精华内容
下载资源
问答
  • 行业分类-物理装置-全过程工程咨询服务评估系统.zip
  • 行业分类-物理装置-一种全过程工程咨询服务评估方法.zip
  • 2019-2025年中国人力资源服务行业市场深度评估及投资战略研究报告.pdf
  • 2019-2025年中国汽车延保服务行业市场深度评估及投资战略研究报告.pdf
  • 2013版用于立项信息安全风险评估咨询服务项目可行性研究报告(甲级资质)审查要求及编制方案 2013版用于发改委立项信息安全风险评估咨询服务项目可行性研究报告全程辅助+专家答疑审查要求及编制方案 . 4 . 4 . 4 ....
  • app安全评估报告,如何搞定呢?!

    万次阅读 2019-06-19 06:40:39
    你的app上架,遇到【安全评估报告】门槛了么?什么是“安全评估报告”?没有“报告”会有什么后果?专业的第三方评测机构帮助企业app顺利上架 什么是“安全评估报告”? 2018年11月15日,网信办...

    什么是“安全评估报告”?

    2018年11月15日,网信办(http://www.cac.gov.cn)发布了《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》,规定中提出了:“针对具有舆论属性或社会动员能力的互联网信息服务的主体,都需要提供一份《安全评估报告》。”
    在这里插入图片描述
    简单来说,无论是网站、App、小程序、公众号、博客等发布上架都需要提交第三方《安全评估报告》。
    首先响应的是各大安卓应用市场,目前已有应用宝、华为、三星、金立、魅族、安智、阿里分发、努比亚、应用汇、联想、搜狗、木蚂蚁等安卓市场通过邮件方式通知开发者,要求提供《安全评估报告》,预计 OPPO、小米等应用商店也会陆续响应政策,App Store 还未出现相关通知,不过也希望 iOS 的开发者保持关注,尽快完成《安全评估报告》。
    在这里插入图片描述

    没有“报告”会有什么后果?

    根据各大应用市场(安卓应用市场和苹果的APP Store)的原始通知,未按要求提供报告的 App,会直接进行下架处理,但在11月20号又进行了补充说明,将下架改为“公安机关对上报的安全评估进行抽查”。
    当然,不要以为“下架”改成“抽查”就能高枕无忧,一旦抽查发现没有《安全评估报告》,产品会被标为“具有风险隐患”,可能还会面临下架整改,所以这里还是要郑重的提醒开发者,尽快完成并上传《安全评估报告》,以免不幸“中奖”。
    《安全评估报告》是在全国互联网安全管理服务平台(http://www.beian.gov.cn)里进行提交的。
    首次进入需要注册并完善主体信息,这一步相对简单,按照规定填写即可。
    完成之后提交审核,审核的速度还是非常快的,通常 10 分钟左右就会短信通知审核完成,接下来就可以进行《安全评估报告》的填写。

    在提交信息步骤里的第三方评估报告却让很多人犯了难,第三方是谁?哪个第三方可以做呢?

    专业的第三方评测机构

    安畅物联网科技可以为用户单位提供通用软件、嵌入式软件等多种类型的物联网产业软件的开发和测试,同时可以为企业提供物联网系统全过程咨询、评估、验证、评价等服务以及相关的资源共享、人员外派等多方位多层次的专业支撑。出具的测试报告也已经让多家企业的产品审核通过并成功上线
    在这里插入图片描述
    在这里插入图片描述

    展开全文
  • CALIS集团引进CSA数据库评估报告 CSACambridge Scientific Abstracts即美国剑桥科学文摘出版公司是一家二次文献出版公司该公司有70多个资料库2300多万条记录目前CSA已为全世界1500多家机构提供服务该资料库的检索...
  • 实现房地产价格(价值)评估的电算化,为房地产交易、缴税、信贷等提供依据,是房地产估价机构、资产评估机构、会计师事务所、造价咨询机构、设计部门、银行、税务部门的好助手。 1.1.2.1 根据房地产的特点和需求及...
  • 等保评估服务规划方案
  • 通过咨询服务,学生在10周内学习问题的平均目标达到标准的85%,行为问题的平均目标达到标准的82%。 对咨询活动的分析与学习和行为问题目标的实现有关。 没有发现任何与成功相关的单一活动的明确证据。 还分析了每次...
  • XX 集团 信息安全咨询评估服务 方案建议书 ;目录 一 需求分析 . 3 1.1 背景分析. 3 1.2 项目目标. 4 1.3 需求内容分析. 4 1.3.1 技术风险评估需求分析. 4 1.3.2 管理风险评估需求分析. 5 1.4 时间进度需求. 6 1.5 ...
  • IOS HTTPS 服务器信任评估

    千次阅读 2018-03-02 16:02:38
    HTTPS 服务器信任评估当你进行HTTPS连接时,客户端必须评估服务器是否可信。如果评估失败,客服端...HTTPS 相关概念• 验证咨询(authentication challenge) - 它是一个HTTP或者HTTPS的响应,指示服务器请求客服端...

    HTTPS 服务器信任评估

    当你进行HTTPS连接时,客户端必须评估服务器是否可信。如果评估失败,客服端应该取消连接。这种情况可能由于各种原因,例如,服务器使用自己签名的证书,中间证书缺失等。还有一些恶意情况,服务器可能是个为了盗窃用户数据的冒充服务器。

    HTTPS 相关概念

    • 验证咨询(authentication challenge) - 它是一个HTTP或者HTTPS的响应,指示服务器请求客服端验证信息。Foundation框架中用NSURLAuthenticationChallenge表示。它同样支持HTTPS的服务器信任评估。它是保护空间的验证咨询。

    • 证书(certificate)- 摘要证书。

    • 证书认证机构(certificate authority)- 一个可靠的派发证书机构。每个CA会派发一个或者多个根证书,这些根证书用于信任评估该授权机构派发的证书。

    • 证书认证机构锁定(certificate authority pinning)- 服务器需要提供指定的CA派发的证书。

    • 证书锁定(certificate pinning)- 服务器需要提供指定的证书或者证书必须包含指定的公钥。

    • 撤销证书列表(certificate revocation list,CRL)- 一个被撤销的证书列表,它们不应该被信任。

    • 数字证书(digital certificate)- 一种最通用的证书(certificate)它使用公钥加密实体的数字签名来关联信息。在TLS中,所有数字证书都是X.509数字证书。

    • 数字ID(digital identity)- 证书和关联该证书公钥的私钥的结合。

    • 数字签名(digital signature)- 用于证明一些数据的真实性。你可以使用私钥来验证签名来确保是对应的私钥加密生成的。

    • 扩展验证(extended validation)- 使用扩展证书验证。

    • HTTP - 超文本传输协议。

    • HTTPS - 在TLS上的HTTP。

    • HTTPS服务器信任评估 - (HTTPS server trust evaluation)HTTPS是TLS上的HTTP,所以等价于TLS服务器信任评估。

    • 中间证书 - (intermediate certificate)服务器证书到根证书之前的中间证书。

    • 发行人 -(issuer)X.509数字证书签名的实体。

    • OCSP -(Online Certificate Status Protocol)一个检查证书是否被撤销的协议。

    • 私钥 -(private key)用于解密数据和生成数字签名。

    • 保护空间 -(protection space,realm)一个请求验证的HTTP或者HTTPS的服务器。在Foundation框架中,用NSURLProtectionSpace表示。

    • 公钥 -(public key)用于加密数据或者验证数字签名。

    • 公钥加密系统 -(public key cryptography)一个加密系统。它使用两个分开的密钥。一个是公钥,一个是私钥。私钥用于解密数据和生成数字签名,公钥用于加密数据和验证数字签名。

    • 公钥基础设施 -(public key infrastructure)一个管理公钥和私钥的机制。公钥内嵌到证书,TLS使用X.509公钥。

    • 根证书 -(root certificate)一个CA提供的自签名证书,用来信任评估该CA派发的证书。

    • 安全套接字层 -(SSL)TLS的上版本。

    • 自签名证书 -(self-signed certificate)一个X.509数字证书,它的主体和发行人是相同的。根证书是自签名的,但是任何人都可以创建自己的自签名证书。

    • 服务器证书 -(server certificate)TLS服务器提供的X.509数字证书。TLS协议确保私钥在服务器上,对应的公钥内嵌在这个证书。这个证书正是TLS服务器信任验证的对象。

    • 服务器信任评估 -(server trust evaluation)客户端对服务器进行信任评估。

    • 主体 -(subject)对于X.509数字证书,它是证书标识的实体。在TLS中,这个服务器证书主体是服务器的DNS名称。

    • TLS -(TLS)传输层安全协议,在SSL之后。

    • TLS服务器信任评估 -(TLS server trust evaluation)信任评估包含一组X.509证书信任评估和附加的TLS特定检查。操作的是服务器的证书。

    • 信任评估 -(trust evaluation)一个实体决定是否信任另外一个实体,根据这个实体的数字证书。

    • 信任锚点 -(trust anchor)系统明确信任的证书。一般是已经存储在系统的CA的根证书。但在一些情况下,你可以标记任何证书为信任锚点。

    • 信任的证书认证机构 -(trusted certificate authority)CA的根证书都被存储在系统并成为信任锚点。

    • 有效日期范围 -(valid date range)对于X.509证书,代表证书的有效日期范围。

    • 验证日期 -(verify date)在X.509证书信任评估,有效日期需要检验。

    介绍

    服务器信任评估错误:

    Domain=NSURLErrorDomain Code=-1202 "The certificate for this server is invalid. You might be connecting to a server that is pretending to be “example.com” which could put your confidential information at risk." UserInfo=0x14a730 {NSErrorFailingURLStringKey=https://example.com/, NSLocalizedRecoverySuggestion=Would you like to connect to the server anyway?, NSErrorFailingURLKey=https://example.com/, NSLocalizedDescription=The certificate for this server is invalid. You might be connecting to a server that is pretending to be “example.com” which could put your confidential information at risk., NSUnderlyingError=0x14a6c0 "The certificate for this server is invalid. You might be connecting to a server that is pretending to be “example.com” which could put your confidential information at risk.", NSURLErrorFailingURLPeerTrustErrorKey=<SecTrustRef: 0x14ec00>}

    在这个错误中code=-1202代表NSURLErrorServerCertificateUnTrusted。表明服务器信任评估失败。

    HTTPS是HTTP在TLS上的协议。

    • 保证隐私 - 不能修改和替换数据包。

    • 客服端验证服务器证明 - 保证不被中间人攻击(能够在客服端和服务器之间修改和替换数据包),中间人可以冒充服务器来获取客服端的私密数据。

    TLS也可以服务器验证客服端证明。服务器请求客服端证书来验证是否信任客服端。

    处理服务器信任评估失败

    理解服务器信任评估失败

    当你使用TLS连接服务器,服务器会提供证书给你并且保证服务器的私钥对应证书的公钥。之后检查证书是否是你想要连接的服务器。

    基础信任评估

    TLS服务器信任评估包括下面2个基本步骤:

    1. 基本X.509证书信任评估。

    2. 附加的TLS检查。

    X.509证书有5个重要属性:

    • 主体信息。

    • 发行人信息。

    • 证书信息(例如,有效日期范围)。

    • 公钥。

    • 数字签名。

    如果数字证书是有效的,发行人会担保证书的主体拥有私钥和对应的公钥在证书。

    X.509证书信任评估会递归这2步处理:

    1. 检查证书的有效性。主要涉及2步检查,检查数字签名的有效性和证书有效日期。

    2. 检查发行人的有效性。检查发行人的证书并递归地检查证书有效性。

    递归处理必须最终能够终止。信任评估只有一种成功情况:命中信任锚点。信任锚点是系统明确信任的证书和已经存储在系统的著名CA根证书。

    信任评估可能会失败由于各种原因:

    • 命中无效证书。

    • 不能发现证书的发行人。

    • 命中自签名的证书不是信任锚点。

    如果X.509证书信任评估成功,系统会进行附加的特定TLS检查。涉及检查连接的DNS域名和证书的DNS域名是否相同。这里还有一些其他的事情:

    • 通常,你可能希望发现DNS域名在主体通用名参数(Common Name field),也可以在主体可选名扩展中(Subject Alternative Name extension)。如果这个名字出现在主体可选名扩展,优先使用它(相对于Common Name field)。

    • 主体可选名扩展(Subject Alternative Name extension)可能包含IP地址。客服端可以商量使用IP地址或者是DNS域名。

    • 证书的DNS域名可能包含通配符,例如“*.apple.com”。

    • Extended Key Usage扩展希望包含Server Authentication值。

    通用失败

    • 没有发行人证书 - 对所以提供的证书(除了信任锚点证书),系统必须能够定位到发行人证书。

    • 日期问题 - 验证日期在证书的有效日期范围。

    • 自签名证书 - 对于自签名证书,这会导致评估失败(除非它是信任锚点证书)。

    • 不是可信任的证书认证机构(CA)- 系统必须随着发行人证书直到信任的CA根证书。

    • DNS域名不匹配 - 你尝试连接的服务器的DNS域名必须匹配服务器证书的DNS域名。

    钥匙串访问

    钥匙串

    访问有大量的证书调试特性:

    • 它可以导入和导出证书并且用各种格式标识。

    • 如果你双击证书,系统会打开一个GUI界面。

    • 证书助手(从钥匙串获取)能够信任评估指定的证书。

    • 证书助手可以创建自签名证书。

    • 证书助手可以创建CA来派发叶子证书或者中间证书。

    你可以创建一个钥匙链来进行钥匙串访问。

    安全工具

    • 转存钥匙链为文本形式。

    • 详细地进行信任设置。

    • 添加和移除钥匙链证书。

    Safari浏览器

    如果你使用Safari浏览器访问HTTPS网站,你可以在title栏点击锁头图标来获取证书的相关信息。

    如果你使用Safari浏览器访问不被信任的HTTPS网址,Safari会展示一个“不能验证网站身份”的Sheet。

    自定义基本信任

    信任评估对象SecTrustRef。你可以直接创建它,但TLS服务器中,系统的API已经帮你做了默认的信任评估处理,你可以在这个基础上自定义它。

    1. 获取信任对象。

    2. 自己评估,确保检查上述的失败情况。

    3. 如果信任评估成功,你可以指定严格的信任评估规则。

    4. 如果信任评估失败,使用你自定义信任对象。

    5. 再次评估这个对象,确定允许或者取消连接。

    OSStatus            err;
    BOOL                allowConnection;
    SecTrustResultType  trustResult;
     
    allowConnection = NO;
     
    err = SecTrustEvaluate(trust, &trustResult);
    if (err == noErr) {
        allowConnection = (trustResult == kSecTrustResultProceed) ||
                          (trustResult == kSecTrustResultUnspecified);
    }

    如果你收到的服务器证书不是被系统认证的CA派发的,你可以调用SecTrustSetAnchorCertificates方法来设置锚点证书(相当于CA的根证书)。

    OSStatus            err;
    BOOL                allowConnection;
    SecCertificateRef   customAnchor;
    SecTrustResultType  trustResult;
     
    allowConnection = NO;
     
    customAnchor = ... the CA's root certificate ...;
     
    err = SecTrustSetAnchorCertificates(
        trust,
        (__bridge CFArrayRef) [NSArray arrayWithObject:(__bridge id) customAnchor]
    );
    if (err == noErr) {
        err = SecTrustEvaluate(trust, &trustResult);
    }
    if (err == noErr) {
        allowConnection = (trustResult == kSecTrustResultProceed) ||
                          (trustResult == kSecTrustResultUnspecified);
    }
    code

    最后,可能由于一些情况自定义请求不能直接在信任对象评估。例如,如果你希望信任对象被认为是额外的中间证书,你不能直接添加到信任对象。你可能需要重新创建信任对象来评估它。

    OSStatus            err;
    BOOL                allowConnection;
    CFArrayRef          policies;
    NSMutableArray *    certificates;
    CFIndex             certCount;
    CFIndex             certIndex;
    SecCertificateRef   extraIntermediate;
    SecTrustRef         newTrust;
    SecTrustResultType  newTrustResult;
     
    allowConnection = NO;
     
    policies = NULL;
    newTrust = NULL;
     
    err = SecTrustCopyPolicies(trust, &policies);
    if (err == errSecSuccess) {
        certificates = [NSMutableArray array];
     
        certCount = SecTrustGetCertificateCount(trust);
        for (certIndex = 0; certIndex < certCount; certIndex++) {
            SecCertificateRef   thisCertificate;
     
            thisCertificate = SecTrustGetCertificateAtIndex(trust, certIndex);
            [certificates addObject:(__bridge id)thisCertificate];
        }
     
        extraIntermediate = ... the extra intermediate certificate to use ...;
        [certificates addObject:(__bridge id)extraIntermediate];
     
        err = SecTrustCreateWithCertificates(
            (__bridge CFArrayRef) certificates,
            policies,
            &newTrust
        );
        if (err == noErr) {
            err = SecTrustEvaluate(newTrust, &newTrustResult);
        }
        if (err == noErr) {
            allowConnection = (newTrustResult == kSecTrustResultProceed) ||
                              (newTrustResult == kSecTrustResultUnspecified);
        }
    }
     
    if (newTrust != NULL) {
        CFRelease(newTrust);
    }
    if (policies != NULL) {
        CFRelease(policies);
    }

    关于自定义信任API

    WebView

    你可以获取NSURLConnect的authentication challenges通过resourceLoadDelegate属性。

    UIWebView

    不能自定义HTTPS服务器信任评估。

    HTTP流媒体直播

    HTTP流媒体直播支持服务器信任评估根据获取的资源类型。


    NSURLSession

    NSURLSession允许你通过实现URLSession:didReceiveChallenge:completionHandler:方法来自定义HTTPS服务器信任评估。为例实现自定义HTTPS服务器信任评估,你需要检查Challenge对象的保护空间(protection space)是否有NSURLAuthenticationMethodServerTrust验证方法。对于其他类型的Challenge,你不用去考虑,只需要调用completion handler block 使用NSURLSessionAuthenticationChallengePerformDefaultHandling的disposition处理和NULL 证书。

    当你处理NSURLAuthenticationMethodServerTrust的authentication challenge,你可以获取信任对象从challenge的保护空间(protection space)调用serverTrust方法获取。之后你可以使用这个信任对象来执行自定义HTTPS服务器信任评估,你必须处理challenge使用下面2个方法:

    • 如果你想要禁止连接,调用completion handler block并提供NSURLSessionAuthChallengeCancelAuthenticationChallenge的disposition和NULL 证书。

    • 如果你想要允许连接,创建证书从你的信任对象(使用+[NSURLCredential credentialForTrust:]方法),之后调用completion handler block并提供NSURLSessionAuthChallengeUserCredential的disposition。

    注意:系统会避免你使用创建的证书的信任对象的信任结果;任何有效的信任对象将允许连接成功。

    NSURLConnection

    NSURLConnection允许你自定义HTTPS服务器信任评估。类似NSURLSession,这里有2个不同的地方:

    • 你实现不同的代理方法(-connect:willSendRequestForAuthenticationChallenge:)。

    • 当处理challenge,你必须获取sender从challenge(通过-sender方法),之后调用适当的方法在sender。

        • 对于你不用考虑的challenge,调用-performDefaultHandlingForAuthenticationChallenge方法。

        • 如果你想要禁止连接,调用-cancelAuthenticationChallenge: 。

        • 如果你想要允许连接,调用-useCredential:forAuthenticationChallenge:,提供证书对象使用信任对象创建。

    CFHTTPStream

    CFHTTPStream允许你自定义HTTPS服务器信任评估。

    CFSocketStream

    为了自定义TLS服务器信任评估:

    1. 使用kCFStreamSSLValidatesCertificateChain实体的kCFStreamPropertySSLSettings属性来完全失效服务器信任评估。

    2. 一旦流被连接,在你发送任何数据和信任任何接收数据之前,从流的kCFStreamPropertySSLPeerTrust的属性获取信任对象。

    3. 使用信任对象来实现自定义HTTPS信任评估。

    4. 根据信任评估结果来决定继续连接或者关闭。

    第2步:什么时候流被连接?当你获取流打开完成事件,信任对象不可用。为了保证信任对象可用,你必须等待有空间可用事件或者有字节可用事件。


    安全传输

    安全传输也允许自定义TLS服务器信任评估。处理过程如下:

    1. 开始连接之前,调用SSLSetSessionOption并设置kSSLSessionOptionBreakOnServerAuth。

    2. 如果有必要,调用SSLSetEnableCertVerify方法来失效默认服务器认证评估。

    3. 执行安全传输握手。

    4. 当SSLHandshake返回errSSLServerAuthComplete,调用SSLCopyPeerTrust来连接的信任对象。

    5. 使用信任对象实现自定义服务器信任评估。

    6. 继续执行安全传输的握手或者中断连接。

    处理特殊的服务器信任评估失败

    在处理之前记住2点:

    • 目前最简单和最安全的处理服务器信任评估失败的方法是修复服务器。你应该在修复服务器很困难的情况下考虑下面的方法。

    • 大多数用户是没有相关网络安全的知识的。呈现用户界面让用户决定是否连接是错误的方式,这可能会造成一些安全隐患。

    服务器名失败

    如果服务器信任评估失败是由于服务器的DNS域名不匹配证书的DNS域名,你可以忽略这种情况。使用SecPolicyCreateSSL方法创建一个新的带有正确的服务器名的政策(SecPolicyRef),之后调用SecTrustSetPolicies方法来让信任对象(SecTrustRef)使用这个政策。

    缺失中间证书

    这里有几种方法来解决缺失中间证书:

    • 最佳的方法同时也是常用的方法就是修复服务器。让服务器提供可以追踪到信任的CA根证书的服务器证书。

    • 在OS X上,你可以添加这个中间证书到钥匙链来完成正确的信任。

    • 在IOS上,你可以添加这个中间证书到钥匙链来完成正确的信任。

    • 如果上面都失败,你只能自己生产中间证书(bundle或者从网上下载);之后从原来的信任对象获取信任链证书集合并添加中间证书;重新使用证书集合创建新的信任对象;使用这个信任对象进行信任评估。

    信任一个特殊证书

    在一些情况,把证书当做简单的id token是有用的。例如,在点对点程序中,X.509信任评估是无意义的,因为这里没有CA派发它们。但是,你任然可以使用TLS安全传输。

    1. 通过你自己建议的方式获取远程点证书的副本;你可以让远程用户email证书给你并放到U盘上,或者任何其他方式。

    2. 从信任对象获取服务器证书。(传0下标给SecTrustGetCertificateAtIndex)

    3. 获取证书的数据。(SecCertificateCopyData)

    4. 比较这个证书和步骤1获取的证书数据;匹配,进行正确的连接。

    自定义CA

    如果服务器证书的CA不是系统信任的,你可以包含这个CA的根证书来处理这个问题。

    1. 在程序中,包含这个CA根证书副本。

    2. 一旦获取信任对象,创建这个证书使用证书数据(SecCertificateCreateWithData)并设置这个证书为信任锚点(SecTrustSetAnchorCertificates)。

    3. SecTrustSetAnchorCertificates设置一个flags来阻止信任对象信任其它的锚点;如果你想信任系统的默认锚点,调用SecTrustSetAnchorCertificatesOnly来清楚flag。

    4. 评估信任对象。

    自签名证书

    这里有各种原因使用自签名证书。下面是通常的情况:

    开发(Development)

    在开发过程中使用自签名证书有利于建立TLS基本服务器测试。这是有理由使用自签名证书和关闭TLS服务器信任评估。

    当使用自签名证书进行开发,更好的方式是创建自己的CA并派发证书给测试服务器。你可以导入CA的根证书到APP或者每个测试者的系统都安装这个CA的根证书。(使用Safari,Mail和配置描述文件(configuration profiles)在IOS,钥匙串访问在OS X)。这种方式的好处是不用关闭TLS服务器信任评估,也意味着你不用担心在发布环境下忘了打开TLS服务器信任评估。

    • 证书助手(Certificate Assistant)- 这个APP已经内嵌在OS X中,它拥有友好的用户界面和管理自己的CA。

    • OpenSSL - OpenSSL命令行工具允许你创建和管理自己的CA。

    商业原因

    一些组织由于商业原因使用自签名证书在生产环境的基础措施。有可能是这个组织不愿意从CA购买证书或者它有可够获取这样的证书。

    如果自签名证书是可选的,那么最好还是使用自己的CA。使用自己的CA比自签名证书有以下好处:

    • 服务器改变 - 如果服务器改变会破坏服务器信任评估,你的CA能够派发新的证书来描述这个变化而且客服端会自动的信任它。例如,你改变服务器的DNS域名,新的证书包含新的DNS域名。

    • 重新派发 - 如果服务器的证书过期,你的CA能重新派发。

    • 撤销 - 你的CA可以通过OCSP或者CRL协议来撤销证书。

    第三方服务器

    你可以避免使用自签名证书,但是如果使用第三方服务器,这个服务器使用自签名证书;最好的办法是让他们使用信任的CA派发的证书。如果这不可能,那么内嵌这个证书在APP中,使用适当的方法来信任这个证书。

    信任异常

    如果你构建通用目的应用(能广泛连接各种服务器),在这种情况你需要通用的解决方案。

    最好的通用方式是什么都不做。这种默认的服务器信任评估有2个重要的好处:

    • 容易实现。

    • 安全。

    最后一点很重要:如果发生服务器信任评估失败,你提供用户避免安全性的方式,用户将会总是选择它不管有多不安全。从安全性来看,最好是评估失败并且让用户迫使服务器的管理者修复这个问题。

    如果你选择避免这个建议,你可以执行一些步骤来减少风险。

    1. 尝试连接服务器。

    2. 如果服务器信任评估失败(报告用户这个问题)。

    3. 如果用户决定连接,记住这个决定并继续这个连接。

    4. 之后,如果再次遇到这个服务器信任失败,避免这个问题并继续连接。

    在第4步,你怎么确认是同样的错误呢?

    1. 用户连接的这个服务器提供一个过期的证书。

    2. 你鉴别这个错误并询问用户是否真的确认连接它。

    3. 用户同意,记住这个决定并连接它。

    4. 之后可能进入一个不安全的网络,再次连接一个冒充的服务器。

    5. 你的程序连接了这个冒充的服务器,虽然检测到服务器信任失败,但是用户同意连接它。

    这个问题在你的程序是连接一个冒充的服务器,虽然用户只是同意避免过期证书。

    你可以使用信任异常来解决这个问题。当用户同意连接这个服务器,在程序中你可以获取信任对象的信任异常。这记录了必要信息去避免当前信任评估失败。在以后,如果你遇到这个的服务器的信任评估失败,你可以设置这个异常给信任对象(SecTrustSetException)。如果解决了服务器信任评估失败,可以安全地进行这个连接。如果不,这必须询问用户是否同意这个额外的信任异常。

    强制执行更严格的信任评估

    自定义服务器信任评估可能不满满足一些问题;你可以使用这种方式来使应用更加安全。如果你进行高级别安全编程,你可能不仅需要默认的服务器信任评估,还需要增加一些自定义检查。

    例如,你可能不仅是检查服务器正式是否是信任的CA,而且检查是否是指定的CA派发(这个技术是证书认证机构锁定,ertificate authority pinning)。这很容易使用信任对象完成。这个步骤如下:

    1. 包含这个CA根证书副本。

    2. 一旦你有信任对象,创建证书使用这个证书的证书数据(SecCertificateCreateWithData)之后设置这个证书为信任锚点(SecTrustSetAnchorCertificates)。

    3. 评估信任对象。如果评估成功,服务器证书就是有效的而且是由这个指定的CA派发的。

    CA锁定只是一个例子说明怎样强制执行更严格的信任评估。这里有其他方式你可以考虑:

    • 你可以实现证书锁定(certificate pinning)。从服务器证书取出公钥(SecTrustCopyPublicKey)。

    • 你可以检查证书的某些属性值或者扩展是否存在。在OS X,使用SecCertificateCopyValues。

    • SecTrustCopyResult让你决定是否扩展验证作为信任评估的一部分。

    • SecPolicyCreateRevocation让你获取安全政策用于检查撤销证书。

    SecTrustEvaluate可能会阻塞

    这里有2个情形需要SecTrustEvaluate访问网络:

    • 需要下载中间证书。

    • 需要确定正式是否已经被撤销。

    这些网络操作可能会有短暂的超时,但是SecTrustEvaluate任然不适合在主线程调用,特别在IOS。如果你需要在主线程调用SecTrustEvaluate方法,你有3个选项:

    • 你可以使用SecTrustEvaluateAsync。

    • 你可以使用SecTrustSetNetworkFetchAllowed来禁止信任对象访问网络。

    • 你可以使用并发运行SecTrustEvaluate在另外的线程(GCD,NSOperation)。

    调查难调试的信任评估失败

    有时候很难弄清楚为什么信任评估失败。你先检查是否是通用失败,如果你任然不能找到失败原因,你可以尝试下面的方式:

    • 打印SecTrustCopyResult的结果。

    • 打印SecTrustCopyProperties的结果。

    • 检查信任异常数据(SecTrustCopyExceptions)。

    警告:信任异常数据是用于调试用的,不能直接打印。

    第3步返回的是二进制属性列表文件,你可以保存为.plist文件,之后用xcode打开。

    展示证书

    在一些情况下,展示证书给用户可能是有用的。例如,需要手动确认服务器id标识。在OS X上可以调用高级的API:

    • SFCertificateView是一个NSView,用于展示证书。

    • SFCertificatePanel是一个面板展示一个或者多个证书。

    通常,你应该调用高级的API,如果你需要展示自己的图形界面,使用低级的API(SecCertificateCopyValues)。

    IOS中是没有高级的API用于展示证书,但是这不重要。因为IOS限制获取证书的细节。

    展示信任结果

    最好不要询问用户安全相关问题,因为他们不是合格的回答者。如果你需要展示失败的信任评估结果,在OS X中有高级别API(SFCertificateTrustPanel)。

    IOS没有相同的高级别API展示信任结果。


    展开全文
  • XX集团 信息安全咨询评估服务 方案建议书 目录 一 需求分析 . 3 1.1 背景分析 . 3 1.2 项目目标 . 4 1.3 需求内容分析 . 4 1.3.1 技术风险评估需求分析 . 4 1.3.2 管理风险评估需求分析 . 5 1.4 时间进度需求 . 6 ...
  • WORD 格式整理版 集团 信息安全咨询评估服务 方案建议书 专业学习 参考资料 WORD 格式整理版 目录 一 需求分析 . 4 1.1 背景分析 . 4 1.2 项目目标 . 5 1.3 需求内容分析 . 6 1.3.1 技术风险评估需求分析 . 6 1.3.2 ...
  • Gartner2010年四季度SOA厂商评估报告

    千次阅读 2011-02-18 15:12:00
    众多的应用基础架构中间件能够为用户提供这方面的服务,这里对这些中间件的供应商进行评估。面向服务架构(SOA)已经为大量来自于不同的行业和地区的用户所接受,并且用户群还在不断的增长。随着技术的成熟,成本和...

    原文:http://www.gartner.com/technology/media-products/reprints/tibco/vol2/article4/article4.html

     

    全面的互操作性和治理能力的部署,跨越多应用系统和流程的共享,是 SOA 项目成功的关键。众多的应用基础架构中间件能够为用户提供这方面的服务,这里对这些中间件的供应商进行评估。

    面向服务架构 (SOA) 已经为大量来自于不同的行业和地区的用户所接受,并且用户群还在不断的增长。随着技术的成熟,成本和风险的降低, SOA 也逐渐被那些之前并没有考虑过这种架构方式的中型企业所接受。应用软件厂商为他们的产品进行升级以提供 SOA 功能,越来越多的用户也开始进行业务流程管理 (BPM) 的实施,并且企业也越来越多的使用软件即服务 (SaaS) 的方式与其他的云计算服务进行需求的整合,使企业越来越多的向 SOA 迈进。

    进行战略性的、大型 SOA 项目实施需要进行应用基础设施和中间件 (AIM) 技术的部署。 Gartner 从三个方面对项目中运动的 AIM 技术进行评估,关注于“共享 SOA 互操作的基础架构项目”,即实施企业内基础架构 ( 多种 SOA 类型应用项目的共享 ) 实现任意系统间的互操作,并且提供 SOA 治理能力。参与评估的厂商作为独立供应商为这类项目提供所有需要的产品,这些厂商必须提供的产品包括企业服务总线 (ESB) ,服务编排特性 ( 原子流程和服务的组合 ) SOA 治理能力。

    Gartner 的评测覆盖两种主要的基础架构项目应用类型:

    • 参与“ SOA 类应用程序基础架构体系”评测的产品厂商要能够支持 SOA 应用项目所需要各种能力,包括:为 SOA 应用提供用户体验的前端容器 ( 比如 Portal 产品 ) ;企业应用服务器 ( 后端容器 ) 用于提供服务端的应用组件; SOA 类建模、服务组合 / 集成和开发工具。
    • SOA 类应用程序基础架构体系”评测对各产品厂商进行分析,其产品需要支持广域的内部应用对应用 (A2A) B2B 集成需求 ( 不论参与集成的是否是 SOA 项目 ) 。厂商提供的 ESB 产品必须能够进行 B2B 集成的扩展,并且能够对与外部的合作伙伴的交互进行管理。厂商提供的产品必须提供应用集成功能,比如消息影射或者转换、技术环境的适配器、打包应用、 B2B 协议和消息格式,并且支持云计算或者 SaaS 应用。

    尽管共享 SOA 互操作的基础架构项目与体系化的应用集成项目可能采用了类似的技术 ( 比如 ESB 和适配器 ) ,但是他却有不懂得目标和目的——建立通用的基础架构,通过建立 A2A B2B 集成,支持多种 SOA 应用工程。然而,在将来,随着 SOA 越来越多的支持 B2B 集成,这两种项目需求逐渐演变成使用一套通用的产品就能够实现。

    共享 SOA 互操作基础架构项目通常由企业的 SOA 卓越中心 (COE) 驱动,包含涉及架构、设计、实施和开发的两个微组件:

    • 通用的 SOA 框架 ( 即,能够进行服务编排和互操作的基础架构,能够集成前端的服务用户与后端的服务应用 )
    • 通用的 SOA 治理技术

    SOA 框架和 SOA 治理组件可以根据需要在不同的时期进行实施,但是他们可以被设计成为完整的、企业 ( ) 范围的支持 SOA 的基础架构。在一些案例中, SOA 框架和治理平台意味着通过企业 ( ) SOA 应用进行实际的共享。

    在过去,很多用户通过聚合不同供应商的应用基础架构组件来开发自己的 SOA 框架和治理平台,进行解决方案的定制开发 ( 尤其是 SOA 注册 / 仓库和其他的治理组件 ) 。然而,在过去的三四年中,许多产品厂商已经开始提供应用基础架构,提供实施综合的、企业级的 SOA 框架和治理架构所需要的所有技术。

    许多用户喜欢从不同的供应商那里获得各种独立的功能组件,来利用各种最先进的技术;或者提出一些只有专家级用户才能够支持的需求 ( 比如,超低信息延迟 ) 。然而,越来越多的用户正在寻找从单一的 AIM 供应商那里获得 SOA 框架和治理的基础架构产品 (ESB ,编排工具,注册 / 仓库,策略管理等等 )

    在评测中, Gartner 关注这种流行的“一站式购买”方式。因此,需要对应用基础架构厂商的产品策略进行评估,是否能够作为单独的厂商为共享 SOA 互操作基础架构提供所需的所有技术组件。

    由于历史原因,参与评测的厂商 ( 包括所有的领导者厂商 ) 都在应用系统集成相关领域拥有坚持的市场基础。然而,也有几个新兴的公司通过他们创新的产品平台对老牌厂商发起挑战。这些新兴厂商的产品大都基于开源的技术并且具有低成本和易用性的特点。

    因此,用户在选择产品时不应只考虑那些领导者级别的厂商。其他厂商的产品也许会更符合他们的基本需求,比如基本支持,地域优势,功能或者成本方面。

    以下是Gartner的评估结果:

    评估标准:

    执行能力 (Ability to Execute) 包括产品与服务;整体可行性 ( 业务、财务、战略、组织 ) ;销售执行与定价;市场反应与跟踪记录;营销执行;客户体验;运营能力。

    远见完整性 (Completeness of Vision) :对市场的理解;营销策略;销售策略;发售 ( 产品 ) 策略;业务模型;垂直 / 行业策略;创新;地区策略。


    结果中IBM,Oracle,Software AG和TIBCO处于SOA厂商的领导者地位,以下是对领导者厂商的详细分析。

    IBM

    IBM 的评估,包括其 WebSphere 7 产品族中的几个项目。最相关的产品包括 WebSphere Message Broker(WMB) WebSphere ESB(WESB) WebSphere DataPower XI50 提供 ESB 功能的产品; WebSphere Process Server(WSP) WebSphere ILOG JRules 服务编排类产品; WebSphere Registry&Repository(WSRR) WebSphere DataPower XS40 SOA 治理类产品。

    优势

    在中间件应用基础架构领域 IBM 具有很高的品牌知名度、全球影响力和市场份额;在客户“心目中的分量”以及在市场上大量投入使用的软件和硬件也被 WebSphere 销售们所利用,用来支持 SOA 框架和治理项目。

    丰富的产品线以及大量已投入市场的具有领先水平的产品 ( 比如: WebSphere MQ WMB WebSphere DataPower) ,这些产品在全球范围内,涉及重要业务的 SOA 框架和治理的项目中拥有大量的成功实施经验,尤其是在安装 IBM 主机的地方。

    “智慧地球”市场行销为基于流程的解决方案进行了有力的宣传,吸引业务并驱动客户为 SOA 框架和治理项目采用 WebSphere 基础架构产品。

    大规模、持续的合作伙伴计划,为产品的咨询和专业服务提供了更多的选择,通过 IBM 全球业务咨询服务和 IBM 软件集团,为 SOA 框架和治理项目提供全面的方法支持。

    警告

    用户在使用 WebSphere Process Server 和相关产品上 ( 比如 WebSphere Integration Developer(WID)) 出现了一些问题,为了解决这些问题,甚至都调用了 IBM 的资源。

    在实现大型的 SOA 项目时,可能需要获取并部署大量的产品,包括 WebSphere Business Modeler, WID, WPS, WESB, WMB, WSRR WebSphere DataPower 以及用于进行监控和管理的 WebSphere Business Monitor IBM Tivoli 技术。这使得 IBM 更适用于那些最复杂的需求,通常建立并运行这样的 SOA 项目需要大量的专业服务和技术支持来部署这些产品。

    大量的收购 ( 包括 Lombardi Cast Iron Sterling Commerce) 需要在 WebSphere 产品系中进行大量的集成工作,会对 IBM 的产品合理化和定位形成挑战,对用户也会产生产品连续性的影响。

    细粒度的差异,功能的重叠和产品的集成挑战——比如,在 WMB WESB WebSphere DataPower 之间——让潜在用户很难确定哪一个更适合他们。

    Oracle

    对于 Oracle 的评测基于 Oracle Fusion 中间件 (OFM)11G R.1 产品系 (2009 7 月到 2010 6 月发布 ) 。包括 Oracle SOA 套装 ( 包括 Oracle Service Bus Oracle BPEL Process Manager Oracle Business Rules Oracle B2B Oracle BAM 和其他组件 ) ,用于提供 ESB 和编排功能; Oracle Service Registry Oracle Web Services Manager( 也是 Oracle SOA 套装的一部分 ) SOA Management Pack Enterprise Edition( 包括最近收购的 AmberPoint 技术 ) ,用于支持 SOA 治理。

    优势

    OFM 拥有大量的快速增长的业务量,根据 Gartner 2009 年的市场数据, Oracle 因它而成为市场上第二大的 AIM 产品供应商。这些技术由巨大的合作伙伴网络所支持。数以千计的,不同地区、不同行业的企业已经成功地部署了 OFM 产品,拥有大量的用于大型的关键业务场合的 SOA 框架与治理项目成功案例。

    OFM 提供综合的集成应用基础框架 ( 支持 Oracle JDeveloper 通用开发工具, Oracle Enterprise Manager 通用管理环境,通用 Metadata Service 和通用 Service Infrastructure) ,并且提供符合 SOA 框架与治理需求的具有领先水平的技术。 OFM SOA 框架的核心 () 拥有大量的用户群,并且通过对 AmberPoint 的收购,大大加强了 Oracle 平台的 SOA 治理能力。

    OFM 路线图提供关键的 SOA 技术 ( 比如,跨越堆栈的事件启动,注册 / 仓库联合和 OFM 组件的分布式缓存 ) ,并且提出新兴的需求 ( 比如,支持移动应用 )

    与大型的 Oracle 关系型数据库和业务应用程序包协同工作,为进行 OFM 技术的交叉销售,支持 SOA 框架和治理项目创造机会。

    警告

    Oracle 在打包应用和 AIM 市场上的收购 ( 比如, BEA Sun Amberpoint) 需要做进一步的技术集成工作,并且已经购买 Oracle 产品的用户可能会面临迁移和升级的挑战。

    OFM 11g R.1 产品系中各个组件的市场成熟度良莠不齐。有些产品 ( 比如, Oracle Enterprise Repository Oracle BAM Oracle Web Services Manager) 只有相对较少的用户在使用;还有些产品 ( 比如, Oracle Enterprise Manager AmberPoint 技术 ) 还没有完全的集成到 OFM 当中。

    尽管有比较广泛的采用率, OFM 11g R1 产品还需要在复杂的、大型的、真实的部署环境中更加充分的证明自己。

    一些 Oracle 用户正在经历许可证和价格的问题,因为底层应用服务器的地变更 ( Oracle Internet Application Server 变化为 Oracle WebLogic Suite) ,当从早先的版本升级到 SOA Suite 11g R.1 的时候,可能会有比较高的采购许可证成本。

    Software AG

    Software AG 的评估基于 webMethods 8 产品系 (2009 9 月发布 ) ,包括用于支持 ESB 和编排需求的 webMethods Integration Server ;用于附加编排功能的 webMethods BPMS ;用于 SOA 治理的 CentraSite webMethods Mediator webMethods Insight webMethods Optimize

    优势

    Software AG webMethods 产品拥有广泛的用户群,有超过 3000 家客户在不同的业务场景中使用他们的技术,包括许多大型的处理关键业务的 SOA 框架和治理项目。

    webMethods 应用基础架构提供综合的、经过市场证明的产品线,为 SOA 框架和治理项目提供领先的集成技术 ( 比如:通用的运行时容器,统一的设计和开发工具 webMethods Designer 和统一的元数据管理工具 CentraSite)

    webMethods 产品线为用户解决主要的 SOA 标准 ( 比如: REST BPMN 2.0 SCA OSGi S-RAMP) ,技术 ( 事件流程和治理,规范信息等 ) 和新兴的需求 ( 比如:云 /SaaS 集成, SOA 联盟与移动应用支持 )

    ARIS 产品和 IDS Scheer 公司 (2009 7 月收购的公司 ) 的业务咨询部门的协同工作,可能为 webMethods 机会有限的垂直部门找到更多的机会。

    警告

    IDS Scheer 有效集成到 Software AG 研发、市场、销售、技术支持和专业服务的复杂度,以及对 BPM 市场的关注,可能会影响到 Software AG SOA 框架与治理产品的重视。

    公司对采用新兴标准、技术和需求的态度,既保守而又快速跟随,这样可能会疏远那些正在寻找先进的应用基础架构技术的用户和企业。

    webMethods 8 产品系需要在真实的部署环境中进一步的证明自己。它的安装和从之前版本完成迁移的用户的数量还是相对较小。

    webMethods 8 不能为整个产品系提供一个统一的部署、管理和监控环境,尽管 Software AG 正在进行开发。当用户需要部署多种 webMethods 产品时, IT 部门会面临比较大的挑战。

    TIBCO Software

    TIBCO 的评估基于其 ActiveMatrix 3.0 产品系 (2010 5 月发布 ) ,包括提供 ESB 核心功能的 ActiveMatrix Service Bus ;用于服务组装、开发和管理的 ActiveMatrix Service Grid ;提供编排和高级 ESB 功能的 ActiveMatrix BusinessWorks ;用于支持 SOA 治理功能的 ActiveMatrix Policy Manager ActiveMatrix Service Performance Manager ActiveMatrix Life Cycle Governance Framework

    优势

    TIBCO ActiveMatrix 产品拥有大量的并在继续增长的应用架构业务,有超过 3000 家客户已经在不同的应用领域使用到了这些技术,包括一些大型的处理关键业务的 SOA 项目。

    ActiveMatrix 提供先进的,功能丰富的应用基础架构,为 SOA 项目提供强大的集成技术支持。 ActiveMatrix 支持异构环境 (Java .net C/C++ Ruby 等等 ) ,并且基于开放的标准,比如 SCA OSGi Eclipse Spring WS_*

    TIBCO 是少数提供云计算服务应用基础架构的 AIM 供应商之一,通过 TIBCO Silver 应用平台 ( 部分兼容 ActiveMatrix) ,为用户的 SOA 项目提供了多种部署选择 ( 本地 / / 混合 )

    警告

    在过去的一年多当中,通过收购引进的技术 ( 用于虚拟化的 DataSynapse ,用于消息映射和转换技术的 Foresight ,用于事件驱动应用的 Kabira 和数据模式匹配的 Netric) 与内部开发的技术 ( 用于分布式捕捉平台的 ActiveSpace Data 和低延迟消息传输的 TIBCO FTL) 还没有完全纳入 ActiveMatrix 3.0 Silver 体系。用户未来的整合可能遇到迁移和升级的问题。

    ActiveMatrix 3.0 的各个产品组件的成熟度差别很大。有些 SOA 框架和治理技术 ( 比如, ActiveMatrix Service Bus ActiveMatrix Policy Manager Active MatrixService Performance Manager ActiveMatrix LifeCycle Governance Framework) 用户量比较小 ( 大约有 200 300 家客户已经使用 ) ;而有些产品已经非常成熟,有大量的成功案例,比如 ActiveMatrix BusinessWorks( 超过 3000 家客户 )

    ActiveMatrix 3.0 Silver 产品最近都发布了新的版本,并且在架构和功能上都有所增强,但是它们需要在真实的生产部署中更进一步的向用户证明自己。

     

    写在最后

    从Gartner报告中我们不难发现,国产厂商目前还无法进入到Gartner的评测候选者当中,除了技术和产品成熟度上的相对落后,局限于国内的市场,无法走出去,也是一个与国外先进企业产品相比很大的差距。不过,我们也相信,随着国产中间件和SOA产品的不断发展,也许在不久的将来,我们会在Gartner的报告中看到国内产品对国外产品发起的挑战。

     

    关于Gartner

    Gartner (NYSE: IT and ITB).全球最具权威的IT研究与顾问咨询公司,成立于1979年,总部设在美国 康涅狄克州斯坦福 。其研究范围复盖全部IT产业,就IT的研究、发展、评估、应用、市场等领域,为客户提供客观、公正的论证报告及市场调研报告,协助客户进行市场分析、技术选择、项目论证、投资决策。为决策者在投资风险和管理、营销策略、发展方向等重大问题上提供重要咨询建议,帮助决策者作出正确抉择。

    展开全文
  • 这是一项描述性横断面研究,涉及在Kadiolo转诊健康中心(或RHC)评估产前咨询质量。 Adevis Donabedian的评估护理和服务质量的模型作为基准。 根据Donabedian所说,质量意味着良好的技术护理,良好的人际关系以及...
  • ITSM咨询服务方法论_2009,最新版!
  • 1.6.7. 信用评级报告及财务状况 26 1.7. 保障机制 27 1.7.1. 资源保障机制 27 1.7.2. 质量保障机制 28 1.7.3. 日常工作联络及问题跟踪解决机制 28 1.7.4. 定期沟通、总结、汇报机制 29 1.7.5. 工作成果审阅机制 29 ...
  • 4 咨询服务内容5 4.1 档案工作体系设计5 4.2 档案管理方案设计5 4.3 档案开发利用方案设计5 4.4 档案信息化方案设计5 4.5 档案项目需求方案设计5 4.6 档案项目监理5 4.7 档案评估5 4.8 档案培训服务6 4.9 档案驻点...
  • 广州中撰企业投资咨询有限公司 PAGE PAGE 1 可行性研究报告 PS提供项目可行性研究报告及可研报告编制服务为各类建设工程项目改造ppp项目代写评估资料及投资立项报告免费提供范文范本模板 供应广州互联网大数据咨询可...
  • 本来想非常详细的介绍一下CMMI咨询/评估机构的选择策略和方法,但想到有朝一日自己也是咨询机构的一员或自己成立了咨询公司,所以只能在此点到即止,希望对即将进行CMMI评估的朋友有一点帮助。选择CMMI咨询机构可以...

    本来想非常详细的介绍一下CMMI咨询/评估机构的选择策略和方法,但想到有朝一日自己也是咨询机构的一员或自己成立了咨询公司,所以只能在此点到即止,希望对即将进行CMMI评估的朋友有一点帮助。

    选择CMMI咨询机构可以分为以下几个步骤:

     

    第一步,了解CMMI咨询行业的总体情况。

    主要是了解CMMI导入的成本构成及每项成本的预期估算,实施周期,实施效果和风险等。获取这些信息的主要目的是供高层初步决策:是否需要导入CMMI?这些信息可以通过网络、朋友公司等方式,更快捷和准确的方式是直接与2~3个咨询/评估机构接洽,把现状和他们沟通一下,询问一下相关情况。

     

    第二步,选择3~4家候选咨询/评估机构。

    选择候选机构注意考虑以下几个方面:

    1)  目前国内的咨询机构主要有哪些

    2)  各咨询机构的声誉和影响力

    3)  竞争对手所选择的咨询/评估机构。(对您所在行业更了解,咨询时更有针对性,说不定还有意外收获)

    4)  进行CMMI评估的目的(比如,为了外包,国际上有影响力的评估师就是首选)

    5)  您所在公司的外语水平(如果比较差,就选择懂中文的评估师)

     

    第三步,拟定标书

    采取非正式招标的方式,标书的内容主要是您们公司的现状和需求,比如项目目标、技术方案要求、培训要求、工作语言要求、人员要求、项目计划等。

    标书中应强调一些特殊要求的条款,比如要求咨询师和评估师是机构正式员工以防止皮包公司等。

     

    第四步,评标

    提交建议书的同时,一般要求咨询/评估机构同时提交公司的营业执照。检查营业执照一般在评标之前,筛选掉不够格的。这一步不可轻视,是排除重大风险的关键一步。检查点包括是否年检、年检的章是否存在问题(大小、签字和盖章的顺序)、排版是否一致等。

    评标过程也是很难做好的,一方面是评标人员对CMMI导入方案不了解,更重要的是人的主观因素太重要,容易受个人利益驱动。建议根据公司的关注点分类设立参评标准和加权系数,以减少人的主观性

    评标会议的结果建议只作为参考,还需要仔细的对所有建议书进行比对分析,从价格、方案、咨询/评估时间、培训、资料和服务承诺等方面一条一条比较。

     

    第五步,谈判和签约

        经过评标,尽量筛选出2家潜在机构,再与他们进行谈判。谈判的途径和技巧很多,主要是关注单价高而且意义不大的条款。

    需要注意的是,谈判的目的不是价格越低越好,要考虑方案的合理性。最好的结果是双方都能接受且满意,为后续良好合作提供基础。

    最后一步是签约了,签约也不是很简单的事情。合同有很多类型,你需要选择一个对你(甲方)有利的方式,比如选择固定总价合同,将后续的价格等风险转移到咨询/评估机构,也减少实施过程中的杂事。

     

    其它注意事项:

    1)  通过前期接触了解咨询机构的专业水准:比如咨询方是否站在客户的立场考虑问题,是否以解决客户实际问题为出发点。某些不太正规的机构总是站在自己的角度推自己拥有的东西,总是在逃避甲方的一系列问题。

    2)  通过前期接触了解咨询机构的信用和承诺:比如有些机构对任何要求都答应,没问题,可前两天的承诺两天后就改变了,部分原因是跟你承诺的人没有决策权,权力集中在机构某个人,这样在后期合作中也不会很顺畅。

    3)  咨询师的选择特别重要,好的咨询师可以给你很多实质性的改进建议,也可以和评估师良好合作,顺利通过评估。

    4)  可以在澄清建议书时实地考察咨询机构的公司规模。

    最后一点,也是很关键的一点:始终别忘你的商业目标!拿证还是想做点事?
    展开全文
  • ISO27000信息安全管理体系建设咨询服务 目 录 1 概述 . 3 2 准备 . 5 2.1 确定 ISMS范围 . 5 2.2 确定信息安全总体方针政策 . 6 2.3 定义风险评估与管理方法 . 8 2.4 项目准备 . 9 3 风险评估 . 13 3.1 现状分析 .
  • 近两年网络安全风险评估渐渐为人们所重视,不少大型企业尤其是运营商、金融业都请了专业公司进行评估。本文提出作者个人对国内安全风险评估操作的一些评价,并试图阐述作者所理解的,可裁剪、易操作的风险评估方式。...
  • 咨询服务提供的综合方法。 Januarv,1984 多模式咨询的实践:咨询服务交付的综合方法 HOWARD M。 KNOFF 纽约州立大学奥尔巴尼分校多模式咨询提供了一种解决问题的方法,可以识别和分析多方面、多子系统转诊问题的...
  • 森林资源资产评估系统是评估工作的重要工具,但现有的系统无法满足面向广大用户咨询服务的公益需求.结合Web服务技术,研究并设计了森林资源资产评估Web服务系统解决方案,该方案由Web应用系统、Web服务注册中心和Web...
  • 《国务院关于促进云计算创新发展培育信息产业新业态的意见》指出,我国云计算服务需要“建立健全标准规范体系”:大力发展面向云计算的信息系统规划咨询、方案设计、系统集成和测试评估服务;完善云计算公共...
  • 由教师和学校心理学家评估的学校心理咨询行为目标 由教师和学校心理学家评估的学校心理咨询行为目标1 MARIA IC SZMUK Utizversily of Wiscoiurin-Madison EDWARD M。 DOCHERTY 和 THOMAS A. RINGNESS Rutgers ...
  • 什么是安全咨询服务SCT?

    千次阅读 2019-04-15 11:15:54
    51安居凭借多年对20万+家企事业单位安全服务的经验,调研追踪分析...通过对相关法定职责进行细化、延伸,为推进单位安全管理规范、标准提供支撑,我们推出了“安全咨询评估标准体系”—— 安全咨询服务(SCT)体系。 ...
  • 企业全方位改进(CMMI)咨询服务

    千次阅读 2016-04-20 14:33:48
    企业最关注的是利润,并且追求持续的、稳中有涨的利润!要达到这样的目标,需要全方位的、根本性的...我们为企业提供包括CMMI在内的一切有利于帮助企业打造核心竞争力的服务,内容覆盖并且不限于上述提到的各个方面。

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 26,368
精华内容 10,547
关键字:

市场咨询服务评估报告