专业服务

登记测试

系统验收测试

科研/基金项目验收测试

APP测试

信息系统安全测试

性能测试

选型测试

通讯信息咨询

    北京中电众维软件评测中心
    电话:010-82833770
    地址:北京市昌平区回龙观镇龙域北街3号院1号楼1706室

信息系统安全测试

当前位置:首页 > 专业服务 > 信息系统安全测试
    信息系统安全测试

一、信息安全等级保护咨询

   1、服务背景

      为了全面贯彻和落实《网络安全法》、《国务院关于大力推进信息化发展和切实保障信息安全的若干意 见》(国发〔2012〕23号)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕 27号)、《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)、《信息安全等级保护管理办法》(公通字〔2007〕43号)、等中央文件的精神和要求,在国家信息安全保障相关政策和标准的指导下,对等保备案系统进行等级保护测评。

      通过对信息系统进行等级保护测评,了解和掌握信息系统的安全总体状况,发现存在的主要问题和薄弱环节,完善信息系统安全防护体系,全面提升信息系统的安全防护水平,更好地保障信息系统的正常运行,达到国家信息安全对等级保护等相关政策、文件与标准的要求。

   2、服务流程

 

1536039768190.png

 

   3、测评依据

     GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》

     GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》

     GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》

     GB/T 28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》 

二、信息系统安全风险评估

   1、服务背景

      信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。

      风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。

      风险评估的目的是全面、准确的了解组织机构的网络安全现状,发现系统的安全问题及其可能的危害,为系统最终安全需求的提出提供依据。准确了解组织的网络和系统安全现状。

     具有以下目的:

     Ø  找出目前的安全策略和实际需求的差距

     Ø  获得目前信息系统的安全状态

     Ø  为制定组织的安全策略提供依据

     Ø  提供组织网络和系统的安全解决方案

     Ø  为组织未来的安全建设和投入提供客观数据

     Ø  为组织安全体系建设提供详实依据

     Ø  此外还可以通过选择可靠的安全产品通过合理步骤制定适合具体情况的安全策略及其管理规范,为建立全面的安全防护层次提供了一套完整、规范的指导模型。

 

    2、实施流程

15360394405839.png

 

    3、评估依据

      Ø  风险评估国家标准和规范:

         GB/T 20274-2006 《信息系统安全保障评估框架》

         GB/T 20984-2007 《信息安全风险评估规范》

         GB/T 18336-2001 《信息技术安全性评估准则》

         GB 17859-1999 《计算机信息系统 安全保护等级划分准则》

         GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》

         GB/T 20271-2006 《信息安全技术 信息系统安全通用技术要求》

      Ø  行业指导文件:

         商业银行信息科技风险管理指引》

         《银监会电子银行安全评估指引》

         《银监会电子银行业务管理办法》

         《网上银行系统信息安全通用规范》(JR/T 0068-2012) 

三、源代码审计

静态应用程序安全性测试,自动化识别在开发期间应用程序源代码的安全漏洞和质量问题,查明源代码漏洞的根本原因,提供详尽的修复指导。我中心使用自动化源代码扫描工具,可支持21种编程语言,700+漏洞类别(包括CVE、OWASP、公布漏洞库),帮助开发人员的代码编写质量。 

四、应用系统漏洞扫描测试

 通过使用自动化应用安全扫描工具,对各类应用系统进行漏洞扫描,可覆盖所有页面及页面元素。扫描项种类多达30+,包括HTTP响应分割、SQL注入、URL重定向滥用、XML属性放大、XPath注入、操作系统命令、缓冲区溢出、拒绝服务、跨站点脚本编制、路径遍历、目录索引、信息泄露等,其下依据不同类型的系统架构、中间件、数据库等细化数千个扫描点。

五、安全基线检查

 在业务系统的设备入网,业务上线,日常运维、定期巡检和设备下线整个生命周期的各个环节,检查包括操作系统、网络设备、数据库、中间件在内的所有类型的设备与系统的安全配置是否达到最基本防护能力要求的基线。 

六、APP安全扫描测试

 针对APP(Android)的应用安全进行漏洞扫描测试,在企业允许的情况下,提供非破坏性的安全检测技术服务,扫描项达50+。

15360395425373.png

 

 






北京中电众维软件测评中心 版权所有
京ICP备 16046337