描述
一、政策依据
《信息系统安全等级保护基本要求》中规定“应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告”。
信息系统升级改造项目验收管理办法(试行)中第五条规定:“项目承建单位完成项目建设内容,认为系统功能和技术指标达到合同要求的,可向项目建设单位提出项目初验申请,同时提交以下材料: 1、软件测试报告。 2、信息安全测评报告。 3、系统测试方案。 4、系统测试用例。 5、系统使用手册。 6、其他相关资料和文件。
原则上,满足以下条件之一的项目,其软件测试、信息安全测评以及其他需要的测试必须由具有资质的第三方机构实施并形成测评报告。
1、为信息系统安全验收出具报告: 类资金支持的项目或者课题在验收时,需进行安全验收测评; 在系统升级或变更时也需要进行安全验收测评
2、帮助信息系统进行推广:信息系统建成后,需要第三方测评机构出具安全验收测评报告其安全性,以便其推广
3、为系统管理方和建设方提供技术支持: 为甲方在安全方面把关 协助乙方达到甲方的要求。
4、提供信息系统安全咨询和规划建议: 为已有信息系统进行信息安全现状检测,提供安全整改建议; 为待建信息系统提供信息安全咨询; 提供信息安全建设规划,便于逐步完善信息安全建设,申请预算
5、需进行信息安全管理体系建设的单位: 完善信息安全管理体系,以便应对机构检查; 加强内部信息安全管理
二、测试内容
从物理安全、网络安全、主机安全、应用安全、数据安全五个方面识别系统的安全隐患,提高安全性,其中
物理安全:从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别评估。
网络安全:从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别评估。
主机安全:从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别评估。
应用安全:从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护、脚本漏洞等方面进行识别评估。
数据安全:从数据备份及恢复等方面进行识别评估。
漏洞扫描:用各种商用安全评估系统或扫描器,根据其内置的评估内容、测试方法、评估策略及相关数据库信息,从系统内部对主机、网络、数据库等系统进行一系列的设置检查,使其可预防潜在安全风险问题,如弱口令、用户权限设置、用户帐户设置、关键文件权限设置、路径设置、密码设置、网络服务配置、应用程序的可信性、服务器设置以及其他含有攻击隐患的可疑点等。它也可以找出黑客攻破系统的迹象,并提出修补建议。
渗透测试:从攻击者的角度来对主机系统的安全程度进行安全评估的手段,在对现有信息系统不造成任何损害的前提下,模拟入侵者对指定系统进行攻击测试。渗透测试通常能以非常明显,直观的结果来反映出系统的安全现状。为了解服务系统的安全现状,在许可和控制的范围内,将对应用系统进行渗透测试。
代码审计:对应用系统源代码进行逐条扫描检查,检查风险代码,人工分析,给出修复建议。
三、服务流程
(1)材料准备
《测试委托申请表---模板》
《用户手册---终稿》
(2)测试流程
材料准备并递交------实验室受理------环境准备------测试实施------输出报告------通知客户------缴费并取报告
四、服务区域
北京、上海、广州、深圳、重庆、杭州、南京、苏州等全国各地