信息安全性?般划分为以下6个?特性：保密性、完整性、抗抵赖性、可核查性、真实性、信息安全性的依从性。

保密性
要求：产品或系统确保数据只有在被授权时才能被访问的程度。

测试内容：

1.验证软件产品是否具有对系统正常访问的控制能?依据安全策略和?户??没置访问控制矩阵，?户权限应遵循“最?权限原则”。

2.测试系统是否进??户?份鉴别，并在每次?户登录系统时进?鉴别。

3.测试软件鉴别信息是否为不可见，且具有相应的抗攻击能?，并在存储或传输时?加密?法/具有相同安全强度的其他?法进?安全保护。

4.验证数据在传输过程中不被窃听，对整个通信过程中的整个报?或会话过程进?加密，如采?3DES(三重数据加密算法)、AES(?级加密标准)和IDEA(国际数据加密算法)等加密处理。

5.明确区分系统中不同?户权限，系统不会因?户的权限的改变造成混乱。

6.合适的?份认证?式，?户登密码是否是可见、可复制，密码的存储和传输安全，密码策略保证密码安全。

7.测试系统是否对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进?预先定义，并明确规定达到该值时是否采取了具有规范性和安全性的措施来实现鉴别失败的处理。

8.软件应能防?对程序和数据的未授权访何(不管是?意的还是故意的)。

完整性
要求：系统、产品或组件防?未授权访问、篡改计算机程序或数据的程度。

测试内容：

1.验证对软件产品是否具有对未授权?户?法访问的控制能?。

2.采?专业测试?具开展“渗透测试”、“漏洞扫描”等?段，在模拟?法?侵攻击事件的条件下，验证软件产品是否有控制和处理能?。

3.验证软件产品对?授权?创建、删除或修改信息是否有控制处理能?。

4.软件应能识别出对结构数据库或?件完整性产?损害的事件，且能阻?该事件，并通报给授权?。

5.系统数据的完整性、可管理性可备份和可恢复能?，数据传输、数据使?、数据存储的完整性。

抗抵赖性
要求：活动或事件发?后可以被证实且不可被否认的程度。

测试内容：

1.测试软件是否具有在请求的情况下为数据原发者提供数据原发证据的功能。

2.测试软件是否具有在请求的情况下为数据接收者提供数据接收证据的功能。

3.测试软件是否使?数字证书等?式保证?户的?份认证，在收到请求的情况下为数据原发者或接受者提供数据原发和接收的证据。

4.测试软件是否具备完整且?法篡改的审计记录，确保?户操作可经过审计及追踪。系统操作?志/审计、异常?志、告警?志，审计?志的完整性、保密性。

5.验证审计?志的管理，?志不能被任何?修改和删除，能够形成完整的证据链。

可核查性
要求：实体的活动可以被唯?地追溯到该实体的程度。

测试内容：

1.测试系统是否将?户进程与所有者?户相关联，使?户进程?为可以追溯到进程所有者?户。

2.测试系统是否将系统进程动态地与当前服务要求者?户相关联，使系统进程的?为可以追溯到。

3.测试系统或软件的审计模块，检查模块是否具有完善的安全审计功能考察启?安全审计功能后，覆盖?户的多少和安全事件的程度，覆盖到每个?户活动，?志记录内容?少应包括事件?期、事件、发起者信息、类型、描述和结果等，审计跟踪设置是否定义了审计跟踪极限的阀值，当存储空间被耗尽时，能否采取必要的保护措施。

4.账户管理，包括账户唯?性、登录机制、密码管理策略。

5.会话管理，设计登录成功使?新的会话:设计会话数据的存储安全；设计会话数据的传输安全；设计会话的安全终?；设计合理的会话存活时间:设计避免跨站请求伪造。

真实性
要求：对象或资源的?份标识能够被证实符合其声明的程度。

测试内容：

1.验证软件是否具有当前使?系统的?户列表和配置表。

2.验证软件在系统的访问历史数据库中记录的访问登录记录是否完整。

3.检查软件是否具有?户使?系统的历史?志及?志管理功能。

4.在模拟攻击事件的?侵的情况下，验证软件的?志内容是否有相关记录。

5.检查软件中的“?户访问系统和数据”的记录内是否包括防?病毒的“病毒检测记录”。