测评中心
南方电网数字电网研究院
测评中心
南方电网数字电网研究院
测评中心简介 -------- 03
检测资质 ------------- 05
核心业务 ------------- 06
建设目标 ------------- 08
人员团队 ------------- 09
工具装备 ------------- 10
典型案例 ------------- 11
目录
OUTLINE
南方电网数字电网研究院有限公司下属测评中心(简称“测评中心”),成立于2017年,是专业从事信息系统、信创产品、物联网设备、电力通信设备等各类软硬件产品检测的专业检验检测机构。测评中心自成立以来,立足于新型电力系统发展需求,全力支撑服务南方电网公司数字化建设,是有效落实南方电网公司向数字电网运营商、能源产业价值链整合商、能源生态系统服务商转型,充分发挥数字电网推动新型电力系统构建的重要保障队伍。
测评中心高度重视测试品控质量体系建设和技术创新,建立了规范、严谨的检验检测工作程序和质量保障体系,拥有一支专业配置完善、技术实力雄厚的测试团队,业务涵盖系统测试、适配测试、选型测试、渗透测试、源码审计、APP检测、网络安全测评等类型。
测评中心具备中国合格评定国家认可委员会(CNAS)检测与校准实验室、检验机构等认可资质,检测范围覆盖全部软件属性。此外,拥有南方电网公司信创适配中心“网级自主可控适配实验室”,为数字电网自主可控适配核心技术研究、技术验证和产品检测提供了科技支撑平台。并与北京计算机技术及应用研究所成立联合实验室,开展应用与自主可控技术路线适配、验证和技术攻关等。
测评中心简介
Introduction to the
Evaluation Center
“
03
04
软件品控测试实验室
- 品控测试实验室是南网数研院的数字化质量品控中心,为数研院内控提供全域全环节的测评支撑,具备性能测试以及漏洞扫描、配置核查、渗透测试、代码审计、入网安评等安全测评能力。
- 目前主要为南方电网公司总部、各分子公司以及数研院提供性能测试、安全测试服务,承担了互联网客户服务平台、企业运营管控平台等全网基础支撑平台和互联网应用系统的测试工作。
信息化基础设施适配测试实验室
- 作为信息化基础设施专用测试区域,信息化基础设施适配测试实验室主要开展服务器、存储、计算机终端、网络及信息安全设备等硬件设备以及服务器操作系统、终端操作系统、数据库、中间件等基础软件平台的基准测试、选型测试,以及业务信息系统的整体适配验证测试等测评业务。
05
测评中心不断提升自身的品控测试能力,采用先进的管理理念和模式,建立现代化的管理体系,注重能力的积累,先后获得了CNAS17020/17025国家权威资质认证。
检测资质
Detect Aptitude
“
- CNAS17020检验机构认可证书
- CNAS17025实验室认可证书
实验室 |
测试业务类型 |
检验检测说明 |
功能测试 |
对产品的各功能进行验证,根据功能测试用例,逐项测试,检查产品是否达到用户要求的功能 |
性能测试 |
按照系统需求规格说明书非功能性部分的性能指标要求,对业务系统的各项性能指标进行测试验证及综合分析,为系统提供性能质量度量依据 |
性能诊断调优 |
通过对系统的最大并发数、最长响应时间、资源利用率、系统无故障率、事务处理能力、持续运作时间和故障恢复时间等一系列指标进行检测优化,使系统达到最佳的运行效果 |
源代码审计 |
依据补丁更新文件、补丁说明文档及终端厂家测试资料,搭建测试验证环境,对各类型在运终端操作系统、服务器操作系统、数据库、中间件、服务器芯片的补丁更新安装进行验证测试 |
渗透测试 |
使用自动化工具和人工检查相结合的方式模拟黑客的输入,对应用系统进行攻击性测试,从中找出运行时刻所存在的安全漏洞 |
入网安评 |
系统部署在正式运行环境后,试运行阶段实施的系统级安全检测,目的是确保系统正式上线后的安全稳定运行和风险可控 |
软件品控测试实验室
Core Business
“
核心业务
06
实验室 |
测试业务类型 |
检验检测说明 |
选型测试 |
根据选型测试方案和选型技术指标要求,对送检的信息化基础设施产品开展产品功能与业务的符合性、产品功能的正确性、产品的处理能力、产品的兼容性、产品的性价比等方面的测试,为信息化基础设施产品选型提供结果参考依据 |
适配测试 |
对信息化基础设施的国产化产品的相互兼容情况进行验证,根据适配测试用例,检测产品之间的相互兼容程度,识别国产化产品的适配能力 |
验证测试 |
业务系统的基础设施环境进行国产化迁移改造后,对原业务系统正常的功能进行逐项测试,验证应用程序与国产化产品的兼容情况;对业务系统开展性能测试,将其结果与改造前的结果进行比对验证,目的是保障业务系统在国产化改造迁移后功能正常、性能平滑过渡、平稳运行 |
信息化基础设施适配测试实验室
07
构建统一的、面向软件全生命周期的IT测评体系、建立集“信息安全评测、软硬件平台评测、应用系统评测于一体的综合性信息化评测机构,实现对软件全生命周期的质量管控”。
力争经过2-3年的不懈努力,将评测中心打造成一流的网级数字化测评中心,具备国内领先的技术服务与自主研发能力的信息化评测体系,为“4321”数字南网建设提供质量保证。
建设目标
Construction Objective
“
08
测评中心现有常驻专业技术人员21名,具备丰富的应用测试(性能测试、功能测试、联调测试等)、网络安全测评、源码审计、渗透测试、适配测试和软硬件产品检测等核心检验检测能力。核心技术人员具备软件测评师、国际软件测试工程师、CISSP、CISP、CISA等权威测试技术资格证书。
09
人员团队
Staff Team
“
测评中心当前已配备多款软硬件测试工具、能够有效支撑功能性能测试、网络安全测试及基础平台基准测试工作。
工具装备
Tools and Equipment
“
功能性能测试工具
- 禅道
- HP LoadRunner
- JTest
- HP UFT
- Quest Foglight
网络安全测试工具
- 漏洞扫描工具NX3
- 基线核查工具BVS
- 360源码安全审计
- 明鉴WEB应用弱点扫描工具
- 无线安全检测器SWD
- 天镜网络非法接入检查系统
- 高性能网络安全测试平台
- 网络资产测绘分析系统
适配信创测试工具
- 服务器基准测试工具
- CPU设备测试工具
- 存储设备测试工具
- 软件平台基准测试工具
10
典型案例
Classic Case
“
该平台基于南网云平台,在逐步云化、微服务改造公司营销管理系统、财务管理系统等系统的基础上,整合公司互联网服务,与南方区域统一电力交易系统实现业务互联和数据共享,实现公司与政府、发电企业、新能源企业、用电客户、供应商和合作伙伴的互联,实现数据驱动的市场营销业务和客户服务,逐步覆盖产业链金融服务、综合能源服务、电动汽车运营、电子商务等业务。因响应2021年10月份《关于进一步深化燃煤发电上网电价市场化改革的通知(发改价格〔2021〕1439号)》文的要求,互联网客户服务平台的代购电项目、南网在线、综合能源服务等系统均需进行较大范围功能调整。
受某单位委托,南网数研院测评中心于2021年11月17日至2021年12月9日对互联网客户服务平台V2.3.0.127版本实施了发布测试。
【测试背景】
11
本次发布测试涉及变更功能共108个,涉及掌厅、网厅、运营管理后台、微信、掌厅App、移动营销作业App等多个渠道,测试范围包括功能性、性能效率、安全性方面。功能、性能测试使用工具包括Fiddler、夜神模拟器、Chrome工作台,安全测试使用工具包括Burpsuit、Sqlmap、Nmap 、Xray等多款软件。
【测试过程】
某单位互联网客户服务平台发布测试案例
【测试总结】
经过发布测试,委托方对发现的问题高度重视,并积极组织相关人员进行整改,2021年12月9日经过回归测试确认,初测发现的所有安全风险问题、功能、性能严重问题均已修复,有效的保障了互联网客户服务平台V2.3.0.127版本的顺利上线。
12
①应用安全:某需求单审批越权访问
问题描述:点击某菜单页面,抓包,遍历参数params(工单号),可以查询到无权限访问的其他工单信息。
整改建议:应用系统全局进行对相关敏感信息进行模糊化处理。在内容读取之前,执行二次鉴权,确保内容仅可以被有权限的用户访问。系统权限策略可能有缺陷,其它类操作可能有同样问题。建议设计一个合理的权限控制策略,保证纵向与横向都不可越权操作。
②应用安全:SQL延时注入
问题描述:使用某账号登录,定位某页面,通过抓包工具进行抓包,对参数进行SQL注入测试,发现SQL延时注入问题。
整改建议:对用户可控参数进行过滤处理或预编译处理。
【测试分析】
【测试结果】
本次发布测试共发现问题73个,其中严重问题36个,一般问题27个,高危问题9个,中危问题1个。经开发方整改、测评中心进行回归验证,最终遗留1个一般问题,系统顺利发布。
典型案例
Classic Case
“
该平台以云平台为枢纽,形成一个紧密联系的整体,建立统一的后勤管理中心,打通后勤各部门之间的壁垒,达到同治同赢的局面,同时在信息化方面建立统一的组织管理协调架构、业务管理平台和对外服务运营平台,构建统一的工作流程,协同、调度和共享机制。
受某单位委托,南网数研院测评中心于2021年6月30日至2021年7月9日对智慧后勤综合管理平台V1.0实施出厂测试。
【测试背景】
本次出厂测试主要包括“就餐管理”、“财务管理”、“用户管理”“系统管理”、“设备SDK中心”、“App端”六个模块,测试范围包括功能性、性能效率、安全性方面。因面临上线周期紧张,支付业务逻辑正确性要求高等问题,测评中心协同项目组针对系统特点制定了本平台的测试方案,使测试过程高效、有序开展。
【测试过程】
某单位智慧后勤综合管理平台出厂测试案例
13
本次出厂测试功能方面共发现问题127个,其中致命问题3个,严重问题38个,一般问题78个,建议问题8个;性能方面共发现严重问题5个,安全方面发现问题16个,其中高危问题问题7个,中危问题8个,低危问题1个。经开发方整改、测评中心进行回归验证,最终遗留功能10个、安全6个问题。
【测试结果】
①应用安全:充值金额未能防篡改
问题描述:通过burpsuite进行抓包获取到充值0.1元的订单接口,修改以上订单金额10为1000,在微信支付订单,支付充值0.1元,返回到后勤综合管理平台,显示支付成功10元,充值金额被篡改。
整改建议:应用系统应对验证充值到账金额是否与实际支付金额一致,或对报文文体进行加密。
②应用性能:人脸刷卡消费并发测试事务成功率为6%
问题描述:30用并发的人脸刷卡消费测试项,“消费”事务成功率为6%,不满足事务成功率≥99%的指标要求,接口返回错误代码500。
整改建议:优化扣费逻辑,减少数据库查询次数。最终通过修改缓存扣费的用户和账号信息,减少查询次数,优化扣费业务逻辑,调节扣费失败的账户信息为非冻结和非失效,调整应用启动jvm参数解决了此问题。
③应用功能:扣费规则可设置为负数
问题描述:在新建扣费规则页面,扣费金额可以填入负数并保存成功。规则设置成功后,用户在人脸机端提示扣负数金额成功,即账户存入相应金额。
整改建议:修改新建扣费规则页面校验逻辑,限制扣费金额字段为数字,且在合理范围内。
【测试分析】
经过出厂测试,智慧后勤综合管理平台的关键事务性能问题得到优化,重点业务的功能问题、安全问题由委托方协调集中修复,极大提升了系统质量。
【测试总结】
14
典型案例
Classic Case
“
验收安全测试初次测试发现应用系统存在7项安全问题(高危问题2个,中危问题4个,低危问题1个)。
验收性能测试初次测试发现应用系统存在8项性能问题(严重问题7个,一般问题1个)。
【测试结果】
为了落实公司数字化转型要求,提升沟通协作效率,拟开展协同办公系统的功能升级优化,持续完善产品功能,充分发挥协同办公产品对数字化办公业务的支撑,以人为本不断提升用户体验,提高办公效率。
受某单位委托,南网数研院测评中心于2021年8月2日至2021年9月20日对协同办公系统进行验收测试。
【测试背景】
采用Burpsuit、Loadrunner等测试工具,对应用系统进行验收安全测试和验收性能测试。
【测试过程】
某协同办公系统验收测试案例
15
①应用安全:跨站脚本漏洞
漏洞原理:跨站脚本攻击是指应用程序没有对用户的输入,以及页面的输出进行严格地过滤,从而使恶意攻击者能往Web页面里插入恶意代码,当用户浏览该页面时,嵌入其中Web里面的恶意代码会被执行,从而达到恶意攻击者的特殊目的。
整改建议:[1]对用户输入的数据进行严格过滤,包括但不限于以下字符及字符串Javascript script src img onerror { } ( ) < > = , . ; : " ' # ! & / * \;[2]根据页面的输出背景环境,对输出进行编码;[3]使用一个统一的规则和库做输出编码;[4]对于富文本框,使用白名单控制输入,而不是黑名单;[5]在Cookie 上设置HTTPOnly 标志,从而禁止客户端脚本访问Cookie。
②应用安全:敏感信息传输未加密
漏洞原理:诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递,任何以明文传给服务器的信息都可能被监听窃取。
整改建议:对敏感信息进行加密后再传输,传输敏感信息页面采用https协议。
【测试分析】
2021年8月19日经安全回归测试确认,共修复安全高危问题2个,中危问题4个,低危问题1个,总体高中问题整改完成率均为100%。2021年9月20日经性能回归测试确认,共修复严重问题7个,一般问题1个,总体问题整改完成率均为100%。通过验收安全、性能测试测试,有效地保障了系统的质量,提高了系统的可靠性。
【测试总结】
16
【测试背景】
采用RSAS漏洞扫描工具、基线核查工具、Xray、Burpsuite等多款安全测试工具并结合检查表、人工检查等方式,对服务器、数据库、中间件、应用系统等资产进行了漏洞扫描、配置核查、渗透测试等安全检查。
【测试过程】
某数字化服务平台入网安评测试案例
典型案例
Classic Case
“
17
该平台是某企业的内网应用系统,主要归结为八部分,即共享中心、智能工具、持续审计、现场支撑、我的收藏、智能检索、发布管理、数据审计中心等,为等保二级信息系统。
受某企业委托,南网数研院测评中心于2021年7月14日至2021年9月16日对该互联网应用系统进行全面的安全测评。
入网安评初次测试发现68项漏洞(19项高风险漏洞、32项中风险漏洞、17项低风险漏洞)。
渗透测试方面:发现系统存在SQL注入、未授权访问、垂直越权访问、密码弱加密、敏感信息泄露等多个高中低危漏洞;
主机安全方面:主机系统在身份鉴别、访问控制、安全审计、入侵防范等方面控制不严格;
中间件安全方面:中间件在访问控制、安全审计等方面控制不严格;
应用安全方面:应用系统未启用双因子验证、未开启口令复杂度检查、未设置强制3个月更换一次密码、未设置符合业务需求的结束会话时间、未修改默认账户和默认口令、未严格控制页面的访问权限、未正确启用应用系统日志审计功能、未具备软件容错能力、未限制特定关键字的输入等;
漏洞扫描方面:存在OpenSSH 命令注入漏洞、OpenSSH 用户枚举漏洞、OpenSSH 安全漏洞等多个高中危漏洞。
【测试结果】
①渗透测试:SQL注入
漏洞原理:在后台执行数据库操作语句时,将用户的输入直接引用提交,导致用户输入的恶意SQL命令得到执行,从而实现对关键信息获取、提权、操作服务器的目的。
整改建议:[1]用参数化方法构建SQL语句,以防止数据库执行从用户输入插入的SQL语句;[2]通过“白名单”方式验证用户输入,仅允许在“白名单”范围之内的用户输入通过,否则提示错误;[3]启用数据库异常处理机制,发生数据库错误时,不显示完整的错误消息。
②漏洞扫描:OpenSSH 命令注入漏洞
漏洞原理:OpenSSH 8.4p1及之前版本中的scp的scp.c文件存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。
整改建议:建议将OpenSSH升级至最新版本;建议禁用scp,改用rsync。
【测试分析】
18
经过入网安全测试,引起了委托方的高度重视,并积极组织相关人员进行整改,2021年8月3日至2021年9月16经回归测试确认,入网安评共修复高风险漏洞19项、中风险漏洞32项、低风险漏洞17项,总体高中风险整改完成率均为100%。
【测试总结】
【测试背景】
采用奇安信代码卫士 V7.1.3.10工具并结合检查表、人工检查等方式,对该应用系统所关联的2337个源代码文件、180664行源代码,在输入验证、代码质量、密码管理、资源管理、代码注入、跨站脚本、API误用、异常处理等方面执行检测与分析。
【测试过程】
电力工程质量监督管理系统源代码审查案例
典型案例
Classic Case
“
19
该系统在总体架构设计过程中遵循“业务驱动”的原则,利用大数据分析、云平台技术、移动应用技术实现供应链两端延伸,贯穿物资、电商等管理系统,实现采购、合同、履约、物流等业务协同,促进供应链多方共同提高抵御市场风险能力,提升供应链整体效率。
受某企业委托,南网数研院测评中心于2021年9月7日至2021年10月13日对电力工程质量监督管理系统 V1.0进行源代码审计测试。
【测试结果】
源代码初次审查共计发现风险漏洞总数16项,其中高风险漏洞4项、中风险漏洞12项、低风险漏洞0项。
输入验证方面:发现文件上传、文件可能会被攻击者注入危险内容或恶意代码;
输入验证方面:发现路径遍历、应用程序未校验用户的输入,攻击者可使用一些特殊的字符摆脱限制,访问一些受保护的文件或目录;
跨站脚本方面:发现存储型XSS持续攻击用户,用户提交了包含XSS代码的数据存储到数据库后,每当用户在浏览网页查询对应数据库中的数据时,包含XSS代码的数据会在服务器解析并加载,当浏览器读到XSS代码后,会当做正常的HTML和JS解析并执行,发生存储型XSS攻击;
密码管理方面:发现硬编码密码、程序中采用硬编码方式处理密码,一方面会降低系统安全性,另一方面不易于程序维护。
20
【测试分析】
①输入验证:文件上传
漏洞原理:用户可通过上传一个可执行的脚本文件获得执行服务器端命令的能力。
整改建议:检查代码逻辑,判断程序是否需要文件上传。
②输入验证:路经遍历
漏洞原理:应用程序未对用户允许访问的文件/目录资源进行严格限制,导致用户得以非法收集路径字典,访问未授权的程序路径。
整改建议:采用数据净化对网站用户提交过来的文件名进行硬编码或者统一编码,对文件后缀进行白名单控制,对包含了恶意的符号或者空字节进行拒绝;Web应用程序可以使用chrooted环境访问包含被访问文件的目录,或者使用绝对路径+参数来控制访问目录。
③跨站脚本:存储型XSS
漏洞原理:存储型跨站脚本攻击涉及的功能点:用户输入的文本信息保存到数据库中,并能够在页面展示的功能点,例如用户留言、发送站内消息、个人信息修改等功能点。
整改建议:对从数据库或其它后端数据存储获取不可信赖的数据进行合理验证,对特殊字符进行过滤;根据数据将要置于HTML上下文中的不同位置,对所有不可信数据进行恰当的输出编码。
2021年10月13日经回归测试确认,共修复高风险漏洞4项、中风险漏洞12项、低风险漏洞0项,高中风险漏洞修复率100.00%。
【测试总结】
南方电网数字电网研究院有限公司
科 / 技 / 创 / 造 / 价 / 值
专 / 注 / 铸 / 就 / 辉 / 煌
510663
51cp@csg.cn
广州市黄埔区科学大道223号4号楼 南网数研院
增值电信业务经营许可证:陕B2-20210327 | 
陕公网安备 61102302611033号