信息安全测试是一个统称的概念,一般包含信息系统风险评估、等级保护测评和涉密系统测评三项。为了避免因为系统自身漏洞给客户带来损失,通过信息安全测试的办法可帮助客户提高系统在软件或项目中的安全质量。
信息安全测评对信息安全模块、产品或信息系统的安全性进行验证、测试、评价和定级,目的在于规范它们的安全特性。其作用在于通过验证、测试、评估信息模块/产品/系统的各种关键安全功能、性能以及运维使用情况,发现模块、产品或者系统在设计、研发、生产、集成、建设、运维、应用过程中存在的信息安全风险、发生或可能发生的信息安全问题,鉴定产品质量,监控系统行为,警示安全风险,保障网络与信息安全。
信息不被非授权解析,信息系统不被非授权使用的特性。保证数据即使被捕获也不会被解析,保证信息系统即使能够被访问也不能够越权访问与其身份不相符的信息。
信息不被篡改的特性。确保网络中所传播的信息不被篡改或任何被篡改了的信息都可以被发现。
在任何情况下都能在满足基本需求的前提下被使用的特性,该特性存在于物理安全、运行安全层面上。确保基础信息网络与重要信息系统的正常运行能力,包括保障信息的正常传递,保证信息系统正常提供服务等。
保证信息系统的操作者或信息的处理者不能否认其行为或处理结果的特性。这可以防止参与某次操作或通信的一方事后否认该事件曾发生过。
在交互运行中确保并确认信息的来源以及信息发布者的真实可信及不可否认的特性,保证交互双方身份、交互信息及其来源的真实可信。
在信息系统中具备对信息流的监测与控制特性。互联网上针对特定信息和信息流的主动监测、过滤、限制、阻断等控制能力。
针对目标提供的各种应用,如ASP、CGI、JSP、PHP等组成的WWW应用进行安全扫描检测。主要包括Web漏洞(SQL注入攻击、跨站点脚本攻击、Ajax安全缺陷、目录遍历攻击)、XML注入、认证不充分等方面,对Web应用安全进行评估。
基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。包括应用系统部署、数据库部署等操作系统的漏洞扫描,系统类型包括Windows、Solaris、AIX、Linux、Unix等操作系统。
基于已知系统漏洞规则库,对网络设备、应用或系统在已知漏洞规则下进行识别和检测,及时发现安全漏洞,给出修复建议和预防措施,并对风险控制策略进行有效审核,主要从设备系统、网络设备端口和安全设备的端口、漏洞扫描等方面,对各种防火墙、入侵检测系统、网络设备等进行设备漏洞扫描检测。
对未经编译的软件源代码进行代码扫描分析,快速识别安全漏洞及发现合规方面存在的问题,并向您指出漏洞的位置和分析修复方法。由于是对未经编译的代码进行扫描,因此不需要去处理复杂的代码编译所需要的环境及构建问题。节省大量的人力和时间成本,提高开发效率,并且能够发现很多靠人力无法发现的安全漏洞,站在黑客的角度上去审查程序员的代码,找出潜在的风险,从内对软件进行检测,提高代码的安全性,大大降低项目中的安全风险,提高软件质量,可快速、准确地查找,定位和修复软代码中存在的安全风险。同时兼容并达到国际、国内相关行业的合规要求。
依据GB/T 20984-2007《信息安全风险评估规范》等标准规范,进行信息系统安全保障能力级的符合性测评。风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。
三方测试机构进行专业信息安全测试,有利于:
1、明确系统边界及需要重点保护的IT对象;
2、提供全面有效的安全风险管理规划;
3、有效提升信息系统风险防范和控制能力
4、全面掌握信息系统存在的安全风险及级别,并深入了解其对业务的影响程度。