软件等保测评服务方案1.服务内容依据相关标准要求,对信息化系统进行测评,并出具《测评报告》。服务内容包括信息安全风险评估服务、信息安全漏洞检测服务、源代码安全检测服务、信息系统渗透测试服务、移动应用安全检测服务、新系统上线安全评估。1.1.信息安全风险评估服务信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生所造成的影响。信息安全风险评估,则是指依据有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。没有准确及时的风险评估,将使得各个机构无法对其信息安全的状况做出准确的判断。信息安全风险评估是加强信息安全保障体系建设和管理的关键环节。通过开展信息安全风险评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决诸多关键问题的办法。1.2.信息安全漏洞检测服务提供信息系统中点、线、面各个层次的安全漏洞检测服务,点即信息系统中的各个组成部分,如Windows、Linux等操作系统,交换机、路由器、防火墙等网络设备,以及运行在各操作系统上的数据库系统、Web、Mail、DNS等应用服务;线是网络的整体拓补结构、安全产品的部署中否合理、安全、高效;面则是对整个信息系统的维护、运营和管理。服务内容包括应用安全漏洞检测、网络安全漏洞检测、操作系统漏洞安全检测、数据库安全漏洞检测、技术防护体系评估、管理防护体系评估。1.3.源代码安全检测服务源代码安全检测是依据CVE公共漏洞字典表、OWASPWeb漏洞,以及设备、软件厂商公布的漏洞库,结合专业源代码扫描工具对各种程序语言编写的源代码进行安全审计。源代码安全检测能够为客户提供包括安全编码规范咨询、源代码安全现状测评、定位源代码中存在的安全漏洞、分析漏洞风险、给出修改建议等一系列服务。1.4.信息系统渗透测试服务渗透测试是指渗透测试人员从客户网络的内部或外部使用最新的入侵攻击技术及自身发现的网络安全问题,寻找突破点,尝试获得用户网络的非授权访问和控制,对用户信息系统的安全性进行压力测试,测试完成后,提供相应的报告。该报告可客观反应客户信息系统当前处于何种安全风险等级,入侵的过程和细节,存在何种隐患等。渗透测试服务内容包括应用系统安全渗透、网络安全渗透、操作系统安全渗透、数据库安全渗透、终端安全渗透。1.5.移动应用安全检测服务移动应用安全漏洞发现与风险评估系统是结合多项移动应用安全的标准及规范,针对移动APP自身的脆弱性提供深度漏洞检测的工具,检测范围涵盖APP客户端、通信链路和服务器端,并实现了对安卓、IOS、微信公众号、H5等不同平台的覆盖。1.6.新系统上线安全评估围绕应用系统的生命周期,在新应用系统投入运行前,从应用系统的应用、主机、运行逻辑、第三方组件以及合规性等方面,进行上线安全评估。根据评估的结果形成安全检测报告并提供解决方案,确保应用系统安全、平稳的运行。1.6.1.应用层安全检测使用专业手段,对系统应用层漏洞进行检测,包括SQL注入、XSS、CSRF、命令注入、文件包含等漏洞。1.6.2.主机层检测对应用系统服务器主机层进行检测,包括是否开放不安全服务、各类服务器及组件漏洞等。1.6.3.逻辑漏洞检测根据网站的业务需求,从系统业务逻辑上检测是否存在漏洞。1.6.4.第三方组件漏洞检测对系统所使用各类组件以及组件相关版本进行检测,防止应用系统开发过程中所使用第三方组件影响系统安全性。1.6.5.合规性检测根据信息安全的要求,对应用系统合规性进行检测,保障系统上线运行符合相关制度规定。2.服务要求2.1.等保测评对信息化系统进行测评,并出具《测评报告》。若首次测评后被测信息系统需要进行整改,在约定的整改期限内免费赠送一次复测服务。2.2.定级备案协助采购人对测评范围内未定级、未备案的系统形成定级、备案相关材料,组织开展专家评审会...
