通用权限管理系统送国家软件评测中心进行应用安全三级认证的经验分享

最近在北京做某银行的现金管理系统，银行有要求软件需要进行安全认证才可以正式上生产系统应用，我们把软件送到北京的国家软件评测中心，进行应用安全三级认证，目前也正在认证过程中，大概还需要有一两周才能通过安全认证。

虽然我们开发的是银行的现金管理系统，但是很多软件应用安全检测的项目，都是通过通用权限的功能来实现的，这也是因为软件安全认证的核心检车内容就是软件的整体架构及权限系统。

不小心通用权限管理反而成了银行软件的安全检车的核心了，这也是在我们的预料之中。

软件安全评测中心，首选需要找他们的商务进行相关检测费用的商定，检测费用相对来说是比较昂贵的，一般个人就没必要送安全检测了，该干啥就干啥吧，只有大公司的软件产品，有必要送安全检查。

费用、安全检查内容都明确了，需要把软件都安装好，连同服务器都送过去进行软件检查。软件检查有2个部分：一是由软件检测中心直接测试软件的功能，包括人工检查，网络监察工具等，二是面对面的交流，会提问安全相关的很多问题，需要软件里也有对应的项目。

目前通用权限管理还在检查过程中，被检查出14项疑问点，最近正在对应这14个疑问点，估计1周内应该能修正好。总共检查项应该有30-40个功能点，由于涉及到商业秘密、安全检车秘密，不好把检查内容都贴出来，下面简单的说一下安全检查中的几点内容。

1：用户不存在，登录系统时，都不能有提示信息“用户不存在”，那就不满足安全监察内容的某一项了。

2：密码没复杂度要求，没周期性的更换要求，也达不到安全检查的条款了。

3：系统有超级管理员用户，Administrator 也达不到安全监察的条款了，容易被猜测到用户名。

4：系统的最大并发数、单用户的并发数都需要能有限制，否则系统容易被攻击了。

5：密码的加密算法，都需要做到不能被破解，才可以达到安全检测的要求。

6：通信的保密性方面也有很多严格的要求。

7：对系统的各种日志都有严格的要求。

暂时就列这些，列太多了要吃官司了，因为这些都是涉及到商业机密了，我只是把大家都熟悉的列出来。

C#.NET 通用权限管理系统，经过这次国家软件评测中心应用安全三级认证过程，感觉有一种从山寨到正规军的，真正有了一些依据，也可以为客户节省了很多安全检查费用，也有了明确的能顺利通过国家软件评测中心应用安全三级认证的有力辅助工具，将来应用在重大信息化项目里充当核心的模块也有了有力的依据了。

这下也有充分的说服能力，说服客户购买C#.NET 通用权限管理系统了，毕竟你自己去拿证书，要耗费昂贵的费用，而且未必能顺利通过，自己开发的权限管理系也未必能得到大家的认可，现在终于快通过国家软件评测中心应用安全三级认证了，将来还会去尝试经过四级安全检测，但是四级相对更难通过，而且费用更高了，等哪一天有需要时在去送测。