服务类型

登记测试

{{postExcerpt33}}

验收测试

{{postExcerpt34}}

性能专项测试

{{postExcerpt35}}

信息安全测试

{{postExcerpt37}}

其他检测服务

{{postExcerpt38}}

公司动态
行业资讯
日期:2024-11-08 16:55:19
漏洞扫描通常是指采取主动的方式,在收到相应的授权扫描许可后,基于漏洞特征库,对指定的远程或者本地系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测行为。那么,漏洞扫描的需求背景是什么? WebRAY一体化漏洞评估系统(简称RayScan)是一款针对设备入网、网站上线、日常运维、安全事件脆弱点分析、等保合规等场景提供的一体化脆弱性分析与评估产品。能够为监管、能源、金融、教育等行业用户提供涵盖系统漏洞检测、web漏洞检测、数据库漏洞检测、配置合规检测、弱口令检测在内的五合一脆弱性检测能力。 4 系统漏洞扫描 主机系统上存储、处理和传输各种重要数据,一旦遭受攻击,将可能导致程序运行失败、系统宕机、重新启动等后果,或者是获得主机上存储的敏感信息。更为严重的是,可以利用漏洞来执行非授权指令,甚至可以取得系统特权,从而控制以上资料来源与网络,如有侵权请联系删除。整个主机,进而进行各种非法操作。 RayScan支持针对网络环境中的各种主机、交换机路由器、防火墙、中间件等存在的常见漏洞、典型漏洞(如心脏出血)、0day漏洞等进行扫描和检查。具体功能如下: l 支持扫描通用操作系统,涵盖Windows系列、苹果操作系统、Linux、AIX、HPUX、IRIX、BSD、Solaris等。 l 支持扫描交换路由设备,涵盖Cisco、Juniper、华为、F5、Checkpoint、锐捷在内的主流厂商的设备。 l 支持扫描安全设备,涵盖Checkpoint、赛门铁克、Cisco、Juniper、Palo Alto、华为在内的主流厂商的防火墙等安全设备。 l 支持扫描物联网设备,如主流厂商海康威视、宇视、华为、大华、Brickcom、索尼、TP-LINK、AXIS、佳能等的摄像头,三星、惠普、爱普生、佳能等厂商的打印机。 l 支持针对工控专用设备包括PLC、SCADA、DCS、工控专用网络设备的漏洞扫描。 l 支持国产操作系统、数据库的扫描,国产操作系统包含中标麒麟、凝思、华为欧拉、深度、红旗、中兴新支点,国产数据库包括神通、人大金仓、南大通用、达梦。 l 支持大数据组件框架漏洞检测,如zookeeper、ElasticSearch、ActiveMQ 、Kibana、Hadoop等。 Web漏洞扫描 由于在开发过程中,网站开发人员水平参差不齐或者安全意识淡薄,网站存在的SQL注入、跨站、暗链等问题,可能导致网站被篡改、网站数据被篡改、核心数据如账户信息被窃取、网站服务器变成傀儡主机等问题。 WebRAY可检测网站存在的OWASP Top10定义的web漏洞如注入(SQL注入、Cookie注入、XPath注入、代码注入、框架注入、Base64注入、命令注入、操作系统命令注入)、XSS跨站脚本、伪造跨站点请求(CSRF)、网页挂马、暗链、敏感信息泄露、安全配置错误等漏洞风险。并直观展示出来,便于快速定位。 数据库漏洞扫描 采用先进的数据库发现技术和实例发现技术等,可针对当下主流的数据库,如Oralce、MySQL、Postgres、IBMDB2、MongoDB、SQLServer、Informix、Sybase等进行漏洞检测,包括对数据库系统的各项设置、数据库系统软件本身已知漏洞、数据库系统完整性进行检查和对数据库系统的整体安全性做出评估,并给出提高数据库安全性的修复建议。通过登录扫描可对数据库的系统表甚至字段进行安全检测。 安全基线检测 安全配置核查是安全管理的基本工作,同时也是安全运维的重要技术手段。安全配置核查首先要建立满足组织信息安全管理体系的安全配置要求的基线。当前,部分重要行业和监管部门已经针对行业的信息系统建立详细的安全配置要求及规范。它构建针对不同系统的详细检查项清单和操作指导,为安全运维人员的安全技术操作提供标准化框架和指导,有很广泛的应用范围,主要包括新系统的上线安全检查、第三方入网安全检查、安全合规检查、日常安全检查等。 WebRAY参考国内外标准、行业技术规范和安全运维最佳实践构建了以业务系统为核心,覆盖业务层、系统支撑层的安全配置基线模型。从业务系统安全要求出发,将要求分解到对应的支撑系统的具体安全要求。可以支持在线和离线两种形式下发任务,支撑系统包括操作系统、数据库、中间件和应用系统,还包括网络设备和安全设备等。针对这些支撑系统的具体产品类型如Windows, Oracle, WebLogic,交换机,防火墙等,根据具体的安全要求可细化到可执行和实现的具体要求,并可以对同类设备,不同品牌型号,形成具体的安全要求及配置检查方法。 弱口令扫描 对系统存在的弱口令做检测,支持知名的协议、数据库、中间件、HTTP服务、HTTPS服务和摄像头检测如TELNET、FTP、SSH、POP3、RDP、SMTP、Oracle、MySQL、PostgreSQL、MsSQL、Sybase、Informix、HTTP、大华摄像头、华为摄像头等。系统内置默认的字典库,并支持上传自定义的字典库,丰富平台弱密码检测能力。
日期:2024-10-31 17:27:18
11月1日起,《网络安全技术 信息技术安全评估准则》等13项网络安全国家标准开始实施,将为引领网络安全产业高质量发展,增强广大人民群众的获得感、幸福感和安全感提供标准支撑。 《网络安全技术 信息技术安全评估准则 第1部分:简介和一般模型》(GB/T 18336.1—2024)、《网络安全技术 信息技术安全评估准则 第2部分:安全功能组件》(GB/T 18336.2—2024)、《网络安全技术 信息技术安全评估准则 第3部分:安全保障组件》(GB/T 18336.3—2024)、《网络安全技术 信息技术安全评估准则 第4部分:评估方法和活动的规范框架》(GB/T 18336.4—2024)、《网络安全技术 信息技术安全评估准则 第5部分:预定义的安全要求包》(GB/T 18336.5—2024)、《网络安全技术 信息技术安全评估方法》(GB/T 30270—2024)等6项推荐性国家标准,是对软件、硬件、固件形式的IT产品及其组合进行安全测评的基础标准,为产品消费者、开发者、评估者提供了基本的安全功能和保障组件,内容吸纳了国际网络安全评估领域模块化评估、多重保障评估、供应链分析等最新理念,将为我国具有安全功能IT产品的开发、评估以及采购过程提供指导。 《网络安全技术 无线局域网客户端安全技术要求》(GB/T 33563—2024)、《网络安全技术 无线局域网接入系统安全技术要求》(GB/T 33565—2024)两项推荐性国家标准,规定了无线局域网客户端与接入系统的安全功能要求和安全保障要求,给出了无线局域网客户端与接入系统面临安全问题的说明,能够为无线局域网客户端产品与接入系统的测试、研制和开发提供指导。 《网络安全技术 零信任参考体系架构》(GB/T 43696—2024)、《网络安全技术 证书应用综合服务接口规范》(GB/T 43694—2024)两项推荐性国家标准,分别规定了零信任参考体系架构以及面向证书应用的综合服务接口要求和相应验证方法,对于采用零信任体系框架的信息系统的规划、设计,公钥密码基础设施应用技术体系下证书应用中间件和证书应用系统的开发,以及密码应用支撑平台的研制和检测具有重要意义。 《网络安全技术 软件供应链安全要求》(GB/T 43698—2024)、《网络安全技术 网络安全众测服务要求》(GB/T 43741—2024)、《网络安全技术 软件产品开源代码安全评价方法》(GB/T 43848—2024)3项推荐性国家标准,分别确立了软件供应链安全目标,规定了软件供应链安全风险管理要求和供需双方的组织管理和供应活动管理安全要求,描述了网络安全众测服务的角色以及职责、服务流程、安全风险、服务要求,规定了软件产品中的开源代码成分安全评价要素和评价流程,对软件供应链中的供需双方开展风险管理、组织管理和供应活动管理具有引领和促进作用,将为网络安全众测服务活动提供帮助指导,助力各方对软件产品包含的开源代码成分进行静态安全评价。
日期:2024-10-24 09:11:32
导语:在现代社会中,软件已经成为生活和工作不可或缺的一部分。为了确保软件的正常运行和用户的满意度,软件测试变得尤为重要。本文将探讨软件测试的重要性及其作用,以及它对于保障软件质量和用户满意度的关键作用。 第一部分:软件测试的重要性 (1) 提高软件质量:软件测试通过发现和修复潜在的缺陷和错误,提高软件的质量和稳定性。这有助于减少软件故障和错误引起的损失,并降低维修和返工成本。 (2) 降低风险:软件测试可以帮助识别并解决可能导致系统崩溃、数据丢失或安全漏洞的问题。通过提前发现和解决这些问题,可以降低组织面临的风险。 (3) 提升用户体验:经过充分测试的软件能够提供更好的用户体验。通过验证软件的功能、易用性和性能等方面,可以确保用户可以顺利地使用软件,并获得满意的使用体验。 (4) 增强用户信心:软件测试可以提高用户对软件的信心。如果软件经过充分测试,没有明显的缺陷和问题,用户会更加信任并愿意使用该软件。 (5) 遵守法规和标准:在某些行业中,如医疗、金融和航空等,软件测试是符合法规和标准的必要步骤。通过进行测试,可以确保软件符合相关法规和标准的要求。 第二部分:软件测试的作用 ① 发现潜在缺陷:软件测试通过不同类型的测试方法,如功能测试、性能测试、安全测试等,可以检测出软件中存在的潜在缺陷和错误。 ② 确保软件功能完整和正确:软件测试可以确认软件是否按照需求规格和设计要求进行开发,并确保软件的功能完整和正确性。 ③ 评估软件性能:通过性能测试和负载测试等手段,可以评估软件在不同情况下的性能表现,包括响应时间、并发能力和稳定性等。 ④ 确保软件安全性:安全测试可以检测软件中存在的安全漏洞和风险,并提供相应的修复方案,从而确保软件的安全性。 ⑤ 优化用户体验:通过用户界面测试和易用性测试,可以优化软件的用户界面和操作方式,提升用户的使用体验。 第三部分:如何进行有效的软件测试 1. 制定详细的测试计划和策略:在开始测试之前,制定清晰的测试计划和策略,明确测试的目标、范围和方法。 2. 设计合理的测试用例:根据需求和设计文档,设计具有较高覆盖率的测试用例,涵盖各种场景和边界条件。 3. 使用多样化的测试技术:结合黑盒测试和白盒测试等不同的测试技术,以便全面地检测软件的功能和代码逻辑。 4. 自动化测试工具的应用:利用自动化测试工具,提高测试效率和覆盖范围,并减少人工测试的重复工作。 5. 定期进行回归测试:在软件开发过程中,定期进行回归测试,以确保新的修改或功能添加不会影响到原有的功能和稳定性。 结语:软件测试对于保障软件质量和用户满意度起着至关重要的作用。通过有效的测试方法和策略,可以发现并修复潜在的缺陷,验证软件功能和性能,并提供更好的用户体验。因此,在软件开发过程中,我们必须高度重视软件测试的重要性,并合理地进行测试工作,以确保软件的质量和可靠性。
日期:2024-10-18 11:25:13
9月25日,由中国软件行业协会和沈阳市工业和信息化局主办的“2024中国软件高质量发展大会”在沈阳隆重召开。会上,中国软件行业协会知识产权保护分会正式发布了《软件企业商业秘密保护指南V1.0》(以下简称“指南”)。《软件企业商业秘密保护指南》正式发布中国软件与信息服务业已经成为我国经济发展的重要组成部分,软件企业的商业秘密保护工作已经成为软件企业提升竞争力的有效手段,为了让软件企业能对研发、生产、经营活动中的商业秘密进行有效管理和运用,中国软件行业协会知识产权保护分会组织在软件商业秘密保护中具有丰富实践经验的律师、专家编制了《软件企业商业秘密保护指南》。指南由北京高文律师事务所、北京高文(深圳)律师事务所、北京观韬律师事务所、北京汇仲律师事务所、北京联合信任技术服务有限公司、北京市天元律师事务所、北京市盈科(苏州)律师事务所、广东邦燊律师事务所、广东翰锐律师事务所、广东君逸律师事务所、广东信达律师事务所、广东卓建(广州)律师事务所、广东卓建律师事务所、江苏瑞途律师事务所、辽宁慧之林律师事务所、山东诚功律师事务所、上海市通力(深圳)律师事务所、四川力久律师事务所、四川西部知识产权鉴定评估有限公司等19家单位共同制定,旨在指导软件企业构建完善的商业秘密保护体系,有效防御侵权行为,进而推动技术创新与成果的高效转化,其意义深远而重大。扫描二维码获取《软件企业商业秘密保护指南V1.0》全文 指南在深入调研当前软件行业商业秘密保护现状的基础上,结合国内外先进经验与实践案例,从企业商业秘密保护策略和商业秘密侵权取证与应对两方面,围绕商业秘密的识别与分类、建立健全企业商业秘密的接入控制制度、人员管理、合同管理、商业秘密文档的标记与存储、证据的收集保全、侵权行为的应对策略以及证据的提交与法庭程序等多个维度为软件企业提供了一套系统、全面的保护策略与实施方案。此外,指南还针对当前软件行业普遍存在的泄密风险点,如软件代码管理、企业员工管理、第三方合作等环节,提出了具体的防范措施和建议,帮助企业精准识别并有效应对潜在风险。《软件企业商业秘密保护指南V1.0》的发布不仅为软件企业提供了宝贵的参考依据,也为我国软件行业的高质量发展注入了新的动力。未来,随着指南的广泛推广与深入实施,我国软件行业的商业秘密保护工作将迈上新的台阶,为构建创新型国家贡献力量。本指南主要起草人(按姓氏笔画):王正志(北京高文律师事务所)王宗鹏(广东信达律师事务所)车小燕(上海市通力(深圳)律师事务所)邓志豪伍立贤(广东君逸律师事务所)孙彦(北京市天元律师事务所)衣维成(辽宁慧之林律师事务所)刘雪莲(四川力久律师事务所)余凤(北京高文(深圳)律师事务所)张旺(山东诚功律师事务所)张昌利(北京联合信任技术服务有限公司)张锋(四川西部知识产权鉴定评估有限公司)李洪江(北京观韬律师事务所)屈文静(广东邦燊律师事务所)岳韶华(北京联合信任技术服务有限公司)苏志甫(北京汇仲律师事务所)胡厚财(广东翰锐律师事务所)郑昌斌(广东卓建(广州)律师事务所)高记源(广东卓建律师事务所)蒋海军(江苏瑞途律师事务所)潘肖英(北京市盈科(苏州)律师事务所) var first_sceen__time = (+new Date()); if ("" == 1 && document.getElementById('js_content')) { document.getElementById('js_content').addEventListener("selectstart",function(e){ e.preventDefault(); }); } 阅读 1206修改于2024年09月27日