最近在北京做某银行的现金管理系统,银行有要求软件需要进行安全认证才可以正式上生产系统应用,我们把软件送到北京的国家软件评测中心,进行应用安全三级认证,目前也正在认证过程中,大概还需要有一两周才能通过安全认证。
虽然我们开发的是银行的现金管理系统,但是很多软件应用安全检测的项目,都是通过通用权限的功能来实现的,这也是因为软件安全认证的核心检车内容就是软件的整体架构及权限系统。
不小心通用权限管理反而成了银行软件的安全检车的核心了,这也是在我们的预料之中。
软件安全评测中心,首选需要找他们的商务进行相关检测费用的商定,检测费用相对来说是比较昂贵的,一般个人就没必要送安全检测了,该干啥就干啥吧,只有大公司的软件产品,有必要送安全检查。
费用、安全检查内容都明确了,需要把软件都安装好,连同服务器都送过去进行软件检查。软件检查有2个部分:一是由软件检测中心直接测试软件的功能,包括人工检查,网络监察工具等,二是面对面的交流,会提问安全相关的很多问题,需要软件里也有对应的项目。
目前通用权限管理还在检查过程中,被检查出14项疑问点,最近正在对应这14个疑问点,估计1周内应该能修正好。总共检查项应该有30-40个功能点,由于涉及到商业秘密、安全检车秘密,不好把检查内容都贴出来,下面简单的说一下安全检查中的几点内容。
1:用户不存在,登录系统时,都不能有提示信息“用户不存在”,那就不满足安全监察内容的某一项了。
2:密码没复杂度要求,没周期性的更换要求,也达不到安全检查的条款了。
3:系统有超级管理员用户,Administrator 也达不到安全监察的条款了,容易被猜测到用户名。
4:系统的最大并发数、单用户的并发数都需要能有限制,否则系统容易被***了。
5:密码的加密算法,都需要做到不能被破解,才可以达到安全检测的要求。
6:通信的保密性方面也有很多严格的要求。
7:对系统的各种日志都有严格的要求。
暂时就列这些,列太多了要吃官司了,因为这些都是涉及到商业机密了,我只是把大家都熟悉的列出来。
C#.NET 通用权限管理系统,经过这次国家软件评测中心应用安全三级认证过程,感觉有一种从山寨到正规军的,真正有了一些依据,也可以为客户节省了很多安全检查费用,也有了明确的能顺利通过国家软件评测中心应用安全三级认证的有力辅助工具,将来应用在重大信息化项目里充当核心的模块也有了有力的依据了。
这下也有充分的说服能力,说服客户购买C#.NET 通用权限管理系统了,毕竟你自己去拿证书,要耗费昂贵的费用,而且未必能顺利通过,自己开发的权限管理系也未必能得到大家的认可,现在终于快通过国家软件评测中心应用安全三级认证了,将来还会去尝试经过四级安全检测,但是四级相对更难通过,而且费用更高了,等哪一天有需要时在去送测。
将权限管理、工作流管理做到我能力的极致,一个人只能做好那么很少的几件事情。
About
吉日嘎拉(蒙古语为吉祥如意),2000年毕业于黑龙江大学计算机系软件专业,目前定居杭州,典型的IT软件土鳖一个,外号“软件包工头”。
通用权限管理系统组件(GPM – General Permissions Manager)自2003年开始发布,目前是国内注册用户和免费盗版用户最多的权限管理系统,是各种信息管理系统开发中彻底的权限解决方案。本组件支持多种主流数据库(Oracle、sqlsever、db2、mysql),功能强大,使用方便,代码简洁,思路严谨,被广大支持者称为权限管理系统中的“走火入魔级权限管理系统”。
精心维护通用权限管理系统组件(GPM – General Permissions Manager)有8年多,3年的不断推广,20万行经典的业务逻辑积累,经过上万次的调试修正,经历了四百个付费客户,上百软件公司的实战开发。
11年以上开发经验,外企工作5年,上市公司3年,独立经营软件公司2年,主持研发部门管理工作4年以上。
将权限管理、工作流做到我能力的极致,一个人只能做好那么很少的几件事情。
QQ:252056973,Mail:jirigala_bao@hotmail.com
访问者分布
通用权限管理模块的严谨设计定位、精心编码实现、不断维护推广、持续优化改进,主要是为了实现一个可以高度重复利用劳动成果的工具软件并×××给所需的人们,另想成为国人值得骄傲的知名软件功能模块。
可供国内管理类开发人员在日常工作中进行灵活二次开发利用的模块,开发管理类软件的必备工具之一,我们的目标就是让程序员早点儿回家休息。
淘宝店地址:http://jirigala.taobao.com
转载于:https://blog.51cto.com/jirigala/812470
文章知识点与官方知识档案匹配,可进一步学习相关知识MySQL入门技能树首页概览31414 人正在系统学习中 相关资源:国家软件开发标准(doc文档)_软件开发标准-专业指导文档类资源…
来源:weixin_34304013
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!