检测项目
1.身份认证机制验证:包括多因子认证强度(生物识别/FIDOU2F/动态令牌)、口令复杂度(长度≥12字符/特殊字符占比≥30%)及会话超时阈值(≤15分钟)
2.权限分配合规性检测:角色最小特权原则验证(RBAC模型)、权限继承关系映射(ACL深度≤3层)、特权账户分离度(管理/审计/操作账户独立率100%)
3.审计日志完整性测试:日志记录字段完整性(含UID/IP/MAC/时间戳)、存储防篡改机制(哈希值校验误差≤0.001%)、事件追溯时间精度(≤1毫秒)
4.会话管理安全性评估:会话令牌熵值(≥128位)、重放攻击防护(序列号随机性≥99.9%)、跨站请求伪造(CSRF)防御有效性(拦截率≥99.95%)
5.加密协议合规性验证:TLS版本(≥1.2)、密钥交换算法强度(ECDHE≥256位)、证书链校验完整性(OCSP响应时间≤500ms)
检测范围
1.操作系统级访问控制:WindowsAD域控策略/LinuxSELinux模块/UnixRBAC配置
2.数据库管理系统:OracleLabelSecurity/MySQLEnterpriseFirewall/MSSQLAlwaysEncrypted
3.网络设备访问策略:CiscoISE准入控制/JuniperUnifiedAccessGateway/H3CiMC智能管理平台
4.应用软件权限体系:SAPGRC访问治理/OracleE-BusinessSuite职责分离/Salesforce权限集配置
5.物联网终端管控:Modbus/TCP访问白名单/OPCUA证书绑定/MQTTTopic层级权限
检测方法
1.渗透测试法:依据OWASPASVSv4.0标准实施认证绕过测试(L1-L3级攻击模拟)
2.静态代码分析:采用ISO/IEC17961:2023规范检查访问控制代码缺陷(CWE-284/CWE-862)
3.配置审计验证:参照NISTSP800-53Rev.5AC系列控制项进行策略符合性核查
4.协议模糊测试:基于RFC5246TLS协议规范实施Fuzzing攻击(覆盖率≥95%)
5.日志分析验证:执行GB/T35282-2017《信息安全技术信息系统安全审计产品技术要求和测试评价方法》进行完整性校验
检测设备
1.FortifyStaticCodeAnalyzerv22.2:用于识别访问控制代码漏洞(支持Java/C#/Python等12种语言)
2.BurpSuiteProfessional2023.8:实施Web应用逻辑漏洞探测(含Authz/Authn模块深度扫描)
3.TenableNessusProfessionalv10.5:执行CIS基准配置审计(覆盖200+系统镜像安全策略)
4.CellebriteUFEDPremium:物理层访问控制突破测试(支持3000+设备芯片级取证)
5.SpirentCyberFloodVirtual3.7:模拟大规模并发认证攻击(峰值≥100万TPS)
6.Rohde&SchwarzCMW500:无线接入鉴权协议测试(支持5GAKA/EAP-TLS完整性验证)
7.KeysightN9020BMXA信号分析仪:物理层信号截取防护测试(频率范围20Hz至26.5GHz)
8.FlukeNetworksOptiViewXG:网络准入控制协议分析(深度解析802.1X/RADIUS报文)
9.HPEArubaClearPass6.11:集中式策略执行验证(支持100+厂商设备联动测试)
10.IBMSecurityGuardiumV11.4:数据库实时监控与异常访问阻断测试(SQL注入拦截延迟≤5ms)
北京中科光析科学技术研究所【简称:中析研究所】
报告:可出具第三方检测报告(电子版/纸质版)。
检测周期:7~15工作日,可加急。
资质:旗下实验室可出具CMA/CNAS资质报告。
标准测试:严格按国标/行标/企标/国际标准检测。
非标测试:支持定制化试验方案。
售后:报告终身可查,工程师1v1服务。
