安全评估

新建业务系统上线评估服务主要针对新的自建业务系统进行安全评估，识别新的自建业务系统可能存在的安全隐患和版本缺陷，评价该新建业务系统是否割接上线并入整个网络系统，评价新建业务系统安全保障能力能否有效应对安全风险的一系列评估活动。

适用对象
有新建业务系统需求的单位、行业监管机构，以及有网络安全检测需求的政府机构、金融机构、医药卫生、石油化工、水利水电、教育机构、企事业单位等。

服务内容
「 管理体系评估 」 「 业务风险评估 」  「 安全保障能力评估」

业务安全包括业务本身的安全和承载业务的软硬件系统的安全，业务安全评估服务即针对这两方面内容进行检测的服务。主要检测业务系统存在的安全隐患，逻辑漏洞，提出整改建议或措施，减少组织财产损失，降低灾难或中断对业务造成的影响。

适用对象
需要评估业务安全可能会受到何种破坏及业务安全存在哪些隐患或漏洞的政府机构、金融机构、医药卫生、石油化工、水利水电、教育机构、企事业单位等。

服务内容
「 业务完整性检测 」 「 业务连续性检测 」  「 业务一致性检测 」 「 业务流程风险评估 」

渗透测试服务是依据渗透测试专家已经掌握的安全漏洞信息，在客户授权的范围内，模拟攻击者的真实攻击方法对系统和网络进行非破坏性质的攻击性测试，挖掘系统中存在的安全漏洞和隐患，并提供相应的解决建议。

适用对象
需要主动分析自身系统弱点、技术缺陷或漏洞，以便对目标网络信息系统的安全做深入的探测，发现整体网络相对脆弱环节的政府机构、金融机构、医药卫生、石油化工、水利水电、教育机构、企事业单位等。

服务内容
「 信息搜集 」 「 威胁建模 」 「 漏洞分析 」  「 渗透攻击 」 「 修复建议 」

风险评估服务是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

适用对象
具有风险管理意识，关注信息系统安全风险管理的政府机构、金融机构、医药卫生、石油化工、水利水电、教育机构、企事业单位等。

服务内容
「 系统调研 」 「 资产识别 」 「 脆弱性识别 」  「 威胁识别 」 「 风险计算 」

安全验收服务是遵循公开、公平和公正原则，根据客户申请的信息系统验收目标和验收范围，结合信息系统安全建设方案的实现目标和考核指标，对信息系统的实施状况进行安全测试和评估，评价该系统是否满足安全验收要求中的各项安全技术指标和安全考核目标，为系统验收和下一步的安全规划提供参考依据。

适用对象
在信息系统建成后，需要第三方测评机构开展安全验收测评服务的政府机构、金融机构、医药卫生、石油化工、水利水电、教育机构、企事业单位等。

服务内容
「 体系架构合理性分析 」 「 安全配置检查 」  「 渗透性测试 」 「 源代码安全审计」

恶意代码审计服务是通过对软件系统的源代码进行分析，发现和消除源代码中存在的安全漏洞、逻辑缺陷及恶意代码。

适用对象
存在入侵痕迹的业务系统，应急响应处置的安全事件涉及的应用系统。

服务内容
「 安全编程规范及规则咨询 」 「 代码安全审计 」 「 安全编程培训 」 「 合规性检查 」

网站安全态势感知服务是远程基于爬虫机制的网站性能检测、网站漏洞扫描、网站被黑监测服务。通过HTTP(S)请求、域名解析、Ping等方式分析响应时间，及时发现网站出现链路异常、访问延迟、解析错误等情况。 对常见的SQL注入、跨站脚本、跨站请求伪造（CSRF）等代码层漏洞具备强大的检测能力，支持SQL注入专家检测模式；支持常见Web应用层安全漏洞的检测；支持第三方应用组件（如：论坛、BLOG、编辑器）的识别与漏洞检测。当网站发生挂马、暗链、内容异常变更等情况时，WebSSAS会自动对页面内容进行智能分析以完成被黑监控。

适用对象
具有互联网WEB应用的政府机构、金融机构、医药卫生、石油化工、水利水电、教育机构、企事业单位等。

服务内容
「 网站性能检测 」 「 网站漏洞扫描 」 「 网站被黑监测 」