信息系统安全评估服务

字号：大中小

1 服务内容

针对信息系统进行安全评估，评估对象包括安卓应用、iOS应用、网页应用、微信服务号、微信小程序等。

评估手段包含漏洞扫描、基线核查、基础环境及设施评估、代码审计、渗透测试等。

2 客户收益

识别潜在的威胁和漏洞：信息系统安全评估可以帮助发现潜在的威胁和漏洞，从而让组织能够及时采取措施保护其数据和系统。

增强安全意识：通过进行信息系统安全评估，组织可以更加深入地了解其安全状况，并加强员工的安全意识，帮助其更好地保护信息和数据。

提高安全性能：信息系统安全评估可以发现系统的弱点，并帮助组织优化安全策略和流程，从而提高安全性能。

遵守合规要求：通过信息系统安全评估，组织可以了解是否符合适用的安全法规和标准，以便满足合规性审查。

降低风险和成本：通过信息系统安全评估，组织可以识别和解决潜在的安全问题，从而降低风险和成本。

3 评估手段

3.1 基线检查

信息系统安全配置基线检查是一种评估信息系统安全状况的方法，主要用于确定系统的安全基准和标准，并验证系统是否符合这些标准。安全配置基线是一个组织确定的最低安全标准，它包括一组定义良好的安全策略和配置要求，以保护组织的信息和资产。通常在基线检查的过程中需要检查操作系统、网络设备、数据库、中间件等设备与系统的安全配置是否达到最基本防护能力要求的基线。

3.2 漏洞扫描

漏洞扫描主要是通过安全扫描工具对评估范围内的设备进行安全扫描，扫描对象包括操作系统、应用程序、数据库、网络设备等，以发现可能存在的漏洞。扫描程序可以通过各种方式进行扫描，包括端口扫描、漏洞扫描、配置扫描等。

安全漏洞扫描工具使用已知的漏洞数据库和漏洞特征来识别和评估漏洞。扫描程序会自动进行漏洞检测，并生成报告，列出已发现的漏洞和建议的修复措施。扫描报告可以帮助安全团队快速定位和修复安全漏洞，以提高系统和网络的安全性。

安全漏洞扫描是一种自动化的技术，其结果需要进一步验证和分析。在CFCA的安全评估项目中，安全漏洞扫描作为整个安全评估流程中的一部分，而不是仅仅依赖于它来保障信息系统的安全。

3.3 代码审计

代码审查是软件开发周期中的重要组成部分，通过代码审计可以有效查找各种缺陷，包括功能实现问题、代码安全缺陷、性能优化、编码合理性建议等，能帮助企业保证软件总体质量和提高开发者自身水平。

● 工具审查：利用分析工具对源代码进行自动扫描，工具可以使用主流商业软件，也可以使用CFCA自研工具。

● 人工审查：人工审查按照CFCA的规范，检查程序基本的程序逻辑、性能、安全等是否存在问题，以及用户交互流程是否满足正常的软件使用要求。

● 黑白盒结合审查：通过黑盒与白盒结合的方式来验证审计缺陷，发现问题并精确定位。

3.4 渗透测试

渗透测试是一种安全测试方法，旨在模拟攻击者的攻击行为，以评估信息系统或网络的安全性。渗透测试的目标是发现并利用系统或网络中的漏洞和弱点，以提高系统和网络的安全性。

渗透测试服务的目的在于充分挖掘和暴露系统的弱点，从而让管理人员了解其系统所面临的威胁。渗透测试是一项对实施人员技能和测试经验要求较高的安全服务，测试内容包括且不限于以下方面：情报收集、溢出攻击测试、web漏洞挖掘（跨站、注入、文件上传、信息泄露等）、业务安全测试等。

3.5 基础环境及设施评估

针对主机、网络设备、安全设备、机房环境等安全性进行评估。包括不限于物理环境评估、网络结构及边界安全评估、网络设备安全评估、主机脆弱性检测等内容。

物理环境评估是通过对设备所在机房环境进行实地查看检测，对机房所处的物理位置、机房物理访问控制、机房内部的防火、防水、防盗窃和防破坏、防雷击、温湿度、电磁屏蔽、防尘以及电力供应等安全防护措施的落实情况进行安全性检测。网络结构及边界安全评估是对系统所依赖的网络拓扑结构、网络边界等信息进行探测识别与分析，发现可能存在的边界安全问题。主机脆弱性检测包括操作系统、中间件、数据库等资产的脆弱性检测。