service content

服務內(nèi)容

服務內(nèi)容
登記測試 系統(tǒng)驗收測試 科研/基金項目驗收測試 APP兼容性測試 信息系統(tǒng)安全測試 性能測試 選型測試 信息系統(tǒng)安全等保咨詢
信息系統(tǒng)安全測試

一、信息安全等級保護咨詢

   1、服務背景

      為了全面貫徹和落實《網(wǎng)絡安全法》、《國務院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意 見》(國發(fā)〔2012〕23號)、《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)〔2003〕 27號)、《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務院令第147號)、《信息安全等級保護管理辦法》(公通字〔2007〕43號)、等中央文件的精神和要求,在國家信息安全保障相關(guān)政策和標準的指導下,對等保備案系統(tǒng)進行等級保護測評。

      通過對信息系統(tǒng)進行等級保護測評,了解和掌握信息系統(tǒng)的安全總體狀況,發(fā)現(xiàn)存在的主要問題和薄弱環(huán)節(jié),完善信息系統(tǒng)安全防護體系,全面提升信息系統(tǒng)的安全防護水平,更好地保障信息系統(tǒng)的正常運行,達到國家信息安全對等級保護等相關(guān)政策、文件與標準的要求。

   2、服務流程

 

1536039768190.png

 

   3、測評依據(jù)

     GB/T 22240-2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》

     GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》

     GB/T 28448-2012《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求》

     GB/T 28449-2012《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評過程指南》 

二、信息系統(tǒng)安全風險評估

   1、服務背景

      信息安全風險評估是參照風險評估標準和管理規(guī)范,對信息系統(tǒng)的資產(chǎn)價值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護措施等進行分析,判斷安全事件發(fā)生的概率以及可能造成的損失,提出風險管理措施的過程。當風險評估應用于IT領(lǐng)域時,就是對信息安全的風險評估。

      風險評估從早期簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術(shù)操作,逐漸過渡到目前普遍采用國際標準的BS7799、ISO17799、國家標準《信息系統(tǒng)安全等級評測準則》等方法,充分體現(xiàn)以資產(chǎn)為出發(fā)點、以威脅為觸發(fā)因素、以技術(shù)/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。

      風險評估的目的是全面、準確的了解組織機構(gòu)的網(wǎng)絡安全現(xiàn)狀,發(fā)現(xiàn)系統(tǒng)的安全問題及其可能的危害,為系統(tǒng)最終安全需求的提出提供依據(jù)。準確了解組織的網(wǎng)絡和系統(tǒng)安全現(xiàn)狀。

     具有以下目的:

     ?  找出目前的安全策略和實際需求的差距

     ?  獲得目前信息系統(tǒng)的安全狀態(tài)

     ?  為制定組織的安全策略提供依據(jù)

     ?  提供組織網(wǎng)絡和系統(tǒng)的安全解決方案

     ?  為組織未來的安全建設(shè)和投入提供客觀數(shù)據(jù)

     ?  為組織安全體系建設(shè)提供詳實依據(jù)

     ?  此外還可以通過選擇可靠的安全產(chǎn)品通過合理步驟制定適合具體情況的安全策略及其管理規(guī)范,為建立全面的安全防護層次提供了一套完整、規(guī)范的指導模型。

 

    2、實施流程

15360394405839.png

 

    3、評估依據(jù)

      ?  風險評估國家標準和規(guī)范:

         GB/T 20274-2006 《信息系統(tǒng)安全保障評估框架》

         GB/T 20984-2007 《信息安全風險評估規(guī)范》

         GB/T 18336-2001 《信息技術(shù)安全性評估準則》

         GB 17859-1999 《計算機信息系統(tǒng) 安全保護等級劃分準則》

         GB/T 22239-2008 《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》

         GB/T 20271-2006 《信息安全技術(shù) 信息系統(tǒng)安全通用技術(shù)要求》

      ?  行業(yè)指導文件:

         商業(yè)銀行信息科技風險管理指引》

         《銀監(jiān)會電子銀行安全評估指引》

         《銀監(jiān)會電子銀行業(yè)務管理辦法》

         《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》(JR/T 0068-2012) 

三、源代碼審計

靜態(tài)應用程序安全性測試,自動化識別在開發(fā)期間應用程序源代碼的安全漏洞和質(zhì)量問題,查明源代碼漏洞的根本原因,提供詳盡的修復指導。我中心使用自動化源代碼掃描工具,可支持21種編程語言,700+漏洞類別(包括CVE、OWASP、公布漏洞庫),幫助開發(fā)人員的代碼編寫質(zhì)量。 

四、應用系統(tǒng)漏洞掃描測試

 通過使用自動化應用安全掃描工具,對各類應用系統(tǒng)進行漏洞掃描,可覆蓋所有頁面及頁面元素。掃描項種類多達30+,包括HTTP響應分割、SQL注入、URL重定向濫用、XML屬性放大、XPath注入、操作系統(tǒng)命令、緩沖區(qū)溢出、拒絕服務、跨站點腳本編制、路徑遍歷、目錄索引、信息泄露等,其下依據(jù)不同類型的系統(tǒng)架構(gòu)、中間件、數(shù)據(jù)庫等細化數(shù)千個掃描點。

五、安全基線檢查

 在業(yè)務系統(tǒng)的設(shè)備入網(wǎng),業(yè)務上線,日常運維、定期巡檢和設(shè)備下線整個生命周期的各個環(huán)節(jié),檢查包括操作系統(tǒng)、網(wǎng)絡設(shè)備、數(shù)據(jù)庫、中間件在內(nèi)的所有類型的設(shè)備與系統(tǒng)的安全配置是否達到最基本防護能力要求的基線。 

六、APP安全掃描測試

 針對APP(Android)的應用安全進行漏洞掃描測試,在企業(yè)允許的情況下,提供非破壞性的安全檢測技術(shù)服務,掃描項達50+。

15360395425373.png

 

 

鉅優(yōu)科技有限公司 版權(quán)所有

京ICP備16046337號-1 技術(shù)支持