摘 要: 2014年8月,用友UAP平台正式通过中国信息安全测评中心分级评估EAL3+级安全评测和专家验收,并获得《信息技术产品安全测评证书,级别:EAL3+》。用友UAP是国内首个、也是目前唯一达到该安全等级认证的应用软件产品。
现在,信息安全问题日益突出,安全事件屡屡发生。信息安全问题已经成为事关国家政治、经济、社会和国防安全的重大问题。对企业来说,软件产品设计是否全面、是否提供了足够的保密措施、保障文档是否完善显得至关重要。
用友UAP大型企业或组织应用的平台,将安全贯穿于产品研发和管理始终。通过分析企业面临的安全威胁、企业信息安全现状、国内外信息安全标准,以及新技术对企业信息安全的影响,用友UAP提出一个企业信息安全框架用于解决企业的信息安全问题。信息安全框架经过高度的抽象,适用于各种类型的企业或组织。该框架基于安全体系的基本要素(安全管理、安全运维、安全技术)建立,并充分考虑灵活性、可扩展性。
在安全方面,用友UAP自身的设计、实现以及功能都遵从行业标准和政府法规,如ISO/IEC 15408、信息安全等级保护(GB 17859)、信息技术安全性评估准则(GB/T 18336)、OWASP ASVS(应用安全验证标准)安全要求,并采用基于微软的安全开发生命周期作为UAP开发安全保证过程,以此保证软件产品安全质量。
2014年8月,用友UAP平台正式通过中国信息安全测评中心分级评估EAL3+级安全评测和专家验收,并获得《信息技术产品安全测评证书,级别:EAL3+》。通过此认证,意味着用友UAP的产品自身、开发环境、管理过程都达到了EAL3+级别的要求,产品具备了相应级别的安全性。用友UAP是国内首个、也是目前唯一达到该安全等级认证的应用软件产品。
用友UAP获得《信息技术产品安全测评证书,级别:EAL3+》
据了解,此次安全测试评估是依据GB/T 18336-2008《信息技术安全技术 信息技术安全性评估准则》,评估的内容主要包括:访问控制、身份认证、日志审计、数据传输保护、数据存储保护和安全管理等方面。通过评估开发者对开发环境所采取的控制措施,开发者使用的配置管理工具以及安全交付程序的证据,来确认开发者是否对TOE开发过程进行了必要的控制,能够有效的保护TOE及其他相关信息,防止信息外泄,同时减少因人为错误或疏忽对TOE造成的影响。
同时,在评估过程中,针对用友UAP的安全目标、功能规范、高层设计、配置管理、交付和运行、生命周期支持、脆弱性分析、指导性文档、产品自测文档、独立性测试结果以及穿透性测试结果几个方面进行评判。来验证用友UAP产品的保密性、完整性和可用性程度,确定产品对其预期应用而言是否足够安全,以及在使用中隐含的安全风险是否可以容忍。最终测试结果确认,用友UAP已实现了预期的安全功能,安全性满足EAL3+级要求。
