解决方案

scheme

全国各行业CNAS测评报告、CMA测评报告、等保测评报告,可用于验收、投标

您的位置:首页 / 解决方案 / 物流 / 详情

CNAS资质信息安全测评报告-软件测评报告

CNAS资质信息安全测评报告

摘要:
信息安全性属于《系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第51 部分: 就绪可用软件产品(RUSP)的质量要求和测试细则》GB/T 25000.51-2016 5.3.6,标明实验室经过对被测件进行安全漏洞扫描后,出具的《CNAS资...

微信客服:1174758060

CNAS资质信息安全测评报告

网络信息安全是一个关系国家安全、社会稳定、民族文化继承和发扬的重要问题。其重要性,正随着全球信息化的加快而变到越来越重要。网络信息安全是指网络信息系统的硬件、软件及其系统中的数据受到保护,不受恶意的攻击和渗透而遭到信息泄露,系统连续可靠正常地运行,网络服务不中断。信息安全从其本质上来讲就是网络上的信息安全,从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。对信息安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。

网络信息安全

网络信息安全对我们来说越来越重要,不仅对国家安全、企业安全,而且与我们的生活息息相关,在我们生活中各种购物APP、支付APP、手机银行、智能设备、家居互联设备等都无时无刻对我们产生至关重要的影响,这些设施一旦暴露出漏洞,就会被不法分子利用,给国家和企业造成无法弥补的经济损失甚至威胁国防安全。

CNAS资质信息安全测评报告

在国家认可委员会CNAS资质检测对象中软件产品包括基础软件、开发支撑软件、通用应用软件、行业应用软件,在检测的参数中就包括信息安全性信息安全性属于《系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第51 部分: 就绪可用软件产品(RUSP)的质量要求和测试细则》GB/T 25000.51-2016 5.3.6,标明实验室经过对被测件进行安全漏洞扫描后,出具的《CNAS资质信息安全测评报告》被国家认可委员会认可,报告可以用于专家组评审。

信息安全测评包括哪些内容

应用安全

身份鉴别

启用应用系统身份认证功能,提供用户身份标识唯一检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。管理员帐户口令长度至少为8位,口令必须从字符(a-z,A-Z)、数字(0-9)、符号(~!@#$%^&*()_<>)中至少选择两种进行组合,普通帐户口令至少为6位,由非纯数字或字母组成,密码验证在数据库存储过程中实现。

具有登录失败处理功能。

具有限制非法登录次数的功能。

设置用户登录连接超时,并自动退出。

访问控制

由应用程序授权用户设置对程序功能和用户数据访问和操作的权限。

实现应用程序特权用户的权限分离,将管理与审计的权限分配给不同的应用程序用户。

权限分离采用最小授权原则,分别授予不同用户各自为完成自己承担任务所需的最小权限。

限制匿名用户的访问权限。

安全审计

安全审计覆盖到应用程序的每个用户。

安全审计记录应用程序重要的安全相关事件,包括重要用户行为、系统资源的异常使用和重要程序功能的执行等。

安全相关事件的记录包括日期和时间、类型、主体标识、客体标识、事件的结果等。

安全审计可以根据记录数据进行分析,并生成审计报表。

通信完整性通信双方采用约定密码算法,计算通信数据报文的报文验证码,在进行通信时,双方根据校验码判断对方报文的有效性。

通信保密性

当通信双方中的一方在一段时间内未作任何响应,另一方能够自动结束会话。

在通信双方建立会话之前,利用密码技术进行会话初始化验证。

在通信过程中,对整个报文或会话过程进行加密。

软件容错

对输入的数据进行有效性检验。

提供回退功能,即允许按照操作的序列进行回退。

资源控制

限制单个用户的多重并发会话。

对应用程序的最大并发会话连接数进行限制。

对一个时间段内可能的并发会话连接数进行限制。

禁止同一用户账号在同一时间内并发登录。

代码质量

严格限制Web目录访问权限,避免路径遍历攻击。

提供下载功能时,需要严格限制用户下载文件的路径,避免用户非法下载应用系统其它文件。

安全漏洞内容

漏洞扫描

SQL注入

不存在SQL,OS以及LDAP注入漏洞。

失效的身份认证和会话管理

不存在失效的身份认证和会话管理漏洞。

跨站脚本(XSS)

不存在跨站脚本(XSS)漏洞。

不安全的直接对象引用

不存在不安全的直接对象引用漏洞。

安全配置错误

不存在安全配置错误漏洞。

敏感信息泄露

不存在敏感信息泄露漏洞。

功能级访问控制缺失

不存在功能级访问控制缺失漏洞。

跨站请求伪造(CSRF)

不存在跨站请求伪造(CSRF)漏洞。

使用含有已知漏洞组件

不存在使用含有已知漏洞组件漏洞。

未验证的重定向和转发

不存在未验证的重定向和转发漏洞。

商务流程

一、商务阶段

1、委托方通过微信、QQ、电话等提出软件评测需求

2、我方公司代表根据委托方提供的评测需求初步分析软件可测性

3、委托方填写《委托测试申请表》

4、我方公司代表向委托方反馈《委托测试报价单》

5、双方达成一致协议,签订《委托测试合同及保密协议》

二、实施阶段

1、我方公司技术人员与委托方单位技术人员沟通实施方案,开展软件评测实施工作

2、我方公司技术人员向委托方提供软件缺陷列表

3、委托方修改软件缺陷后,我方技术人员进行回归测试

三、交付阶段

1、针对测试结果我方技术人员进行分析,提出合理优化建议,以及风险规避方法

2、我方公司技术人员编写《CNAS资质信息安全测评报告》,即CNAS测评报告

3、评审《信息安全测评报告》

4、《信息安全测评报告》盖章,最终交付报告

提供的材料 

1、测试申请表 

2、与申请表一致的系统功能列表

3、与申请表一致的用户手册 

4、任务书、合同书、申报材料等 

约束条件

签订《软件测试委托合同》、《保密协议》

测试周期

3-10个工作日内出具《CNAS资质信息安全测评报告》

服务区域

北京、上海、天津、重庆、辽宁省、黑龙江省、吉林省、广东省、海南省、福建省、湖南省、四川省、重庆市、贵州省、云南省、广西省、湖北省、河南省、山东省、甘肃省、新疆省、西藏自治区、河北省、陕西省、山西省、浙江省、江苏省等地区软件测评报告。


上一主题: 没有了

下一主题: 没有了


标签:

信息安全性

CNAS资质



欢迎咨询,谢谢

复制成功
1174758060
添加微信好友,咨询软件测评业务

我知道了