安全保护控件软件安全检测

字号：大中小

　　优势与价值

　　如今安全保护控件的防护能力逐步提升，传统的检测方法所发现的问题等级越趋低危，而CFCA的优势在于除了对安全保护控件中的签名控件、密码保护控件进行传统的溢出攻击检测、防范键盘记录、抗逆向分析、抗反汇编等检测外，还会针对网银助手进行钓鱼攻击，利用社会工程学的原理检测是否能够利用网银助手对用户的个人信息乃至账户资金进行产生威胁。

　　相比于传统检测手段关注于本地盗取信息，我们的检测更能发现保护控件是否存在社会工程学的脆弱点，例如：检测是否能够利用用户信任“官方软件”的心理，通过钓鱼方式使用户主动提交个人信息乃至是账户资金等。而因安全保护控件未进行有效的安全检测导致安装控件后关闭了浏览器的某些安全功能，进而造成用户的财产受到严重安全威胁的事件频频出现，也使得安全保护控件安全检测变得不可或缺。

安全保护控件软件安全检测

　　服务介绍

　　背景说明

　　随着在线支付的迅速发展，中国网银普及率已经达到了前所未有的程度。而与此同时，在线支付的交易安全问题也越来越突出，因为交易过程中的安全隐患不但导致交易失败，甚至严重威胁到用户的财产安全。在此背景下，金融行业机构和厂商相继推出了签名控件、密码保护控件、网银助手等多种控件保护用户的交易过程安全。

　　安全保护控件的实质是可执行程序，网上银行等金融业务相关网站依据自身需求进行编写和开发，通过对关键数据进行加密、驱动级对抗、利用随机软键盘等多种手段，达到防止账号密码被木马程序或病毒窃取的目的。因此，确保控件的安全保护功能切实有效成为了重中之重。

安全保护控件软件安全检测

　　而多种控件的推出目的是提高用户交易环境的安全性，但控件自身的安全性以及其防护的有效性更应该得到关注。若控件的推出不能有效提高交易安全性，那么在复杂的网络环境面前将形同虚设，不仅无法达到保护用户账户资金安全的目的，还会影响到金融行业的信誉。

　　依据以上安全需求，中国金融认证中心信息安全实验室面向广大金融行业用户与软件开发厂商，提供安全保护控件软件安全检测服务。

　　检测依据

　　安全保护控件软件安全检测依据标准:

　　■GB/T 18336.2-2008《信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求》

　　■CFCA-FBZ-001-2015A《安全保护控件安全技术要求（保护轮廓）》

　　检测内容

安全保护控件软件安全检测

　　针对密码保护控件、签名控件、网银助手三类安全保护控件，我们会从5个维度并用多种方法进行安全检测。通过安全功能设计测试，检测安全控件的安全功能是否做到了横向覆盖；通过安全功能工程实现测试，检测安全控件在现在有安全功能基础上是否做到纵向延伸。依靠检测的深度和广度，降低金融支付过程的安全风险，以保证银行和用户的权益不受侵害。　　