自建信息系统软件安全检测必要性

自建信息系统软件安全检测必要性：

新建信息系统涉及安全防护措施建设，应明确安全需求，确定安全等级，结合公司安全防护总体策略， 进行安全防护方案设计； 根据国家有关规定和坚持鼓励使用国产化产品原则， 开展安全产品采购， 必要时开展产品预先选型测试；加强软件开发管理， 确保开发环境与实际运行环境安全隔离； 委托有的第三方测试单位对系统进行安全性测试， 并出具安全性测试报告；对测试不符合要求的，在整改后要重新测试。系统试运行前，要开展相关安全培训。

信息系统软件安全检测主要包括：

1.代码审计：代码审计是一种以发现程序错误，安全漏洞和违反程序规范为目标的源代码分析。

2.网络与信息安全应急演练：通过模拟与外界网络设施故障，电力故障，服务器故障，业务系统遭受突发性高并发访问、DDOS 攻击及漏洞入侵后被攻击、篡改、研判、报告、处置、恢复等，开展网络与信息安全事件应急演练，从而检验预案、磨合机制。

3.渗透测试：选择不影响业务系统正常运行的模拟攻击方法，对主机操作系统、数据库系统、应用系统、网络设备进行渗透测试，评估计算机网络系统安全。

4.基线检查：在业务系统的设备入网，业务上线，日常运维、定期巡检和设备下线整个生命周期的各个环节，检查包括操作系统、网络设备、数据库、中间件在内的所有类型的设备与系统的安全配置是否达到基本防护能力要求的基线。

5.移动终端APP安全测评：通过代码审计、配置验证、人工验证的方式，发现恶意代码威胁（木马）、应用程序中的隐蔽功能威胁、隐蔽通道和安全漏洞/ 后门威胁、特殊功能和特定服务中的威胁以及针对相关基础设施的威胁和针对数据内容的其他攻击威胁，完成移动终端APP 安全检测与评估。

信息系统软件安全检测标准：

依据国家标准GB/.51-2016《系统与软件工程系统与软件质量要求和评价（）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》对送检产品的功能性和产品化程度进行符合性测试。

开发软件安全需要提交的材料:

1.已填写的《软件产品登记测试委托表》

2.被测软件产品著作权扫描件

3.软件使用手册

腾创软件测评是一家第三方测评机构，从事：

1）软件测试服务（软件产品登记测试报告、科技成果鉴定测试报告、科技项目验收测试报告、确认测试报告、专项测试报告）

2）电子政务评测及验收（信息系统工程验收测试、信息化工程建设方案评估、信息化工程项目符合性验收）

3）信息安全测评服务（应用、系统、设备安全检测、源代码安全漏洞扫描、安全基线配置核查、信息安全风险评估）

4）通信网络检测（住宅建筑内光纤到户检测、基于以太网技术的局域网系统验收检测、无线局域网络系统检测、综合布线工程验收规范检测）