文件，获得检验结果，包括：获得第二检验结果为未提交的投产基线，所述第二检验结果为所述投产基线的串联网络应用防火墙验证测试的检验结果；比对所述投产基线和所述检验特征，以更新所述第二检验结果
。4.
根据权利要求1所述的方法，其特征在于，所述检验特征包括，所述投产基线的应用信息和第二交付结果，所述第二交付结果用于指示所述投产基线的应用扫描测试报告是否被提交，所述应用信息用于指示所述投产基线是否涉及应用版本；所述根据所述检验特征和预设的检验标准检验所述安全测试信息文件，获得检验结果，包括：获得第三检验结果为未提交的投产基线，所述第三检验结果为应用静态扫描测试的检验结果；比对所述投产基线和所述检验特征，以更新所述第三检验结果
。5.
根据权利要求1所述的方法，其特征在于，所述检验特征包括扫描测试系统清单，扫描任务号和敏感信息扫描漏洞明细；所述根据所述检验特征和预设的检验标准检验所述安...

【专利技术属性】
技术研发人员：赵素华，刘天宝，
申请(专利权)人：中国建设银行股份有限公司，
类型：发明
国别省市：