網絡信息安全

網絡信息安全是一個關系國家安全、社會穩定、民族文化繼承和發揚的重要問題。其重要性，正隨著全球信息化的加快而變到越來越重要。網絡信息安全是指網絡信息系統的硬件、軟件及其系統中的數據受到保護，不受惡意的攻擊和滲透而遭到信息泄露，系統連續可靠正常地運行，網絡服務不中斷。信息安全從其本質上來講就是網絡上的信息安全，從廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。從網絡運行和管理者角度說，他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制，避免出現“陷門”、病毒、非法存取、拒絕服務和網絡資源非法占用和非法控制等威脅，制止和防御網絡黑客的攻擊。對信息安全保密部門來說，他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵，避免機要信息泄露，避免對社會產生危害，對國家造成巨大損失。從社會教育和意識形態角度來講，網絡上不健康的內容，會對社會的穩定和人類的發展造成阻礙，必須對其進行控制。

網絡信息安全對我們來說越來越重要，不僅對國家安全、企業安全，而且與我們的生活息息相關，在我們生活中各種購物APP、支付APP、手機銀行、智能設備、家居互聯設備等都無時無刻對我們產生至關重要的影響，這些設施一旦暴露出漏洞，就會被不法分子利用，給國家和企業造成無法彌補的經濟損失甚至威脅國防安全。

CNAS資質信息安全測評報告

在國家認可委員會CNAS資質檢測對象中軟件產品包括基礎軟件、開發支撐軟件、通用應用軟件、行業應用軟件，在檢測的參數中就包括信息安全性。信息安全性屬于《系統與軟件工程 系統與軟件質量要求和評價(SQuaRE) 第51 部分: 就緒可用軟件產品(RUSP)的質量要求和測試細則》GB/T 25000.51-2016 5.3.6，標明實驗室經過對被測件進行安全漏洞掃描后，出具的《CNAS資質信息安全測評報告》被國家認可委員會認可，報告可以用于專家組評審。

信息安全測評包括哪些內容

應用安全

身份鑒別

啟用應用系統身份認證功能，提供用戶身份標識唯一檢查功能，保證應用系統中不存在重復用戶身份標識，身份鑒別信息不易被冒用。管理員帳戶口令長度至少為8位，口令必須從字符（a-z，A-Z）、數字（0-9）、符號（~！@#$%^&*()_<>）中至少選擇兩種進行組合，普通帳戶口令至少為6位，由非純數字或字母組成，密碼驗證在數據庫存儲過程中實現。

具有登錄失敗處理功能。

具有限制非法登錄次數的功能。

設置用戶登錄連接超時，并自動退出。

訪問控制

由應用程序授權用戶設置對程序功能和用戶數據訪問和操作的權限。

實現應用程序特權用戶的權限分離，將管理與審計的權限分配給不同的應用程序用戶。

權限分離采用最小授權原則，分別授予不同用戶各自為完成自己承擔任務所需的最小權限。

限制匿名用戶的訪問權限。

安全審計

安全審計覆蓋到應用程序的每個用戶。

安全審計記錄應用程序重要的安全相關事件，包括重要用戶行為、系統資源的異常使用和重要程序功能的執行等。

安全相關事件的記錄包括日期和時間、類型、主體標識、客體標識、事件的結果等。

安全審計可以根據記錄數據進行分析，并生成審計報表。

通信完整性通信雙方采用約定密碼算法，計算通信數據報文的報文驗證碼，在進行通信時，雙方根據校驗碼判斷對方報文的有效性。

通信保密性

當通信雙方中的一方在一段時間內未作任何響應，另一方能夠自動結束會話。

在通信雙方建立會話之前，利用密碼技術進行會話初始化驗證。

在通信過程中，對整個報文或會話過程進行加密。

軟件容錯

對輸入的數據進行有效性檢驗。

提供回退功能，即允許按照操作的序列進行回退。

資源控制

限制單個用戶的多重并發會話。

對應用程序的最大并發會話連接數進行限制。

對一個時間段內可能的并發會話連接數進行限制。

禁止同一用戶賬號在同一時間內并發登錄。

代碼質量

嚴格限制Web目錄訪問權限，避免路徑遍歷攻擊。

提供下載功能時，需要嚴格限制用戶下載文件的路徑，避免用戶非法下載應用系統其它文件。

漏洞掃描

SQL注入

不存在SQL，OS以及LDAP注入漏洞。

失效的身份認證和會話管理

不存在失效的身份認證和會話管理漏洞。

跨站腳本（XSS）

不存在跨站腳本（XSS）漏洞。

不安全的直接對象引用

不存在不安全的直接對象引用漏洞。

安全配置錯誤

不存在安全配置錯誤漏洞。

敏感信息泄露

不存在敏感信息泄露漏洞。

功能級訪問控制缺失

不存在功能級訪問控制缺失漏洞。

跨站請求偽造（CSRF）

不存在跨站請求偽造（CSRF）漏洞。

使用含有已知漏洞組件

不存在使用含有已知漏洞組件漏洞。

未驗證的重定向和轉發

不存在未驗證的重定向和轉發漏洞。

商務流程

一、商務階段

1、委托方通過微信、QQ、電話等提出軟件評測需求

2、我方公司代表根據委托方提供的評測需求初步分析軟件可測性

3、委托方填寫《委托測試申請表》

4、我方公司代表向委托方反饋《委托測試報價單》

5、雙方達成一致協議，簽訂《委托測試合同及保密協議》

二、實施階段

1、我方公司技術人員與委托方單位技術人員溝通實施方案，開展軟件評測實施工作

2、我方公司技術人員向委托方提供軟件缺陷列表

3、委托方修改軟件缺陷后，我方技術人員進行回歸測試

三、交付階段

1、針對測試結果我方技術人員進行分析，提出合理優化建議，以及風險規避方法

2、我方公司技術人員編寫《CNAS資質信息安全測評報告》，即CNAS測評報告

3、評審《信息安全測評報告》

4、《信息安全測評報告》蓋章，最終交付報告

提供的材料 

1、測試申請表 

2、與申請表一致的系統功能列表

3、與申請表一致的用戶手冊 

4、任務書、合同書、申報材料等 

約束條件

簽訂《軟件測試委托合同》、《保密協議》

測試周期

3-10個工作日內出具《CNAS資質信息安全測評報告》

服務區域

北京、上海、天津、重慶、遼寧省、黑龍江省、吉林省、廣東省、海南省、福建省、湖南省、四川省、重慶市、貴州省、云南省、廣西省、湖北省、河南省、山東省、甘肅省、新疆省、西藏自治區、河北省、陜西省、山西省、浙江省、江蘇省等地區軟件測評報告。