内容 | 说明 | ||
1 | 安全功能检测 | 依据网络信息系统的安全目标和设计要求,对安全功能实现状况进行评估,检查安全功能是否满足目标和设计要求 | 方法:访谈调研、现场查看、文档审查、社会工程、漏洞扫描、渗透测试、形式化分析验证等 |
2 | 安全管理检测 | 依据网络信息系统的管理目标,检查分析管理要素及机制的安全状况,评估安全管理是否满足信息系统的安全管理目标要求 | 方法:访谈调研、现场查看、文档审查、安全基线对比、社会工程等 |
3 | 代码安全审查 | 对定制开发的应用程序源代码进行静态安全扫描和审查,识别可能导致安全问题的编码缺陷和漏洞 | |
4 | 安全渗透 | 通过模拟黑客对目标系统进行渗透测试,发现、分析并验证其存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、跨站脚本漏洞及弱口令等安全隐患,评估系统抗攻击能力,提出安全加固建议 | |
5 | 信息系统攻击测试 | 根据攻击性测试要求,分析现有防护设备及技术,确定测试方案和内容 采用专用测试设备及软件对系统抗攻击能力进行测试,出具测试报告 | 测试指标:防御攻击的种类与能力,如拒绝服务攻击、恶意代码攻击。 |