针对新上线系统进行上线前安全测评,根据等保及行业相关要求对系统设计方案、网络部署方案、测试方案等进行安全审核,并对系统进行web层面安全测试,指出系统的风险点并给出安全整改建议。
(1)应用环境评估
在客户授权范围内,以应用系统为评估对象,针对网站或其它B/S的应用系统;
支持通过代码审计对应用系统源代码进行检查和测试,测试对象为应用源代码;
通过Web漏洞扫描对应用系统进行快速的漏洞检查,测试过程中会涉及中间件、数据库的程序漏洞;
支持通过渗透性测试以模拟黑客攻击的角度对应用系统整体安全性进行测试。
(2) 基础运行环境评估
以网络设备、安全设备、主机操作系统、数据库系统、中间件为评估对象;
支持通过安全漏洞扫描对所有对象的安全漏洞情况进行检查和测试;
通过安全配置核查对所有对象的配置参数进行检查,对会引起安全漏洞的配置、不符合客户规范要求的配置问题进行发现;
支持通过渗透测试以模拟黑客攻击的方式对应用系统整体安全性进行检查和测试。
▉全面的安全度量
新系统上线前检测,提供覆盖从应用环境到基础运行环境的代码、应用、操作系统、中间件、数据库、网络设备、安全设备各个环节的安全检测手段,检测结果对单一资产和应用系统整体防御体系都具备极大的参考性,可为客户在应用系统生命周期的各个阶段提供准确的安全性度量。
▉快速的安全兑现
新系统上线前检测着眼现在,通过技术性手段识别客户应用系统环境中存在的各项安全漏洞、配置错误、代码错误等问题,提供整改指导帮助客户针对技术性问题进行修正。通过解决当前应用系统运行实际面临的各项安全漏洞,即时提高应用系统现下的安全性。
▉评估安全投入收益
新系统上线前检测能够通过识别安全问题来帮助组织理解当前的安全状况。验证当前的安全策略、防护措施、检查方法等是否有效。定期进行应用安全评估是保证信息系统的安全防御体系按照预期正常运行的一项有效检测手段。
▉应用系统级保障
新系统上线前检测不着眼某个单一设备而是重点关注整个应用系统的安全性,通过组合各项安全技术手段,对应用系统运行相关各个环境安全问题进行发现,结合对应用系统运行相关的资产重要性进行分析,最终确定对应用系统运行安全运行相关的安全漏洞,并加以解决,以保障应用系统的平稳运行。