[发明专利]电力信息系统上线前安全测试方法

说明书

技术领域

本发明涉及信息安全技术，尤其涉及电力信息系统上线前安全测试方法。

背景技术

近年来电力企业迅速推广应用信息技术，新的信息技术的应用在给企业运转来带巨大方便和高效的同时，也带来了潜在的安全风险。其原因在于，信息技术发展速度过快，而为之保驾护航的信息安全技术如数据库、WEB信息系统安全测试等方面发展极为不平衡。由于国内的电力信息系统（例如ERP、电力MIS等系统）及其软件测试体系起步晚，加之电力信息系统自身的特殊性，其发展尚不成熟，很多国内的电力信息系统都是在未经安全测试的情况下就直接上线了，而如果在上线后发现安全问题再设法克服。这样以来，由于未经上线前安全测试，这些电力信息系统上线后带来安全隐患概率较大。

目前也有少部分电力信息系统在上线前进行了安全测试，但是，其是将整个电力信息系统整体进行渗透性测试，一旦测试过程的某一环节发生错误，需全部进行测试回退，即重新从头开始测试，从而影响了测试效率。并且，这种测试没有考虑到安全配置的因素，如果电力信息系统的安全配置情况有问题则会直接影响渗透性测试的结果，从而导致不能正确反映电力信息系统的真实安全性能。

发明内容

本发明的目的在于提供一种电力信息系统上线前安全测试方法，以提高电力信息系统的测试效率和测试准确度。

为达到上述目的，本发明提供了一种电力信息系统上线前安全测试方法，包括以下步骤：

从电力信息系统的用户配置文件中提取操作系统安全配置文件、中间件安全配置文件和数据库安全配置文件；

分别对应判断所述操作系统安全配置文件、所述中间件安全配置文件和所述数据库安全配置文件是否符合预设的操作系统标准安全策略、中间件标准安全策略和数据库标准安全策略；

如果有不符合的，则调整该安全配置文件使之符合对应的安全策略；

对所述电力信息系统的操作系统、中间件和数据库分别独立进行渗透性测试，获得所述电力信息系统安全性能。

本发明在安全测试前先对电力信息系统的安全配置文件进行检查，以确保所有的安全配置都正确，在此基础上在进行进行渗透性测试，从而能够正确的测试出电力信息系统的真实安全性能。此外，本发明实施例将整个电力信息系统划分为三个独立的部分（即操作系统、中间件和数据库），并对这三个部分别独立进行渗透性测试，当操作系统、中间件或数据库三个部分中任意一部分在测试过程的某一环节发生错误时，只需针对错误部分重新进行测试，而其他两部分则无需重新测试，从而不必将整个电力信息系统全都重新测试，因而提高了测试效率。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，并不构成对本发明的限定。在附图中：

图1为本发明实施例电力信息系统上线前安全测试方法的流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施例和附图，对本发明做进一步详细说明。在此，本发明的示意性实施例及其说明用于解释本发明，但并不作为对本发明的限定。

下面结合附图，对本发明的具体实施方式作进一步的详细说明。

请参阅图1所示，本发明实施例的电力信息系统上线前安全测试方法，包括以下步骤：

步骤S1、从电力信息系统的用户配置文件中提取操作系统安全配置文件、中间件安全配置文件和数据库安全配置文件；

步骤S2、分别对应判断操作系统安全配置文件、中间件安全配置文件和数据库安全配置文件是否符合预设的操作系统标准安全策略、中间件标准安全策略和数据库标准安全策略。如果操作系统安全配置文件、中间件安全配置文件和数据库安全配置文件均对应符合预设的操作系统标准安全策略、中间件标准安全策略和数据库标准安全策略，则直接执行步骤步骤S4，否则执行步骤S3及其后续步骤。

步骤S3、如果有不符合的，则调整该安全配置文件使之符合对应的安全策略。

步骤S4、对电力信息系统的操作系统、中间件和数据库分别独立进行渗透性测试，获得电力信息系统安全性能。其中的渗透性测试为黑盒测试、白盒测试或灰盒测试。可选择的，为了进一步提高测试效率，电力信息系统的操作系统、中间件和数据库的渗透性测试可分别独立同步进行。

在本发明实施例中，操作系统标准安全策略包括标准Windos系统安全策略；标准Windos系统安全策略包括账号管理及认证授权控制策略、日志配置策略、通信协议选择策略以及关闭与业务或应用无关的系统服务策略等。