华测检测认证集团股份有限公司(英文 "Centre Testing International Group Co., Ltd.",简称 "CTI")是国内首批创业板上市公司(股票代码:300012),作为中国第三 方检测与认证服务的开拓者和领先者,是一家集检测、校准、检验、认证及技术服务为一体的综合性第三方机构,在全球范围内为企业提供一站式解决方案。CTI 成立于2003年,总部位于深圳,在全国设立了六十多个分支机构,拥有近130个实验室,并在台湾、香港、美国、英国、新加坡等地设立了海外办事机构,也是国内检测行业首家上市公司。
CTI 拥有丰富的行业经验及先进完善的实验室设施设备,能够为广大客户提供软件测评服务,并严格依据中国国家认证认可监督管理委员会发布的 RB/T 214-2017《检验 检测机构资质认定能力评价 检验检测机构通用要求》、中国合格评定国家认可委员会发布的 CNAS-CL01《检测和校准实验室能力认可准则》和 CNAS-CL45《检测和校准实验室能力认可准则在软件检测领域的应用说明》建立了一套完整、严谨的质量管理体系,取得了中国合格评定国家认可委员会(CNAS)的检测实验室认可。
一、第三方软件测试
1、通用应用软件测试
通用应用软件是和系统软件相对应的,是用户可以使用的各种程序设计语言,以及用各种程序设计语言编制的应用程序的集合。通用软件包括字处理软件、报表处理软件、地理信息软件、网络软件、游戏软件、企业管理软件、多媒体应用软件、辅助设计与辅助制造软件、信息安全软件及其它通用软件。
通用应用软件测试依据GB/T 25000.51-2016 《就绪可用软件产品的质量要求和测试细则》就功能性、性能效率、信息安全性、兼容性、易用性、可靠性、维护性和可移植性质量属性对软件开发项目及软件产品进行验收和确认测试,确保软件准备就绪,出具第三方软件检测报告。获取该检测报告后,可以用于软件登记减免税、软件开发项目验收、软件科研项目验收、电子政务信息系统验收等作用。
2、电子招标投标系统检测
电子招标投标系统是以网络技术为基础,招标、投标、评标、合同等业务全过程实现数字化、网络化、高度集成化的系统。电子招标投标系统根据功能的不同,分为交易平台、公共服务平台和行政监督平台。
电子招标投标系统检测是依据《电子招标投标办法》(国家发展改革委等八部委第20号令)和《电子招标投标系统检测认证管理办法(试行)》(国认证联[2015]53)对电子招标投标系统开展EBS国推检测工作,出具签约实验室权威第三方检测报告。被测用户获取该检测报告后可到权威的第三方认证机构申请EBS认证证书。
3、教育行业软件检测
(1)可信教育数字身份/教育卡相关软件产品检测业务。该类软件主要包括:教育卡中心及各地区和各学校的可信教育数字身份发行与应用相关的发行单位系统、应用支撑系统等;
依据GB《教育卡应用规范 第12部分:教育卡产品与系统测试要求》进行软件检测,出具第三方软硬件检测报告。
(2)教育行业教育信息化 2.0 相关系统软件检测业务。该类软件主要包括:“综合素质评价、网络学习空间人人通、学生资 助管理、可信电子档案、数字资产管理、可信电子证照、考试管理与服务、 学分银行”等教育信息化系统、“校园安防、校车管理、门禁管理、电子班牌系统、电子教室”等数字校园系统软件、以及“教学资源共享、学籍管 理、教务管理”等教育电子校务系统软件;
依据GB/T 25000.51-2016 《就绪可用软件产品的质量要求和测试细则》就功能性、性能效率、信息安全性、兼容性、易用性、可靠性、维护性和可移植性质量属性进行软件检测,出具教育行业信息系统第三方软件检测报告。
二、APP安全测试
《市场监管总局 中央网信办关于开展 App 安全认证工作的公告》 明确提出了,开 展 App安全认证工作,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的 App。APP安全测试主要依据GB/T 35273《信息安全技术个人信息安全规范》及相关标准、规范进行安全检查,出具 APP 安全检测报告。帮助企业获取中国网络安全审查技术与认证中心颁发的 APP 安全证书。
三、信息安全测试服务
1、风险评估
信息安全风险评估是信息安全保障的基础性工作和重要环节,贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全整改措施,防范和消除信息安全风险,或将风险控制在可接受的水平。
依据GB/T 20984《信息安全风险评估规范》、GB/T 18336《信息技术安全评估准则》,提供风险评估报告,为企业业务系统的网络和信息安全保障提供科学依据。
2、渗透测试
通过模拟黑客思维和攻击手段,对计算机业务系统的弱点、技术缺陷和漏洞进行探查评估,依据国际渗透测试标准 OWASP、OSSTMM和国际渗透测试流程 PTES、NIST SP 800-53进行测试,出具渗透测试报告,提交给业务系统所有者,可清晰知晓业务系统中存在的安全隐患和问题。
《网络安全法》第三十一条要求“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”渗透测试具有“尖刀”作用,有利于帮助客户快速发现自身安全防护的薄弱环节,在强监管合规要求及处罚前进行自我完善。
四、密码产品
1、统一用户管理系统
统一用户管理系统是独立于所有业务系统之外,为各个业务提供统一的用户管理服务的信息化硬件基础设施,包括用户帐号的统一管理、用户属性的统一管理以及用户整个生命周期的管理的功能,可保证用户的权威性、一致性和严肃性,为业务系统整合打下坚实的基础。
2、电子签章系统
采用数字签名技术,实现在电子文档和电子表单上的电子签章签名功能。通过以可视化的方式来实现文档的抗抵赖控制,满足了我国对于公章的使用习惯,同时提高了工作的信息化和工作效率。电子签章比传统签章更安全、高效、经济和易管理,能够降低企业成本,彻底实现无纸化办公。《中华人民共和国电子签名法》的第十四条规定:“可靠的电子签名与手写签名或者盖章具有同等的法律效力”,为电子签章作为法定的身份认证和交易活动中法人行为的认定提供了法律依据。
3、时间戳服务器
时间戳服务器是基于PKI技术开发的硬件产品。它采用精确的时间源、高强度、高标准的安全机制、能够为用户提供精确的、且不可抵赖的时间戳服务。同时能够通过HTTP协议申请严格遵循国际标准(RFC3161)和RFC2630两种时间戳协议的时间戳,采用标准的时间戳请求、时间戳应答以及时间戳编码格式,具有良好的兼容性,适用于电子病历、电子保单、程序发布过程中的代码签名等时间敏感的业务场景。
4、签名验签服务器
签名验签服务器是面向各类电子数据提供基于数字证书的数字签名服务、并对签名数据验证其签名真实性和有效性的专用服务器。
