导图社区 华为联营 用例管理
- 24
- 0
- 0
- 举报
华为联营 用例管理
这是一篇关于华为联营 用例管理的思维导图,包含功能测试、 性能测试、 安全测试、可靠性测试、 集成测试等。
编辑于2024-01-06 01:38:20- 功能测试
- 相似推荐
- 大纲
华为联营 用例管理
功能测试
业务功能测试
标签: 业务功能测试 描述: 完成“CEC轻客服CAT应用软件”解决方案功能测试,“CEC轻客服CAT应用软件”解决方案包含9个功能模块(CAT-Voice语音工作台、CAT-IM文本工作台、CAT-IM富媒体网关平台、CAT-Framework基础平台、CAT-WorkFlow工单模块、CAT-Knowledge知识库模块、CAT-Report报表模块、CAT-OBM外呼模块、CAT-QC人工质检模块),30个一级子功能,51个二级子功能。功能测试认证要求如下: 1)抽测用例必须与功能清单对应,要求100%覆盖2级功能清单; 2)抽测用例需要有详细的操作步骤说明; 3)抽测用例需要有主场景的端到端场景测试用例。
服务控制测试
标签: 服务控制测试 描述: 针对系统完成服务控制测试,测试要求如下: 1)License快到期提醒; 2)License严重过期,系统不可用; 3)License续费,系统可正常使用,原数据不删除。
服务过期约束
服务到期提醒
服务续费恢复
可维护性测试
标签: 可维护性测试 描述: 为保障产品在客户现网稳定可靠运行,提升客户服务满意度,对产品进行基础可维护性测试。
集中事件管理平台检查
产品需要提供一个集中事件管理平台,支持在运维阶段客户可以通过平台提交工单,方便高效的进行基于ITIL的故障管理 备注: 1、HCS场景该用例可选 2、如自身无事件管理平台,可推荐使用华为云提供的Haydn运维事件中心(免费)。用户指南中国站:https://support.huaweicloud.com/qs-haydncsf/haydncsf_03_0005.html 用户指南国际站:https://support.huaweicloud.com/intl/en-us/usermanual-haydncsf/haydncsf_04_0052.html
采用华为云Haydn运维事件中心(免费)
未配置
统一日志管理系统检查
1、产品的运行日志需要上报到日志管理系统,进行统一管理 2、如产品无统一日志管理系统,可推荐使用华为云LTS/AOM云服务
需要购买云日志LTS资源包
需要采用APIs/SDKs接入数据
API - SDK写入
Java - SDK写入
Log4j 1/2 - SDK写入
LogBack - SDK写入
GO- SDK写入
监控告警管理机制检查
1、产品支持对主机、应用等的关键指标进行监控,通过监控可以及时了解应用的资源使用情况、趋势和告警 2、产品支持对核心监控指标设置告警规则,当监控指标触发用户设置的告警条件时,支持以邮箱、短信等方式通知用户,让用户在第一时间得知服务发生异常,迅速处理故障 3、如产品无监控告警管理系统,可推荐使用华为云AOM/CES云服务
需要购买华为云应用运维管理
SSL证书过期告警功能检查
1、产品支持提供SSL证书替换功能,并支持在SSL证书过期前进行告警提示 2、在华为公有云场景(HCSO/HCS场景不适用),如产品无SSL证书过期告警功能,推荐使用华为云CCM云服务
需购买华为云证书-SSL证书
性能测试
基本功能点压测
标签: 基本功能点压测 描述: 选取3-5个基本核心功能点,根据当前使用的资源规格确定压力负载(如xx并发用户),进行持续并发测试(5-10分钟)。性能测试业务指标要求如下: 1)持续并发,业务操作响应时间
工单管理功能点压测
外呼任务功能点压测
报表管理功能点压测
混合场景压测
标签: 混合场景压测 描述: 选取2-4个系统核心的混合业务场景,根据当前使用的资源规格确定压力负载(如xx并发用户),进行持续并发测试(0.5-2小时)。 性能测试业务指标要求如下: 1)持续并发,业务操作响应时间
文本转人工混合业务场景压测
排队留言混合业务场景压测
综合业务疲劳测试
标签: 综合业务疲劳测试 描述: 选一个场景做疲劳压测(持续4-6小时),根据当前使用的资源规格确定压力负载(如xx并发用户)。 性能测试业务指标要求如下: 1)持续并发,业务操作响应时间
文本人工服务业务疲劳测试
安全测试
安全基础A1类
标签: 安全基础A1类 描述: 【联合销售、通用商品、联营商品、先进云必测】执行安全工具扫描及手工安全测试用例,安全测试以《华为云技术认证安全测试标准》的要求为测试基准,对系统组件安全、数据库安全、第三方组件安全、系统安全配置及Web应用进行安全测试。根据产品认证类型选择相应的测试策略。
【工具扫描】防病毒扫描
禁止包含恶意软件,在商品发布前使用业界知名杀毒软件扫描,不存在病毒、木马、恶意程序。 产品预置或者对外发布的软件(含版本包、补丁包、APP应用、服务、插件、SDK等)需要使用防病毒软件对其扫描,保证软件包中未感染或嵌入病毒/木马。
【访谈类】服务商须提供独立、明确的隐私声明
收集或使用个人数据前,须明确提示用户,并获得用户的同意,并且允许用户随时关闭对个人数据的收集和使用 目的和意义:防止未经用户授权收集用户个人数据的行为,降低法律风险。
需要在H5访客端弹窗提示隐私声明
【访谈类】对个人数据的采集、传输、处理、存储须得到最终用户的明确同意,同时给予最终用户随时撤回同意的机会;存储须遵循适用国家和地区的法律和法规要求,并提供必要保护机制
对于数据控制者,必须在数据收集之前告知数据主体并获得其明确的同意,并且还需要向数据主体提供撤销或修改同意的途径。为了履行政府授予数据控制者任务等法律允许的情况例外(如司法调查)。可以使用书面合约/合同、邮件、信件、传真、短信确认/ DTMF按键信息、语音提示确认、电子合约(主要是Web类应用)等方式获得用户的授权,用户也可以使用以上方式取消授权。 用户同意在其有效期内长期有效,因此在同意的有效期内,不必再次获得用户同意。但同意有效期不宜过长,建议可以参考业界最佳实践。 需要在产品资料或界面告知用户撤销或修改同意的方式,以及撤销同意之后对于提供服务的影响。 对于设备供应者,需根据业务需要以及风险等级来确定是否需要提供获取用户授权的机制。
需要在H5访客端弹窗提示是否确认信息收集
【访谈类】删除、禁用不必要的默认账号
数据库若存在多个默认帐号,必须将不使用的帐号禁用或删除。若无法删除或禁用,须在产品资料中提示修改默认帐号的口令并定期更新
需要在数据库里清除不必要账号数据
【访谈类】数据库中没有未知的角色存在
数据库中的角色需要跟踪管理,防止数据库存在未知角色
需要在数据库里确认每个账号都是否都绑定角色
【访谈类】禁止存在任何“未公开接口”
未文档化的命令/参数、端口等接入方式(包括但不限于产品的生产、调测、维护用途),需通过产品资料等向运营商或监管机构公开或受限公开
需要确认所有接口均在接口文档有体现,测试和压测也需要有
【访谈类】所有能对系统进行管理的物理接口,人机接口以及跨信任网络的机机接口必须有接入认证机制,标准协议没有认证机制的除外
1、人机接口场景:即用户登录系统 2、机机接口场景:系统中的业务或者事务操作,如新增数据、删除数据等等
需要确认每个接口都存在授权认证
【访谈类】产品软件禁止存在恶意广告、吸费陷阱、恶意消耗用户数据流量等行为的功能检查
产品软件禁止存在恶意广告、吸费陷阱、恶意消耗用户数据流量等行为的功能检查。
【访谈类】产品提供的功能特性遵从所有适用法律的要求,禁止提供可在最终用户不知情的情况下,采集最终用户原始通信内容的功能
产品软件禁止提供可在最终用户不知情的情况下,采集最终用户原始通信内容的功能。
工具扫描+手工执行基线
标签: 工具扫描+手工执行基线 描述: 【联营商品、先进云必测】执行安全工具扫描及手工安全测试用例,安全测试以《华为云技术认证安全测试标准》的要求为测试基准,对系统组件安全、数据库安全、第三方组件安全、系统安全配置及Web应用进行安全测试。根据产品认证类型选择相应的测试策略。
【访谈类】禁止使用任何非授权或破解版商业软件
禁止使用任何非授权或破解版商业软件
【访谈类】必须设置会话闲时超时机制,在超时过后必须要清除该会话信息
会话固定超时机制是指系统在创建会话时,设定了会话的最大可用时间,超过此设定时间后,不管会话是否是活跃的,系统都将此会话注销,用户必须重新认证,建立新的会话。 会话更新超时机制是指会话创建后经过指定的更新超时时间,由系统对当前的会话ID进行更新(系统创建新的会话ID,并尝试在用户客户端更新设定会话ID,当客户端使用新的会话ID后,原会话ID失效)。此方案作为会话空闲超时机制和固定超时机制一种补充机制,针对业务需求的超长时间会话超时场景较为有效。此机制可以减少攻击者劫持会话的时间。
【访谈类】禁止使用不安全的密码算法,推荐使用强密码算法
系统中禁止使用私有或者弱密码等不安全的加密算法
【访谈类】默认关闭组件或程序调试模式,避免敏感信息泄露
默认关闭组件或程序调试模式,避免敏感信息泄露
【访谈类】产品对外发布的软件(包含软件包/补丁包)必须提供完整性校验机制,在安装、升级过程中对软件进行完整性验证
软件安装包在传输过程中可能被攻击者恶意篡改,恶意篡改后的软件一旦安装到用户系统中,可能造成用户信息泄露、用户系统资源占用、甚至系统完全被攻击者控制。 通过安全通道/加密方式向客户交付软件包/补丁包,且必须提供完整性校验机制,如哈希值校验、数字签名。
【访问通道控制】设置合理的访问控制策略,屏蔽高危端口,仅开放需要的端口
1、产品系统开放的所有侦听端口(不含本地侦听端口127.0.0.1)都必须在通信矩阵中有记录,可使用主机扫描服务或nmap等软件进行端口扫描以辅助确认端口实际开启/关闭的情况与通信矩阵中的描述相符。产品需保证通信矩阵中所描述的所有端口都是系统运行和维护所必需的,且描述正确。 2、产品通信矩阵中描述的侦听接口须明确限定在一个合理的范围之内,并与实际的动态侦听接口范围保持一致。 3、禁止对Internet开放以下高危服务(端口为默认端口): Ftp:20/21, ssh/Sftp:22, Telnet:23, Tftp:69, Rpc:135, Netbios:137-139, Xmanager/Xwin:177, Ldap:389, Netbios:445, Rlogin:513, SQL:1433-1435, Oracle:1521-1530, Rdp:3389, Remoteadmin:4899, X11:6000-6063, TCP_Napster_directory_8888_primary:8888, DB2:50000-50050, MySQL:3306
【运行安全】使用单独的操作系统账号运行数据库、Tomcat、Apache等第三方或开源软件
如果使用权限过大的账号运行应用程序,在应用被攻击者攻破时,攻击者可利用运行程序账号权限对整个系统造成危害,如访问系统资源,或者提权。例如,如果一个进程是以管理员(root)身份运行的,不巧这个进程有一个字符串溢出的漏洞(通常是使用了高危的字符串处理函数,而且对外部输入没有做有效的检查),被攻击者发现了,利用该漏洞在进程的堆栈中植入了恶意代码(Shellcode),并且成功的让CPU执行了这段恶意代码。这个时候恶意代码也是以root身份运行的,可以执行任意操作,包括创建后台用户,导致整个系统被攻击者控制。如果该进程使用非root账号来运行,即使该进程被攻击,植入了恶意代码,但恶意代码拥有的权限有限,无法对整个系统造成破坏,减少了损失。
【敏感信息和加密】禁止明文存储、传输个人敏感信息
系统中敏感信息的存储和传输都应该进行加密操作
【敏感信息和加密】对Web应用在连接数据库时的账号密码在配置文件中是否加密存储进行检查
连接数据库的帐号密码在配置文件中如果明文存储,容易被恶意维护人员获取,从而直接登陆后台数据库进行数据篡改。
【敏感信息和加密】在Web系统中,如果提交的数据中包含个人敏感数据,则禁止使用Get方式提交
在WEB系统中,表单提交或者敏感数据的传输禁止直接使用GET方式进行请求
【敏感信息和加密】默认口令、缺省口令需在用户首次登录时强制修改。
缺省口令和管理员重置口令容易让攻击者通过阅读产品公开的资料知晓,攻击者(非授权用户)可使用默认口令登录系统,导致认证机制失效。
【敏感信息和加密】系统必须提供检测口令复杂度的功能,若设置的口令不符合复杂度要求,必须禁止设置并进行警告
口令至少满足如下要求: a) 口令长度至少8个字符; b) 口令必须包含如下至少两种字符的组合: -至少一个小写字母; -至少一个大写字母; -至少一个数字; -至少一个特殊字符:`~!@#$%^&*()-_=+\|[{}];:'",<.>/?和空格。 c) 口令不能和帐号一样。
需要批量调整账号密码
需要在创建密码时进行密码规则校验
【敏感信息和加密】检查修改口令时是否需要验证旧口令
用户(包括管理员)修改自身口令前需验证旧口令。 管理员重置其他用户的口令,无需验证旧口令。 旧口令同等可以是预留手机验证码、预留邮箱验证码、预留问题答案等。
需要调整修改密码的操作步骤
【敏感信息和加密】系统禁止明文显示口令等认证凭据
界面中的口令需要以非明文形式呈现,以避免口令明文被恶意程序直接获取。
【敏感信息和加密】系统禁止口令输入框拷出的功能
系统应禁止在口令输入框进行拷出、剪切操作以防止口令被非法窃取。
【敏感信息和加密】检查错误、URL、日志、错误信息和调试信息不能包含密码、密钥、银行账户或会话ID等敏感信息提示是否存在敏感信息泄露
界面的错误提示或返回给客户端的错误提示报文中禁止包含服务端的堆栈、数据库名/表名等系统敏感信息。建议设计统一的异常处理机制(例如对于web访问,可以设计统一的异常返回页面),避免异常时打印敏感信息到客户端
需要统一调整弹窗内容
【日志安全】默认日志服务保证正常运行,安全审计日志需要打开
日志记录需涵盖管理面上所有的用户活动,包括: 1.登录和注销; 2.增加、删除用户和用户属性(帐号、口令等)的变更; 3.用户的锁定和解锁,禁用和恢复; 4.角色权限变更; 5.系统相关安全配置(如安全日志内容配置)的变更; 6.重要资源的变更,如删除文件、修改文件名、复制文件、转存文件等操作; 7.授权操作相关的日志里记录了申请权限的用户ID、执行授权的用户ID、权限的授予或变更时间、权限的授予或变更结果(即最终拥有的是什么权限)
需要调整日志写入,对接华为云日志LTS
【防暴力破解】账号密码须有防暴力破解能力
客户端在限定的时间段内有多次连续尝试登录失败时,可以执行如下策略中的一种: 策略一:锁定帐号; 策略二:锁定IP; 策略三:认证间隔时间依次加倍。采用这种方式时,用户可以不设置自动锁定。 策略四:验证码登录 适用于:操作员帐号、最终用户帐号。
【服务端校验】对用户的最终认证处理过程必须放到服务端进行
对于用户的最终认证应该在服务端进行校验,而不能通过前端校验。
【会话合法性】Web应用程序的会话标识必须具备随机性;身份验证成功后,必须更换会话标识;会话标识必须使用安全随机数算法生成,且有效长度不少于24byte或192bit
Web应用程序的会话标识必须具备随机性;身份验证成功后,必须更换会话标识;会话标识必须使用安全随机数算法生成,且有效长度不少于24byte或192bit。
【证书有效性】在SSL/TLS、IPsec等使用数字证书认证的场景下,需要验证对端证书的有效性。必选验证项包括对端证书是否由可信根CA颁发,是否在有效期内
产品所使用的根证书和本地证书须有正式的颁发和管理机构,来保证证书本身的权威性。
需购买华为云证书-SSL证书
【认证提示】认证失败后,登录界面以及认证服务端返回信息均不能提供详细的、可用于判断具体错误原因的提示
用户登录认证失败后,系统不能提示明显错误信息。
【认证校验】注销功能漏洞
注销功能实现是否存在缺陷,导致用户已退出客户端之后,会话ID还未失效。
【SaaS身份认证】租户管理员账号支持多因素认证
启用多因素身份认证可提供额外的保护层,防止未经授权访问客户帐户,增强系统的安全性,须为所有具有管理员权限的账号用户启用多因素认证。
【SaaS账号管理】用户账号生命周期管理能力
SaaS须支持用户账号停用、启用、删除等生命周期管理功能。
【权限管理】新建账号默认不授予任何权限或者默认只指派最小权限的角色
系统必须有明确的用户权限管理机制,新建账号默认不授予任何权限或者默认只指派最小权限的角色
【越权访问检查】用户纵向越权访问
系统必须有明确的用户权限管理机制,新建账号默认不授予任何权限或者默认只指派最小权限的角色
【文件上传限制】限制上传文件类型
检查文件上传是否限制文件类型
【文件上传限制】限制上传文件大小
检查文件上传是否限制文件大小
可靠性测试
可靠性测试
标签: 可靠性测试 描述: 完成可靠性checklist表和可靠性校验用例执行,可靠性测试要求如下: 1)根据可靠性checklist要求表(SaaS、License),部署高可用测试环境(数据高可用、应用高可用、安全服务); 2)根据可靠性checklist设计可靠性验证用例,测试各故障点的服务高可用。
集群高可用机制检查
可靠性机制检查
数据高可用检查
可靠性机制检查
数据库冷备检查
可靠性机制检查
DCS-Redis高可用检查
可靠性机制检查
主机安全服务检查
可靠性机制检查
DDoS防护服务检查
可靠性机制检查
系统运维日志检查
可靠性机制检查
ECS集群应用云服务器灾备演练
ECS集群高可用
服务异常恢复,告警通知
应用服务高可用
应用服务器冷备检查
应用服务高可用
集成测试
集成测试
标签: 集成测试 描述: 结合方案架构图,对方案中涉及到的华为云服务进行集成路径的连通性测试,确保核心业务场景中的业务流、数据流与所依赖的华为云服务能够端到端打通。需设计多条集成测试用例,覆盖所有涉及到的云服务及集成路径。
需要ecat与redis交互场景操作步骤和相关截图
需要ecat与obs交互场景操作步骤和相关截图
需要ecat与mysql交互场景操作步骤和相关截图