信息技术安全性评估

检测项目

1.网络安全测试：防火墙规则验证、入侵检测系统性能、虚拟专用网络安全性、分布式拒绝服务防护、网络访问控制列表检测、无线加密协议测试、网络流量监控、端口安全测试、协议漏洞分析、恶意软件阻断机制等。

2.数据安全测试：数据加密强度、数据完整性校验、数据备份恢复能力、数据脱敏效果、数据泄漏防护、数据存储安全、数据传输通道安全、数据分类策略、数据销毁合规性、数据访问日志审计等。

3.应用安全测试：输入验证机制、身份认证漏洞、会话管理安全性、跨站脚本防护、结构化查询语言注入检测、缓冲区溢出检测、应用编程接口安全、代码混淆效果、反编译防护、运行时环境安全等。

4.物理安全测试：访问控制设备性能、监控系统覆盖范围、门禁系统可靠性、环境监测传感器精度、防灾设施有效性、设备防盗措施、电源冗余能力、机房温湿度控制、物理隔离完整性、应急响应设施等。

5.身份和访问管理测试：多因素认证强度、单点登录安全性、权限分配合理性、账户生命周期管理、凭证存储安全、会话超时控制、访问日志完整性、特权账户监控、身份联邦验证、生物特征识别精度等。

6.加密技术测试：对称加密算法强度、非对称加密性能、哈希函数碰撞抵抗、密钥生成随机性、密钥存储安全性、加密协议实现、数字签名有效性、证书链验证、随机数生成质量、密码学模块合规性等。

7.漏洞管理测试：漏洞扫描覆盖度、漏洞优先级测试、补丁管理有效性、漏洞修复验证、零日漏洞检测、漏洞数据库更新、漏洞生命周期跟踪、渗透测试深度、漏洞利用防护、安全配置基线核查等。

8.入侵检测和防御测试：异常行为识别率、攻击特征库完整性、实时响应延迟、误报率控制、日志分析准确性、威胁情报集成、防御规则更新、网络行为分析、终端检测响应、云环境入侵监测等。

9.安全信息和事件管理测试：事件收集完整性、日志归一化效果、关联分析准确性、告警阈值设置、报告生成效率、数据存储安全、多源数据融合、实时监控能力、历史数据追溯、自动化响应机制等。

10.合规性和审计测试：政策符合性检测、控制措施有效性、审计轨迹完整性、法规遵从验证、风险测试覆盖率、内部审计流程、外部审计配合、文档管理规范性、持续监控机制、违规事件处理等。

11.业务连续性测试：灾难恢复计划可行性、备份数据可用性、系统切换时间、业务影响分析、应急演练效果、资源冗余能力、恢复时间目标达成、恢复点目标验证、供应链中断应对、关键功能冗余等。

12.供应链安全测试：供应商安全测试、组件来源追溯、软件供应链完整性、第三方服务监控、合同安全条款、交付物验证、漏洞传递控制、更新机制可靠性、依赖关系管理、生命周期安全等。

13.云安全测试：云服务配置安全、数据隔离有效性、虚拟化层防护、云身份管理、云监控覆盖、合规性验证、数据迁移安全、云服务等级协议、多租户安全、云端加密管理等。

14.移动安全测试：移动应用沙箱隔离、设备加密强度、远程擦除功能、移动设备管理策略、应用商店安全、网络连接安全、数据同步保护、生物认证集成、移动威胁防护、应用分发安全等。

15.物联网安全测试：设备固件安全、通信协议加密、传感器数据保护、网关访问控制、空中下载更新验证、物理篡改检测、能源管理安全、边缘计算防护、协议兼容性、数据聚合安全等。

检测范围

企业服务器、核心路由器、边界防火墙、入侵检测系统、数据加密设备、身份认证平台、安全信息与事件管理系统、终端保护软件、移动设备管理应用、云安全网关、物联网传感器、工业控制服务器、智能家居中枢、区块链节点、人工智能平台、大数据存储系统、虚拟化环境、容器化应用、安全审计工具、网络监控设备、数据备份系统、物理访问控制设备。

检测方法/标准

国际标准：

ISO/IEC 27001、ISO/IEC 27002、ISO/IEC 27005、ISO/IEC 15408、IEC 62443-2-1、NIST SP 800-53、NIST SP 800-171、FIPS 140-2、ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 27031、ISO/IEC 27035、ISO/IEC 27037、ISO/IEC 27038、ISO/IEC 27039、ISO/IEC 27040、ISO/IEC 27041

国家标准：

GB/T 22239、GB/T 25070、GB/T 28448、GB/T 28449、GB/T 20984、GB/T 20269、GB/T 20270、GB/T 20271、GB/T 18336、GB/T 22080、GB/T 22081、GB/T 24363、GB/T 25058、GB/T 25059、GB/T 25060、GB/T 25061、GB/T 25062、GB/T 25063、GB/T 25064、GB/T 25065

检测设备

1.漏洞扫描系统：用于自动检测网络、系统及应用中的安全弱点；支持全面扫描和定制化策略。

2.渗透测试平台：模拟真实攻击场景以测试系统防御能力；集成多种工具和测试用例。

3.网络协议分析仪：捕获并解析网络数据包，识别异常流量和安全威胁；提供实时监控和深度分析。

4.加密算法测试仪：验证加密模块的性能与合规性；测试算法强度和密钥管理。

5.安全信息和事件管理系统：集中收集、关联和分析安全事件数据；生成报告并支持响应行动。

6.入侵检测设备：监控网络流量，检测恶意活动；基于特征和行为分析。

7.身份认证测试工具：测试多因素认证和会话管理安全性；模拟攻击以测试漏洞。

8.物理安全监测装置：检测门禁、监控和环境传感器；确保物理防护措施有效。

9.数据备份恢复测试系统：验证备份数据的完整性和可恢复性；模拟灾难场景进行演练。

10.云安全测试平台：测试云服务配置和安全控制；测试数据隔离和合规性。

北京中科光析科学技术研究所【简称：中析研究所】

报告：可出具第三方检测报告(电子版/纸质版)。

检测周期：7~15工作日，可加急。

资质：旗下实验室可出具CMA/CNAS资质报告。

标准测试：严格按国标/行标/企标/国际标准检测。

非标测试：支持定制化试验方案。

售后：报告终身可查，工程师1v1服务。

注意:因业务调整,暂不接受个人委托测试,望谅解(高校、研究所等性质的个人除外).

CMA/CNAS等证书详情，因时间等不可抗拒因素会发生变更，请咨询在线工程师.