Question

如图 3-1 所示，业务安全测试模型要素如下。

图 3-1 业务安全测试模型

· 前台视角：业务使用者（信息系统受众）可见的业务及系统视图，如平台的用户注

册、充值、购买、交易、查询等业务。

· 后台视角：管理用户（信息系统管理、运营人员）可见的业务及系统视图，如平台

的登录认证、结算、对账等业务。

· 业务视角：业务使用者（信息系统受众）可见的表现层视图，如 Web 浏览器、手机

浏览器展现的页面及其他业务系统用户的 UI 界面。

· 系统视角：业务使用者（信息系统受众）不可见的系统逻辑层视图。

为了全面测试客户业务系统，在进行业务安全分析的时候，不能拘泥于以上测试模

型，在面对不同用户的不同业务的时候，通过深入了解用户业务特点、业务安全需求，应

切实地根据客户业务系统的架构，从前/后视角、业务视角与支撑系统视角划分测试对

象，根据实际情况选择白灰盒或黑盒的手段进行业务安全测试。

* 特别提示：

·

对于支撑系统的子系统，其调用关系有时不是简单的顺序调用，中间可能涉及重

复、乱序调用的情况，需要具体系统具体分析。

· 对于前台的业务视角，在做白盒测试前，应通过用户访谈切实了解其每一个业务模

块调用了哪些支撑系统模块，熟悉其调用顺序。

· 对于前台的业务视角，以手动用例测试结合安全分析工具为主。对于能够提供使用

环境的管理后台业务视角，以手动用例测试结合安全分析工具为主，不能提供使用环境的

管理后台业务视角测试以访谈为主。对于支撑系统视角的测试，以访谈为主。