安全性测试方法采用访谈、检查、测试三种基本的方法并按照提供的系统安全解决方案,结合功能测试和安全性测试工具完成,最终通过安全性测试结果对系统整体安全体系进行评估。
1) 访谈。主要是通过与技术开发和管理人员交流和访谈等,获取相关安全测试的证据。
2) 检查。包括文档查阅和现场核查,文档查阅通过检查技术及管理相关文档和记录,获取相关证据;现场核查主要通过对检查对象进行现场观察、查验、分析等活动,获取相关证据以证明信息系统安全保护措施是否得以有效实施。
3) 测试。包括人工测试和工具测试,人工测试通过人工执行相关的命令或程序,查看被信息系统产生的特定响应,分析响应输出的结果,获取证据以证明信息系统安全保护措施是否得以有效实施;工具测试采用自动化工具对测评对象产生的特定响应等活动进行查看,分析响应输出结果,获取证据以证明信息系统安全保护措施是否得以有效实施。