網(wǎng)絡(luò)信息安全

網(wǎng)絡(luò)信息安全是一個(gè)關(guān)系國(guó)家安全、社會(huì)穩(wěn)定、民族文化繼承和發(fā)揚(yáng)的重要問(wèn)題。其重要性，正隨著全球信息化的加快而變到越來(lái)越重要。網(wǎng)絡(luò)信息安全是指網(wǎng)絡(luò)信息系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受惡意的攻擊和滲透而遭到信息泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。信息安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全，從廣義來(lái)說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。從網(wǎng)絡(luò)運(yùn)行和管理者角度說(shuō)，他們希望對(duì)本地網(wǎng)絡(luò)信息的訪(fǎng)問(wèn)、讀寫(xiě)等操作受到保護(hù)和控制，避免出現(xiàn)“陷門(mén)”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。對(duì)信息安全保密部門(mén)來(lái)說(shuō)，他們希望對(duì)非法的、有害的或涉及國(guó)家機(jī)密的信息進(jìn)行過(guò)濾和防堵，避免機(jī)要信息泄露，避免對(duì)社會(huì)產(chǎn)生危害，對(duì)國(guó)家造成巨大損失。從社會(huì)教育和意識(shí)形態(tài)角度來(lái)講，網(wǎng)絡(luò)上不健康的內(nèi)容，會(huì)對(duì)社會(huì)的穩(wěn)定和人類(lèi)的發(fā)展造成阻礙，必須對(duì)其進(jìn)行控制。

網(wǎng)絡(luò)信息安全對(duì)我們來(lái)說(shuō)越來(lái)越重要，不僅對(duì)國(guó)家安全、企業(yè)安全，而且與我們的生活息息相關(guān)，在我們生活中各種購(gòu)物APP、支付APP、手機(jī)銀行、智能設(shè)備、家居互聯(lián)設(shè)備等都無(wú)時(shí)無(wú)刻對(duì)我們產(chǎn)生至關(guān)重要的影響，這些設(shè)施一旦暴露出漏洞，就會(huì)被不法分子利用，給國(guó)家和企業(yè)造成無(wú)法彌補(bǔ)的經(jīng)濟(jì)損失甚至威脅國(guó)防安全。

CNAS資質(zhì)信息安全測(cè)評(píng)報(bào)告

在國(guó)家認(rèn)可委員會(huì)CNAS資質(zhì)檢測(cè)對(duì)象中軟件產(chǎn)品包括基礎(chǔ)軟件、開(kāi)發(fā)支撐軟件、通用應(yīng)用軟件、行業(yè)應(yīng)用軟件，在檢測(cè)的參數(shù)中就包括信息安全性。信息安全性屬于《系統(tǒng)與軟件工程 系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)(SQuaRE) 第51 部分: 就緒可用軟件產(chǎn)品(RUSP)的質(zhì)量要求和測(cè)試細(xì)則》GB/T 25000.51-2016 5.3.6，標(biāo)明實(shí)驗(yàn)室經(jīng)過(guò)對(duì)被測(cè)件進(jìn)行安全漏洞掃描后，出具的《CNAS資質(zhì)信息安全測(cè)評(píng)報(bào)告》被國(guó)家認(rèn)可委員會(huì)認(rèn)可，報(bào)告可以用于專(zhuān)家組評(píng)審。

信息安全測(cè)評(píng)包括哪些內(nèi)容

應(yīng)用安全

身份鑒別

啟用應(yīng)用系統(tǒng)身份認(rèn)證功能，提供用戶(hù)身份標(biāo)識(shí)唯一檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶(hù)身份標(biāo)識(shí)，身份鑒別信息不易被冒用。管理員帳戶(hù)口令長(zhǎng)度至少為8位，口令必須從字符（a-z，A-Z）、數(shù)字（0-9）、符號(hào)（~！@#$%^&*()_<>）中至少選擇兩種進(jìn)行組合，普通帳戶(hù)口令至少為6位，由非純數(shù)字或字母組成，密碼驗(yàn)證在數(shù)據(jù)庫(kù)存儲(chǔ)過(guò)程中實(shí)現(xiàn)。

具有登錄失敗處理功能。

具有限制非法登錄次數(shù)的功能。

設(shè)置用戶(hù)登錄連接超時(shí)，并自動(dòng)退出。

訪(fǎng)問(wèn)控制

由應(yīng)用程序授權(quán)用戶(hù)設(shè)置對(duì)程序功能和用戶(hù)數(shù)據(jù)訪(fǎng)問(wèn)和操作的權(quán)限。

實(shí)現(xiàn)應(yīng)用程序特權(quán)用戶(hù)的權(quán)限分離，將管理與審計(jì)的權(quán)限分配給不同的應(yīng)用程序用戶(hù)。

權(quán)限分離采用最小授權(quán)原則，分別授予不同用戶(hù)各自為完成自己承擔(dān)任務(wù)所需的最小權(quán)限。

限制匿名用戶(hù)的訪(fǎng)問(wèn)權(quán)限。

安全審計(jì)

安全審計(jì)覆蓋到應(yīng)用程序的每個(gè)用戶(hù)。

安全審計(jì)記錄應(yīng)用程序重要的安全相關(guān)事件，包括重要用戶(hù)行為、系統(tǒng)資源的異常使用和重要程序功能的執(zhí)行等。

安全相關(guān)事件的記錄包括日期和時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)、事件的結(jié)果等。

安全審計(jì)可以根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表。

通信完整性通信雙方采用約定密碼算法，計(jì)算通信數(shù)據(jù)報(bào)文的報(bào)文驗(yàn)證碼，在進(jìn)行通信時(shí)，雙方根據(jù)校驗(yàn)碼判斷對(duì)方報(bào)文的有效性。

通信保密性

當(dāng)通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方能夠自動(dòng)結(jié)束會(huì)話(huà)。

在通信雙方建立會(huì)話(huà)之前，利用密碼技術(shù)進(jìn)行會(huì)話(huà)初始化驗(yàn)證。

在通信過(guò)程中，對(duì)整個(gè)報(bào)文或會(huì)話(huà)過(guò)程進(jìn)行加密。

軟件容錯(cuò)

對(duì)輸入的數(shù)據(jù)進(jìn)行有效性檢驗(yàn)。

提供回退功能，即允許按照操作的序列進(jìn)行回退。

資源控制

限制單個(gè)用戶(hù)的多重并發(fā)會(huì)話(huà)。

對(duì)應(yīng)用程序的最大并發(fā)會(huì)話(huà)連接數(shù)進(jìn)行限制。

對(duì)一個(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話(huà)連接數(shù)進(jìn)行限制。

禁止同一用戶(hù)賬號(hào)在同一時(shí)間內(nèi)并發(fā)登錄。

代碼質(zhì)量

嚴(yán)格限制Web目錄訪(fǎng)問(wèn)權(quán)限，避免路徑遍歷攻擊。

提供下載功能時(shí)，需要嚴(yán)格限制用戶(hù)下載文件的路徑，避免用戶(hù)非法下載應(yīng)用系統(tǒng)其它文件。

漏洞掃描

SQL注入

不存在SQL，OS以及LDAP注入漏洞。

失效的身份認(rèn)證和會(huì)話(huà)管理

不存在失效的身份認(rèn)證和會(huì)話(huà)管理漏洞。

跨站腳本（XSS）

不存在跨站腳本（XSS）漏洞。

不安全的直接對(duì)象引用

不存在不安全的直接對(duì)象引用漏洞。

安全配置錯(cuò)誤

不存在安全配置錯(cuò)誤漏洞。

敏感信息泄露

不存在敏感信息泄露漏洞。

功能級(jí)訪(fǎng)問(wèn)控制缺失

不存在功能級(jí)訪(fǎng)問(wèn)控制缺失漏洞。

跨站請(qǐng)求偽造（CSRF）

不存在跨站請(qǐng)求偽造（CSRF）漏洞。

使用含有已知漏洞組件

不存在使用含有已知漏洞組件漏洞。

未驗(yàn)證的重定向和轉(zhuǎn)發(fā)

不存在未驗(yàn)證的重定向和轉(zhuǎn)發(fā)漏洞。

商務(wù)流程

一、商務(wù)階段

1、委托方通過(guò)微信、QQ、電話(huà)等提出軟件評(píng)測(cè)需求

2、我方公司代表根據(jù)委托方提供的評(píng)測(cè)需求初步分析軟件可測(cè)性

3、委托方填寫(xiě)《委托測(cè)試申請(qǐng)表》

4、我方公司代表向委托方反饋《委托測(cè)試報(bào)價(jià)單》

5、雙方達(dá)成一致協(xié)議，簽訂《委托測(cè)試合同及保密協(xié)議》

二、實(shí)施階段

1、我方公司技術(shù)人員與委托方單位技術(shù)人員溝通實(shí)施方案，開(kāi)展軟件評(píng)測(cè)實(shí)施工作

2、我方公司技術(shù)人員向委托方提供軟件缺陷列表

3、委托方修改軟件缺陷后，我方技術(shù)人員進(jìn)行回歸測(cè)試

三、交付階段

1、針對(duì)測(cè)試結(jié)果我方技術(shù)人員進(jìn)行分析，提出合理優(yōu)化建議，以及風(fēng)險(xiǎn)規(guī)避方法

2、我方公司技術(shù)人員編寫(xiě)《CNAS資質(zhì)信息安全測(cè)評(píng)報(bào)告》，即CNAS測(cè)評(píng)報(bào)告

3、評(píng)審《信息安全測(cè)評(píng)報(bào)告》

4、《信息安全測(cè)評(píng)報(bào)告》蓋章，最終交付報(bào)告

提供的材料 

1、測(cè)試申請(qǐng)表 

2、與申請(qǐng)表一致的系統(tǒng)功能列表

3、與申請(qǐng)表一致的用戶(hù)手冊(cè) 

4、任務(wù)書(shū)、合同書(shū)、申報(bào)材料等 

約束條件

簽訂《軟件測(cè)試委托合同》、《保密協(xié)議》

測(cè)試周期

3-10個(gè)工作日內(nèi)出具《CNAS資質(zhì)信息安全測(cè)評(píng)報(bào)告》

服務(wù)區(qū)域

北京、上海、天津、重慶、遼寧省、黑龍江省、吉林省、廣東省、海南省、福建省、湖南省、四川省、重慶市、貴州省、云南省、廣西省、湖北省、河南省、山東省、甘肅省、新疆省、西藏自治區(qū)、河北省、陜西省、山西省、浙江省、江蘇省等地區(qū)軟件測(cè)評(píng)報(bào)告。