软件等保测评服务方案1
服务内容依据相关标准要求,对信息化系统进行测评,并出具《测评报告》
服务内容包括信息安全风险评估服务、信息安全漏洞检测服务、源代码安全检测服务、信息系统渗透测试服务、移动应用安全检测服务、新系统上线安全评估
信息安全风险评估服务信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生所造成的影响
信息安全风险评估,则是指依据有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险
信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制
没有准确及时的风险评估,将使得各个机构无法对其信息安全的状况做出准确的判断
信息安全风险评估是加强信息安全保障体系建设和管理的关键环节
通过开展信息安全风险评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决诸多关键问题的办法
信息安全漏洞检测服务提供信息系统中点、线、面各个层次的安全漏洞检测服务,点即信息系统中的各个组成部分,如Windows、Linux等操作系统,交换机、路由器、防火墙等网络设备,以及运行在各操作系统上的数据库系统、Web、Mail、DNS等应用服务;线是网络的整体拓补结构、安全产品的部署中否合理、安全、高效;面则是对整个信息系统的维护、运营和管理
服务内容包括应用安全漏洞检测、网络安全漏洞检测、操作系统漏洞安全检测、数据库安全漏洞检测、技术防护体系评估、管理防护体系评估
源代码安全检测服务源代码安全检测是依据CVE公共漏洞字典表、OWASPWeb漏洞,以及设备、软件厂商公布的漏洞库,结合专业源代码扫描工具对各种程序语言编写