现在越来越多的客户对信息系统安全和源代码安全越来越重视,这方面的评测需要客户明确《第三方安全测试报告》的用途,是内部留档还是进行外部评审(甲方或国家机构进行信息评定),测试方法包括漏洞扫描、渗透测试、源代码安全扫描机分析等
信息系统第三方测评机构,例如赛辰软件测评中心,只有在了解了企业的测试需求后,并且根据业务复杂度,才能客观的按照最基本的收费标准为客户提供客观的测试报价,为企业服务。
赛辰信息安全测评服务:
信息安全风险评估:
依据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5号)、GB/T 20984-2007 《信息安全风险评估规范》等标准规范,进行信息系统安全保障能力级的符合性测评。
现场评估实施结束后,评估小组根据测评指导书各个评估项的结果记录进行评估分析,汇总评估结果,并进行整体评估分析,从而形成合理、可信任的评估结论,完成评估报告的编制及建议。
源代码安全漏洞扫描:
赛辰可以对未经编译的软件源代码进行代码扫描分析,快速识别安全漏洞及发现合规方面存在的问题,并向您指出漏洞的位置和分析修复方法。帮助企业节省大量的人力和时间成本,提高开发效率,并且能够发现很多靠人力无法发现的安全漏洞,站在对手的角度上去审查程序员的代码,找出潜在的风险,从内对软件进行检测,提高代码的安全性,大大降低项目中的安全风险,提高软件质量,可快速、准确地查找,定位和修复软代码中存在的安全风险。
应用、系统、设备漏洞扫描:
分为Web应用安全检测、系统漏洞安全检测和设备漏洞扫描检测。
Web应用安全检测针对目标提供的各种应用,如ASP、CGI、JSP、PHP等组成的WWW应用进行安全扫描检测。主要包括Web漏洞(SQL注入攻击、跨站点脚本攻击、Ajax安全缺陷、目录遍历攻击)、XML注入、认证不充分等方面,对Web应用安全进行评估。
第三方测评机构(如赛辰)能为验证某项项目的信息化项目建设工作、提升信息化项目的效能、易用性、安全性等重要指标,进行软件测评与安全测评工作,从而准确把握该信息化项目的实用与安全状况。