信创产品合规认证的一般流程,标准化产品、项目型产品

原创 于 2025-06-14 13:57:50 发布 · 761 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#健康医疗 #深度学习 #opencv #sqlite #eclipse #github #git

信创产品合规认证流程分为标准化产品(通用产品) 和项目型产品(特定项目交付)。

核心流程概述

基础适配与互认

选择适配环境: 确定目标适配的国产CPU架构(鲲鹏、飞腾、龙芯、兆芯、海光、申威等)、操作系统(麒麟、统信UOS、中科方德等)、数据库、中间件等。

产品适配: 在选定的信创环境下进行安装、部署、功能测试、性能调优等。

获取证书:

1.信创产品兼容性互认证证书: 这是第一步也是最关键的证书。通常由产品厂商与基础软硬件厂商(如麒麟、统信、中科方德等)联合测试并颁发。证明产品与该特定基础软硬件平台兼容。

2.信创适配报告/适配证书: 这通常是在完成兼容性互认证后,由第三方权威适配机构(如地方的信创适配中心、国家认可的测试实验室) 对产品在更完整或特定组合的信创环境下的适配情况进行全面测试评估后出具的报告或证书

主要是为了证明产品能在信创基础软硬件环境(国产CPU、OS、数据库、中间件等)上正常运行,并与主流信创生态组件兼容。

一、 标准化产品 (通用产品)

核心适配与互认

1.与主流国产CPU厂商、操作系统厂商进行兼容性互认证测试,获取互认证证书。 (例如:产品X 与 麒麟V10 + 鲲鹏920 完成兼容性互认证)

2.在国家级或地方信创适配中心/权威第三方实验室进行全面适配测试,获取信创适配报告适配证书。这是证明产品信创能力通用性的“敲门砖”。

3.产品安全能力准备 (视情况):

对产品本身进行安全功能检测(如:依据等保或网专产品相应等级的要求),获取相关检测报告,这有助于提升产品竞争力。确保产品支持或集成国密算法模块,为后续系统密评打基础。

项目落地时的附加要求 (在具体项目中满足)

项目级信创测试报告 (针对具体部署环境)

整个系统的等保测评、整个系统的密评 (如需)、整个系统的风险评估

标准化产品路径总结: 信创产品兼容性互认证证书 -> 信创产品适配报告/证书 (通用) -> (可选:产品安全检测) ->  在具体项目中满足系统级测评要求

二、 项目型产品 (为特定客户、特定项目定制开发或深度集成的产品/解决方案)

基础适配与互认

与该项目选定的具体国产基础软硬件(如甲方指定用飞腾+麒麟)进行信创产品兼容性互认证测试,获取互认证证书。这是技术可行性的基础保障。

深度适配与项目定制

在互认证基础上,进行更深入的、针对该项目具体需求和环境的适配、定制开发、集成联调。

在此过程中,可能由项目方、厂商或第三方出具适配过程文档或阶段性报告,但通常不一定需要像标准化产品那样获取一个通用的、权威的第三方《适配报告》或《适配证书》。

验收阶段测评 

网络安全等级保护测评,根据系统定级,对整个项目交付的信息系统进行等保测评并获取备案证明及测评报告。

商用密码应用安全性评估, 根据项目涉密程度、行业要求、是否属于关基等,对整个项目交付的信息系统进行密评。如果非涉密的关键信息基础设施、网络安全保护第三级以上网络、国家政务信息系统等网络与信息系统需开展商用密码应用安全性评估工作,证明其密码应用的合规性、正确性和有效性。产品本身需要支持或集成符合国密标准的密码模块/功能。

项目级信创测试报告,由甲方认可的测试机构对最终交付的项目系统(包含该产品) 进行全面的功能和性能测试,确保满足项目合同和技术规格书要求。这是项目验收的关键依据之一。在项目验收阶段,针对具体的项目部署环境进行更深入的功能、性能、安全性、可靠性等方面的测试。这份报告通常由项目甲方指定的测试机构出具,证明产品在该项目具体环境中满足合同和规范要求。

风险评估,对项目交付的信息系统进行风险评估。在项目上线前或重要阶段,对包含该产品的信息系统进行全面的安全风险评估,识别潜在威胁和脆弱性,提出整改建议。可以是甲方自评或委托第三方进行。

其他项目特定要求,如行业专项检查、特定安全审计等。

项目型产品路径总结

信创产品兼容性互认证证书 (针对项目选型) -> 项目深度适配/定制 -> 项目级信创测试报告 -> 系统等保测评 -> (如需) 系统密评 -> 系统风险评估 -> 项目验收

关键点总结

互认证证书是基础

信创产品兼容性互认证证书通常是第一步和必要条件,证明产品能在目标信创平台上跑起来。

适配报告/证书 vs. 项目测试报告

适配报告/证书,更侧重于产品本身在通用或标准信创环境下的适配能力和兼容性证明,是标准化产品进入目录的关键,通常由第三方信创协会出具。

项目测试报告: 更侧重于在具体项目部署环境下,交付物(包含该产品)的功能、性能、安全性是否满足该项目特定合同和需求,是项目验收的核心文件之一,由项目甲方认可的测试机构出具。

等保、密评、风险评估

这三项测评的对象是包含该产品的整个信息系统,而非单个产品本身(虽然产品需要具备支撑能力)。它们发生在项目交付验收阶段,是项目能否上线运行的强制性或关键性要求(尤其是等保和密评)。

项目型产品路径目标是“验收”, 流程重心在满足特定项目的最终交付和上线要求,特别是验收测试和系统级安全测评。

极创信息
关注
博客
信创软件的架构、设计、推进实施策略等参考
05-18 1187
随着软硬件基础设施的推进和完善,各类信创生态的软件应用可能会成为新的热点。
博客
算法备案 | 算法备案必要性、算法类型、备案流程
05-18 898
在当今的数字化时代,算法已经广泛应用于各个行业,引起了监管部门的高度关注,因为算法产品可能会带来一些潜在的风险。为了规范互联网信息服务中的算法推荐活动,抵制诸如深度生成合成、算法歧视、“大数据杀熟”、诱导沉迷等不合理应用,各个国家都先后出台了一系列关于算法管理的法律法规。在我国,《数据安全法》、《个人信息保护法》、《互联网信息服务算法推荐管理规定》等法律法规明确对算法的使用和管理提出了要求。因此,企业必须进行算法备案,以履行法律法规所规定的义务。此外,算法备案有助于企业降低法律风险。
博客
如何获取软件安全检测报告
05-16 445
如果企业自身具备足够的安全专家,可组建专门的安全测试小组来执行测试任务。团队成员应具备丰富的软件安全知识和测试经验,能够熟练运用各种测试工具和技术。:借助市场上可用的安全扫描工具进行初步检测,如漏洞扫描工具、模糊测试工具等,以提高检测效率和准确性。但要注意,自动化工具的检测结果可能存在一定的误报和漏报,需结合人工审查进行验证和补充。:根据软件的特点、行业标准和最佳实践,制定全面的测试计划。计划应包括测试的目标、范围、策略、方法、时间安排等,确保测试过程有条不紊地进行。
博客
信创产品如何认证,招标和验收阶段的一些要求
05-15 1009
有一些小伙伴可能遇到比较广泛的有两类场景:一类是针对产品厂商的,比如集成商或者代理商需要投标,招标文件中如果要求国产适配或者要求符合信创的技术路线,这时需要兼容性互认证书或者信创产品评估证书。还有就是验收阶段,特别是对于基础设施类项目,还需要信创符合性验收、性能、兼容性、可靠性、信创安全性验收。
博客
信创产品认证如何评测,信创认证评测生态、现状、标准
05-15 1266
评测通常是指对产品、系统、服务等进行系统的测试和评估,以确定其性能、功能、质量等方面是否符合特定的标准或要求,通过测试和评估来得出对产品或系统的具体评价。信创产品的评测现状目前国内信创评测对于确保信创产品的质量和性能至关重要,但目前国内在信创环境下的信息化系统质量评估方面缺乏统一的质量评估体系和测试工具,导致信创软件的评测标准不统一,评测内容和依据多为通用性标准,对特定行业技术应用场景的针对性不强。信创评测市场急需建立一套统一的评测标准,以推动信创产业的高质量发展。信创产品的评测对行业有什么作用?
博客
从信创产业链交易结构的转变,看信创厂商的突围路径
05-14 441
框架协议采购和批量采购等模式,使采购向少数大型供应商集中,头部企业凭借规模效应和技术整合能力获得更大市场份额,中小企业生存空间被挤压。:统一采购和批量采购使采购方议价能力增强,对产品价格、质量、服务等要求更具主导性,供应商需在满足采购方需求的同时,努力控制成本、提升效率,以维持利润空间。:如x省准备采用的模式,通过与供应商签订框架协议,约定一定时期内的采购事项和条件,便于批量采购和片区统一采购,提高采购效率和规模效应。关注县乡级市场及教育、医疗等细分行业,提供定制化产品和服务,避开与头部企业的正面竞争。
博客
信创领域的十大网络安全威胁有哪些
05-14 878
信创领域面临十大主流网络安全威胁,包括人员安全意识不足、供应链安全风险、高级持续性威胁(APT)攻击、数据安全与AI模型滥用、恶意软件与勒索病毒、云原生与云配置安全风险、新型攻击技术威胁、应用安全风险、运维管理薄弱环节以及老旧系统与遗留技术风险。这些威胁不仅涉及传统IT系统的共性问题,还因信创技术生态的独特性而面临特殊挑战。为应对这些威胁,需加强人员安全培训、建立供应链安全审查机制、采用代码签名验证、推动“安全左移”策略,并制定渐进式替代计划,优先修复高危漏洞并隔离老旧系统。
博客
勒索病毒科普及防御措施
05-13 683
有一些朋友觉得信创电脑大都是linux内核,所以基本上杜绝了各类病毒。其实这是一个很严重的认知错误。包括目前主流的勒索病毒软件和各类挖矿软件很多都有针对linux的版本,因为服务器基本上都稳定运行,所以根本不用担心稳定性等问题。目前主流的防护方式是杀毒软件,但是杀毒软件的缺陷就是,滞后于一些免杀技术。在服务器端,如果没有大量的频繁写入,场景足够单一的话,目前白名单方式的防护相对更加安全一些,因为能阻断勒索病毒的执行。
博客
案例分享 | 某公用事业单位攻防演练技术支持
05-13 845
在实战阶段,监控和处置团队面临着巨大的挑战,他们需要在海量的告警信息中进行筛选,既要确保不遗漏任何真正的威胁(不漏报),也要尽量减少错误的警报(少误报),以避免浪费宝贵的资源和精力。此时,防守单位的成员需依照先前的战前规划,执行全天候的值班制度,确保监控和响应工作的高效率和精准度,全力以赴与攻击模拟团队进行全方位的对抗。召开战前会议,一方面明确工作流程和团队分工,另一方面强化安全防护意识,确保在面对攻击者的多种手段时,防守人员在任何环节都不能放松警惕,防止攻击者利用防守人员的疏忽作为攻击的突破口。
博客
案例分享 | 某企业金融类App安全评估项目
05-13 1054
本次金融类App的渗透测试不仅帮助客户发现并修复了多个严重漏洞,还通过一系列的安全建议,全面提升了App的整体安全性。通过对App客户端、服务端及小程序的安全检测,确保了交易的安全性、用户数据的保护以及整体应用的抗攻击能力,为客户提供了一个更加安全可靠的金融服务平台。
博客
渗透测试发现的漏洞,如何修复与预防
05-13 1267
以下是关于渗透测试中发现系统漏洞后的整改修复方法,从渗透测试常见漏洞、漏洞危害、如何修复漏洞以及如何有效预防四个方面进行详细说明。
博客
极创信息圆满完成某人工智能企业渗透测试项目
05-13 379
近日,极创信息成功实施了针对某人工智能企业的渗透测试技术服务。在此次服务中,我司以客户需求为中心、以价值创造为导向的管理理念,派遣了专业的安全服务团队。团队运用当前主流的攻击技术和工具,对客户的多个业务系统进行了模拟攻击测试,深入挖掘潜在的安全漏洞,并进行了系统的整理与分析。针对发现的每一个安全漏洞,团队提供了详尽的解决方案和改进建议。此次渗透测试服务不仅验证了客户的信息系统在当前安全防护措施下抵御外部入侵的能力,而且通过模拟攻击行为,有效地识别了系统中的安全弱点和脆弱环节。
博客
软件供应链安全 | 浅谈DAST、SAST、IAST、RASP、SCA等
05-13 1223
以色列攻击黎巴嫩事件,特别是针对黎巴嫩真主党成员的通信设备爆炸事件,为软件供应链安全领域提供了深刻的启示。这次事件表明,通过供应链进行的攻击可以造成严重的物理损害和人员伤亡,这在以往的网络战中是较为罕见的。这种攻击方式的成功实施,凸显了在软硬件供应链中进行安全防护的重要性。
博客
信创适配、信创迁移、信创改造分别是什么?
05-13 1160
信创改造着重在对系统进行深度优化与重构,适合无法直接迁移或适配的复杂场景。信创适配更强调系统兼容性调整,确保国产化环境中运行无误,适用于对系统影响较小的场景。信创迁移关注系统和数据的整体转移,适合需要快速转换至信创平台的系统。山东极创信息专注于信创咨询、信创认证咨询、网络安全服务等领域。
博客
信创安全 | 网络安全“两高一弱”是什么
05-13 237
网络安全是国家安全的一项基本内容,然而,随着网络技术的飞速发展,网络安全威胁也日益增多。下面请大家一起来学习了解一下其中的“两高一弱”问题及其应对措施。
博客
哪些行业需要过等保?等保2.0必须了解的40个问题
05-13 858
答:“等级保护2.0”或“等保2.0”是一个约定俗成的说法,指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019年12月1日,《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》正式实施为象征性标志。答:指经认定的专业第三方测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。
博客
常见网络安全服务分类大全(汇总版)
05-13 932
安全集成是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。它包括信息安全规划设计、信息安全产品部署实施、信息安全差距分析和测试等。应急响应通过制定应急计划,使得影响网络与信息系统安全的安全事件能够得到及时响应,并在安全事件发生后进行标识、记录、分类和处理,直到受影响的业务恢复正常运行攻防演练通过模拟真实攻击场景,提升企业的应急响应能力和安全防护水平安全培训通过培训提升企业员工的网络安全意识与技能,内容包括网络安全基础知识、法律法规解读、标准解读等。
博客
收藏 | 一文读透信创项目验收流程及重点
05-13 1010
很多小伙伴关注信创类项目的验收环节,本文特此研究了部分标准规范。信创即信息技术应用创新,旨在实现信息技术领域的自主可控,保障国家信息安全,其核心是建立自主可控的信息技术底层架构和标准。信创项目验收是确保项目按照既定目标和标准完成的关键环节。本文重点解读自《信息技术应用创新项目验收规范》
博客
渗透测试与漏洞扫描的区别
05-13 947
在当今数字化时代,网络安全已成为企业和组织不可忽视的重要议题。随着网络攻击手段的不断演变和复杂化,如何确保信息系统的安全性成为了一个巨大的挑战。在这一背景下,渗透测试和漏洞扫描作为两种主要的网络安全评估手段,被广泛应用于各种安全测试和风险评估中。然而,尽管它们的目标都是为了发现和修复系统中的安全漏洞,但它们在多个方面存在着显著的差异。本文将从目的、方法、深度、时间成本、技术要求、报告和结果等多个维度,对渗透测试和漏洞扫描进行深入剖析和比较。
博客
做信创项目需要什么资质、信创产品认证标准
05-12 1168
信创项目需要企业具备一些特定的资质和认证,以证明其合规性和专业性。:该认证可以证明企业已经建立了完善的信息安全管理体系,能够保障项目数据的安全性和保密性。:该认证可以证明企业具备完善的信息技术服务管理体系,能够提供高质量的信息化服务。:该认证可以证明企业的信息基础设施和应用程序已经达到了国家信息安全标准,能够保障项目数据的安全性和保密性。(CMMI):该认证可以证明企业具备高水平的软件研发能力和项目管理能力,能够提供高质量的软件产品和服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值