信息系统软件安全检测主要包括:
1.代码审计:代码审计是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。
2.网络与信息安全应急演练:通过模拟与外界网络设施故障,电力故障,服务器故障,业务系统遭受突发性高并发访问、DDOS攻击及漏洞入侵后被攻击、篡改、研判、报告、处置、恢复等,开展网络与信息安全事件应急演练,从而检验预案、磨合机制。
3.渗透测试:选择不影响业务系统正常运行的模拟攻击方法,对主机操作系统、数据库系统、应用系统、网络设备进行渗透测试,评估计算机网络系统安全。
4.基线检查:在业务系统的设备入网,业务上线,日常运维、定期巡检和设备下线整个生命周期的各个环节,检查包括操作系统、网络设备、数据库、中间件在内的所有类型的设备与系统的安全配置是否达到基本防护能力要求的基线。
5.移动终端APP安全测评:通过代码审计、配置验证、人工验证的方式,发现恶意代码威胁(木马)、应用程序中的隐蔽功能威胁、隐蔽通道和安全漏洞/后门威胁、功能和特定服务中的威胁以及针对相关基础设施的威胁和针对数据内容的其他攻击威胁,完成移动终端APP 安全检测与评估。
不同的信息系统或者软件安全测评服务的内容不同,常见的系统安全测评服务内容包括:
(1)主机安全扫描服务
依据委托方方或者合同附件,参考信息安全相关要求,对应用涉及的主机展开安全扫描,并给出相应整改建议。
(2)应用安全扫描服务
依据委托方要求或者合同附件,参考信息安全相关要求,对系统应用安全进行测试,分析应用安全漏洞,并给出相应整改建议。
(3)安全基线配置核查服务
根据客户工作需求及标准等文件的要求,对客户系统和设备等进行全面的安全配置核查和分析,包括:主机安全检查、数据库安全检查、中间件安全检查、网络/安全设备检查等发现配置的不合规项,并结合行业实际需求提出系统整改建议,输出报告。
(4)源代码安全扫描服务
对用户提供的源代码进行安全扫描,检测 OWASP、CWE、PCI 等国际组织定义的软件安全漏洞,包括跨站脚本攻击、SQL注入、资源泄漏、命令注入、缓冲区溢出等,并给出相应整改建议。
(5)等级保护测评服务
根据单位要求,协助业务单位,依据《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2008)的要求,对系统进行信息系统安全等级保护定级(),确定业务信息安全保护等级,确定系统服务安全保护等级,并提供拥有国家信息系统安全等级保护测评机构进行测试、出具系统安全保护等级测评报告,提出可行性整改方案并协助整改。
信息系统安全检测在信息系统项目建设过程中具有重要作用,在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。通常是具有CNAS/CMA的第三方信息系统评测机构进行检测。
企业进行软件系统安全检测的好处:
1.提高软件的安全性,避免将可能造成企业、用户使用过程业务中断、数据泄露等问题。
2.让开发商/用户更加了解软件系统的外部环境、物理架构、逻辑架构,了解系统特性,便于后续的威胁分析以及做出对应的修改策略。
3.《软件系统安全测试报告》给出每个安全问题或漏洞的解决方案或建议。如果可能,在要求情况下,解决方案还能详细到级别。
我们将充分发扬求真务实的精神,以满足顾客需求为基石,以全新的经营理念为,以严谨规范、为标准,竭诚为广大客户提供满意的服务,共创更加美好的未来。