标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
DL/T 2455-2021 电力信息系统外部接口测试规范.pdf具体测试项包括: a) 测试过程中持久/非持久通信。 b)测试仅使用websocket协议通信,
7.2.4.2操作步骤
测试操作步骤: a) 调整持久/非持久通信的连接方式进行数据发送 b) 不使用HTTP的连接方式进行第一次数据交互。
7.2.4.3预期结果
测试预期结果: a)使用符合电力信息系统外部接口相关设计文档中规范的报文可正确发送数据。 b)使用不符合电力信息系统外部接口相关设计文档中规范的报文则无法发送数据或返回数据明确 指出报错信息 c)不使用HTTP的连接方式进行第一次数据交互中央财政小型农田水利重点县工程施工组织设计,则报文无法发送或返回数据明确指出报错 信息。
8.1性能(效率)测试
具体测试项包括: a)响应时间:接口响应的平均时长。 b) 每秒处理事务数(TPS):接口服务端每秒处理事务的数量。 c) 事务通过率:接口服务端处理事务的成功率。 d)口 中央处理器(CPU)占用率:接口服务端在处理事务时,服务器CPU占用情况。 内存占用率:接口服务端在处理事务时,服务器内存占用情况。 f在 硬盘IO读写:接口服务端在处理事务时,服务器硬盘读写情况
具体测试项包括: a)响应时间:接口响应的平均时长。 b) 每秒处理事务数(TPS):接口服务端每秒处理事务的数量。 c)事务通过率:接口服务端处理事务的成功率。 d)中央处理器(CPU)占用率:接口服务端在处理事务时,服务器CPU占用情况。 e)内存占用率:接口服务端在处理事务时,服务器内存占用情况。 f)存 硬盘I/O读写:接口服务端在处理事务时,服务器硬盘读写情况,
测试操作步骤: a)模拟接口调用操作步骤,与服务建立连接,传输数据,并能得到正确的服务器反馈 b)回 回放操作步骤,模拟并发用户调用接口,向服务器施加压力。 c)统计模拟多人操作时,接口服务端响应能力和服务器资源占用情况。
测试预期结果: a)响应时间应在电力信息系统外部接口相关设计文档规定的时间范围内。 b)每秒处理事务数(TPS)应满足电力信息系统外部接口相关设计文档规定的相关约束。 c)事务通过率应满足电力信息系统外部接口相关设计文档规定的相关约束,通常事务失败率小于 0.1%
具体测试项包括:接口服务端承受最大并发数量持续运行4
测试操作步骤:在满足接口调用最大并发数量且在选定好的测试场景下,持续对接口服务进行调 用,持续运行4h,查看接口服务端运行情况
测试预期结果:接口服务在最大并发数量持续运行4h期间,不应出现宕机或服务停止,接口服务 应保持稳定运行,响应时间、每秒处理事务次数、事务通过率、CPU占用率、内存占用率、IVO读写应 在电力信息系统外部接口相关设计文档规定的范围内,
具体测试项包括: a)应对允许接入的服务进行唯一性标识。 b)应对请求连接的服务进行身份鉴别。 c)应提供满足最小业务功能集的请求数据和返回数据。 d) 应根据外部接口的访问控制策略限制对接口的访问权限。 e) 应提供外部接口审计功能,对接口的接入及接入后的操作轨迹进行记录。 f) 应采用密码技术或安全通信协议保证重要数据传输过程中的保密性。 g)应限制同一时间内并发访问的接口数。 h)不应存在明文传输、默认口令/弱口令、开放与业务无关的服务和端口、敏感信息泄露、越权 访问漏洞、任意文件上传漏洞、SQL注入漏洞、XSS跨站脚本攻击等漏洞。
测试操作步骤: a)检查是否对接入的服务进行唯一性标识,相关数据是否存在发送数据中。 b)检查是否对请求连接的服务进行身份鉴别,禁止将身份鉴别数据存储在源代码中。 C) 检查是否以最小业务功能数据集进行数据请求和返回。 d) 2 检查是否限制对接口的访问权限,使用不同权限数据进行数据发送。 e) 检查是否提供接口审计功能,查看审计日志,检查接口数据。 f) 2 检查发送/返回数据是否进行加密。 g) 在满足安全策略前提下,执行多用户并发操作。 h)通过人工校验、工具验证方式,检查是否存在安全漏洞。
测试预期结果: a)对允许接入的服务进行唯一性标识(如:APPID等)。 b)对允许接入的服务进行身份鉴别,且鉴别信息的复杂度不小于8位,应为数字、字母、特殊字 符两种及以上组合。 c)限制对外提供接口的范围,只包含所需的最小业务功能集。
d) 使用不同权限数据发送后,返回不同权限。 e)接口审计日志记录外部接口的接入及当前操作,明确记录操作的日期、时间、主体(唯一性标 识)、主体属性(IP地址等)、操作内容描述、操作结果。 f)应采用密码技术或安全通信协议[如TLS(V1.2及以上)、IPSec等]对发送数据和返回数据 进行保密性。 g)在满足安全策略前提下,系统满足外部接口当中的性能需求。 h)不存在明显可利用的安全漏洞。
9.2.1HTTP接口
具体测试项应包括: a) 请求数据会话鉴别。 b) 请求数据纂改输入。 c) 请求数据Xpath注入
9.2.1.2操作步骤
9.2.1.3预期结果
测试预期结果: a)测试时,使用已生成的会话鉴别数据进行数据发送,返回数据明确指出报错信息。 b)测试时,使用修改输入信息的数据进行数据发送,无返回数据或返回数据明确指出报错信息 c)测试时,使用修改Xpath信息进行数据发送,无返回数据或返回数据明确指出报错信息
9.2.2.2操作步骤
9.2.2.3预期结果
测试预期结果: a)测试时,将属性值修改为特定值后,根据外部接口设计文档内的需求进行判断,如许可特定值 则正确返回,反之则需返回数据明确指出报错信息。 b)测试时,将属性值修改为超出正常可输入范围的数据进行发送后,返回数据明确指出报错 信息。 c)测试时,将输入数据添加跨站脚本进行数据发送后,返回数据明确指出报错信息。
9.2.3socket接口
具体测试项应包括: a) 不同连接方式下的连接时间。 b) 在连接期间使用不同IP的数据发送
9.2.3.2操作步骤
测试操作步骤: a) 去掉关闭消息,一直发送数据,直到报错,记录连接时间。 b) 使用不同IP对已经打开的socket连接进行数据发送,查看返回结果。
9.2.3.3预期结果
测试预期结果: a) 测试时,连接时间满足外部接口相关设计文档需求。 b)使用不同IP进行测试时,无法连接到外部接口,
9.2.4websocket接
具体测试项应包括: 使用不同的安全口令进行测试,需满足调整安全口令后返回数据明确指出错误信息 司P b) 请求数据是否加密,需满足发送加密数据后返回数据正确无误,
9.2.4.2操作步骤
测试操作步骤: a) 修改不同的安全口令进行测试。 b) 使用源数据的加密数据进行测试
测试操作步骤: a) 修改不同的安全口令进行测试。 b)使用源数据的加密数据进行测试
测试操作步骤: a) 修改不同的安全口令进行测试。 b) 使用源数据的加密数据进行测试,
9.2.4.3预期结果
测试预期结果: 测试时,使用不同的安全口令,无法发送数据或返回数据明确指出报错信息 b) 测试时,使用源数据的加密数据进行测试,返回数据准确无误。
DL/T2455—2021
附录A (资料性) 测 试工 具
对测试需求、测试计划、测试用例、测试实施进行管理,并且测试管理工具还包括对缺陷的 理。测试管理工具能让测试人员、开发人员或相关人员通过一个中央数据仓库,在不同地方就 信息。
A.1.2接口测试工具
主要目的是外部接口的可扩展性和性能,是一种预测系统行为和性能的自动化测试工具。在实施 并发负载过程中,通过实时性能监测来确认和查找问题,并针对所发现问题对系统性能进行优化,确 保应用的成功部署。性能测试工具能够对整个外部接口服务端进行测试,通过这些测试,企业能最大 限度地缩短测试时间,优化性能,保证外部接口传输的平稳运行。
工具是拦截查看网络数据包内容的软件。抓包工具由于其可以对数据通信过程中的所有IP报 获并进行逐层拆包分析,一直是传统固网数通维护工作中常用的故障排查工具。
A.3.1安全功能测试工具
安全功能测试多以人工查看加以辅助工具判断安全功能正确性及存在的风险,安全功能测试 具较多,工具目的主要以达到测试需求,满足测试目标为基础。
A.3.2渗透测试工具
通常的黑客攻击包括预攻击、攻击和后攻击三个阶段;预攻击阶段主要指一些信息收集和漏洞扫 描的过程;攻击过程主要是利用第一阶段发现的漏洞或弱口令等脆弱性进行入侵;后攻击是指在获得 攻击目标的一定权限后,对权限的提升、后面安装和痕迹清除等后续工作。与黑客的攻击相比,渗透 测试仅仅进行预攻击阶段的工作,并不对系统本身造成危害,即仅仅通过一些信息搜集手段来探查系 统的弱口令、漏洞等脆弱性信息。为了进行渗透测试,通常需要一些专业工具进行信息收集。渗透测
DL/T 2455—2021
DL/T 2455—2021
具种类繁多,涉及广泛,按照功能和攻击目标分为网络扫描工具、通用漏洞检测、应用漏洞检
A.3.2.3通用漏洞检测工具
这些工具本身并不执行测试,例如它们可以生成测试数据,抓取客户端与服务器通信时的数据 为测试提供数据准备和结果判断依据。
附录 B (资料性) 接口服务
附录B (资料性) 接口服务表
DL/T 2455—2021
某工程整体性地脚螺栓预埋施工方案附录C (资料性) 功能测试方法示例
表C.1接口服务表示例
C.2 功能测试方法示例见表C.
测试项 测试方法示例 发送数据时检查输入参 使用接口测试工具对输入参数的必填项调整后进行发送,即输入参数为: 数的必填项对外部接口的Key:param 影响 Value:{"token":"","taskid":5801,"signature":""},发送后接口返回报错信息 发送数据时检查输入参 使用接口测试工具对输入参数的选填项调整后进行发送,即输入参数为: 数的选填项对外部接口的 Key: Value:{"token":"97f764de731311e69df414dda9d31b1f","taskid":5801,"signature": "997 影响 a9d207c461e4f2abf11ef2fc72d15"},发送后接口返回报错信息
小区六期工程钢筋工程施工方案安全测试方法示例见表E.1。
DL/T 2455—2021
表E.1安全测试方法示例