软件系统安全技术报告.docxVIP

XXXX系统安全技术报告 XXXX系统安全技术报告 - PAGE 2 - - PAGE 1 - XXXX系统安全技术报告 XXXX系统在实施上线过程中，严格依照实施计划、实施方案对系统作了集成测试、调优测试及安全测试。XXXX年XX月XX日，XXXX系统通过中国软件评测中心的第三方功能、性能评测。 一、系统评测 中国软件评测中心根据GB/T 17544《信息技术软件包质量要求和测试》的国家标准、CSTCJSBZ02《应用软件产品测试规范》和用户需求，针对 “XXXX系统”的业务要求，分别对其功能、性能、安全可靠性、兼容性、可扩充性、资源占用率、易用性、用户文档等软件质量特性进行了全面、严格的验收测试。测试结论如下： 1．系统结构较合理。 2．系统功能较全面。该系统为XXXX系统，实现为商业、工业两种运行模式，均包含XXXX、XXXX、XXXX、XXXX和XXXX等模块。主要实现了以行业资金监管和预算控制为核心的内部监管功能，满足了资金监管的当前业务需求。 3．软件查询统计功能较丰富。该软件各流程模块均提供了较为丰富的查询统计功能，用户可以根据不同的条件获取符合条件的查询统计数据，并且打印查询统计结果，方便用户分析处理各种工作数据。 4．界面简洁、易于使用。系统界面符合操作人员的日常使用习惯，提示信息基本正确，可以正确引导用户的使用。 5．软件权限控制严格。该系统安全管理功能较为全面，具有较严格的角色和权限管理功能。用户可以安装专用的电子证书登录系统，系统能够根据用户的电子证书信息，显示用户权限内可操作的功能模块。 6．响应时间基本满足实际需要。XXXX系统应用服务器、数据库服务器可承受100并发用户访问；商业运行环境下，XXXX、XXXX和XXXX等功能50并发用户压力下，响应时间均不超过5秒；XXXX、XXXX和XXXX等功能20并发用户压力下，响应时间均未超过3秒；XXXX、XXXX和XXXX等功能查询30并发用户压力下，XXXX、XXXX和XXXX等功能平均响应时间未超过5秒，XXXX、XXXX和XXXX等功能平均响应时间为24.472秒。 序号 测 试 项 目 技 术 指 标 测 试 结 果 1 数据加密 数据加密 系统具备数据传输加密功能 2 用户权限限制 用户权限限制 系统可以实现对不同用户的权限设置，各级权限限制比较合理 3 留痕功能 提供操作日志管理 具备操作日志管理 系统所有日志备份后定期清除，不能直接删除 4 防篡改 防篡改 系统具有防篡改交易信息设置 5 数据库备份及恢复测试 数据库备份及恢复 数据库软件自带备份、恢复功能 6 屏蔽用户操作错误 是否屏蔽用户操作错误 可以屏蔽用户错误操作，对于错误操作均有相应可逆操作流程并在系统中留痕记录。 7 输入数据有效性检查 是否对输入数据进行有效性检查 可以对输入数据进行有效性检查 8 错误提示的准确性 对用户的错误提示准确程度 错误操作提示信息基本准确 9 错误是否导致系统异常退出 有无操作错误引起系统异常退出的情况 系统无异常退出 10 异常情况的影响 在程序运行过程中进行断电或断网试验，考察数据和系统的受影响程度，若受损，是否提供补救工具，补救的情况如何 在程序运行过程中进行断电、断网试验，系统数据未受影响 11 软件源代码抗破解能力 代码加密，license授权 软件系统必须使用经授权的license才能正常运行，系统关键代码进行混淆处理具一定的抗破解能力 12 运行平台及与软件的结合程度 WAS版本、配置是否满足软件要求，是否经优化调整 DB2版本、配置是否满足软件要求，是否经优化调整 在运行平台上，软件是否正常运行 WAS版本为6.1.0.31，已创建两个概要文件，优化参数已调整，运行良好 DB2版本为DB2 9.7，已创建一实例和数据库，并且实例级和数据库级的优化参数均已调整，运行良好 软件系统在运行平台上运行良好 13 软件运行是否存在重大缺陷 系统是否存在影响正常业务的重大缺陷 未发现 14 软件正常运行的负载程度 是否满足生产中高峰情况的性能要求 在模拟生产环境下进行测试1500用户 50并发持续15分钟的混合场景压力测试。测试结果：交易成功率100% 关键交易业务响应时间1-6秒，满足目前生产环境高峰期所需的性能要求 二、安全技术说明 （1）服务器部署：由于业务在不断更新、完善，因此要保证所选购的服务器具有优秀的可扩展性原则。如：CPU型号升级、内存扩大、硬盘扩大、更换网卡、增加终端数目、挂接磁盘阵列或与其他服务器组成对集中数据的并发访问的集群系统等。 为了保证应用正常、稳定运行，防止单点故障，导致业务中断