隨著信息技術(shù)的快速發(fā)展，我國(guó)企業(yè)正以前所未有的速度將業(yè)務(wù)遷移到云端，并積極采用大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等技術(shù)來(lái)提升運(yùn)營(yíng)效率和服務(wù)質(zhì)量。然而，數(shù)字化轉(zhuǎn)型的推進(jìn)也帶來(lái)了一系列安全挑戰(zhàn)，包括數(shù)據(jù)竊取、隱私泄露和網(wǎng)絡(luò)攻擊等多重風(fēng)險(xiǎn)。

根據(jù)相關(guān)報(bào)告統(tǒng)計(jì)分析，2024年已經(jīng)發(fā)生10起重大網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件，包括Ascension醫(yī)療保健網(wǎng)絡(luò)安全事件、Snowflake數(shù)據(jù)泄露、CDK Global網(wǎng)絡(luò)攻擊等，涉及多家**企業(yè)和機(jī)構(gòu)。11月4日，全球工控巨頭施耐德電氣更是遭勒索攻擊，***竊取了40GB的數(shù)據(jù)，包括內(nèi)部開發(fā)人員的姓名、電子郵件地址、訪問(wèn)權(quán)限等敏感信息，超過(guò)40萬(wàn)條的用戶數(shù)據(jù)記錄被泄露。

在這一背景下，信息化項(xiàng)目的安全測(cè)試作為保障信息系統(tǒng)安全的重要環(huán)節(jié)，其重要性日益凸顯，尤其是在金融、醫(yī)療、教育、汽車、****等影響較大的行業(yè)。

軟件安全性測(cè)試通過(guò)對(duì)信息系統(tǒng)進(jìn)行***、細(xì)致的安全檢測(cè)，確保信息系統(tǒng)達(dá)到相應(yīng)的安全保護(hù)水平，有效地保護(hù)用戶的隱私數(shù)據(jù)、避免信息泄露，同時(shí)也能避免***攻擊、惡意軟件等安全威脅對(duì)系統(tǒng)造成的破壞。

信息安全性測(cè)試是指有關(guān)驗(yàn)證應(yīng)用程序的安全等級(jí)和識(shí)別潛在安全性缺陷的過(guò)程。其主要目的是查找軟件自身程序設(shè)計(jì)中存在的安全隱患，并檢查應(yīng)用程序?qū)Ψ欠ㄇ秩氲姆婪赌芰ΑＰ畔踩詼y(cè)試包括安全功能、滲透測(cè)試、漏洞掃描、代碼審計(jì)4個(gè)方面。哨兵科技作為國(guó)家工控安全質(zhì)檢中心西南實(shí)驗(yàn)室的落地實(shí)體企業(yè)，是專業(yè)的第三方軟件測(cè)評(píng)機(jī)構(gòu)，除了能夠提供以上信息安全測(cè)試服務(wù)外，還可以提供登記測(cè)試、驗(yàn)收測(cè)試、鑒定測(cè)試等常規(guī)性軟件測(cè)試服務(wù)。

哨兵科技（西南實(shí)驗(yàn)室）作為國(guó)家高新技術(shù)企業(yè)，以“提升防護(hù)能力捍衛(wèi)工信安全”為己任。現(xiàn)擁有各類知識(shí)產(chǎn)權(quán)20余項(xiàng)，以及上百個(gè)漏洞的收錄，并取得了CMA、CNAS、CCRC風(fēng)險(xiǎn)評(píng)估、ISO27001等多項(xiàng)資質(zhì)，通過(guò)了ISO9001、45001、14001三體系質(zhì)量認(rèn)證。被評(píng)選為國(guó)家工業(yè)信息安全應(yīng)急服務(wù)支撐單位、國(guó)家工業(yè)信息安全測(cè)試評(píng)估機(jī)構(gòu)、國(guó)家CICSVD技術(shù)支持組成員單位，以支撐**主管部門提升網(wǎng)絡(luò)安全監(jiān)管能力。

哨兵科技的信息安全性測(cè)試遵循國(guó)家標(biāo)準(zhǔn)和行業(yè)規(guī)范，提供客觀、公正、專業(yè)的評(píng)估結(jié)果，并出具具有法律效力的測(cè)評(píng)報(bào)告，幫助企業(yè)保護(hù)其信息資產(chǎn)，維護(hù)系統(tǒng)的穩(wěn)定和用戶的信任。我們的信息安全性測(cè)試服務(wù)范圍包括保密性、完整性、抗抵賴性、真實(shí)性等安全功能測(cè)試，以及滲透測(cè)試、代碼審計(jì)、漏洞掃描。

1）安全功能測(cè)試：從系統(tǒng)業(yè)務(wù)功能層面出發(fā)，測(cè)試系統(tǒng)是否存在安全漏洞。測(cè)試范圍包括保密性、完整性、抗抵賴性、真實(shí)性，具體涵蓋身份鑒別、訪問(wèn)控制、安全審計(jì)、數(shù)據(jù)完整性和保密性、軟件容錯(cuò)率、個(gè)人信息保護(hù)、外部接口管理、抗抵賴性、資源控制等。

2）滲透測(cè)試：采用手工方式和安全檢測(cè)工具，模擬攻擊者分別從互聯(lián)網(wǎng)和內(nèi)網(wǎng)側(cè)對(duì)公司資產(chǎn)進(jìn)行漏洞掃描和滲透測(cè)試，***排查內(nèi)外網(wǎng)存在的安全隱患，出具整改措施，形成安全測(cè)試報(bào)告并協(xié)助整改。

3）漏洞掃描，是通過(guò)商業(yè)漏洞掃描工具，對(duì)系統(tǒng)及Web 應(yīng)用進(jìn)行深度檢測(cè)，提前發(fā)現(xiàn)漏洞隱患，給出詳盡的漏洞描述和修補(bǔ)方案，指導(dǎo)維護(hù)人員進(jìn)行安全加固，防患于未然。

4）代碼審計(jì)：采用分析工具和專業(yè)人工審查，對(duì)系統(tǒng)源代碼和軟件架構(gòu)的安全性、編碼規(guī)范度、可靠性進(jìn)行***的安全檢查，發(fā)現(xiàn)這些源代碼缺陷引發(fā)的安全漏洞，并提供代碼修訂措施和建議。

**案例分享**

01 智慧電服系統(tǒng)

系統(tǒng)簡(jiǎn)介：智慧電服系統(tǒng)利用友善的界面和用戶熟悉的業(yè)務(wù)術(shù)語(yǔ)降低用戶在使用和維護(hù)中的難度。為**電力公司用戶提供日常服務(wù)呼叫通道，以為**事務(wù)服務(wù)中心提供工作信息的基礎(chǔ)上提供統(tǒng)計(jì)、分析和報(bào)表打印工作為**，降低員工工作強(qiáng)度，提高工作效率。

測(cè)試類型：系統(tǒng)APP端、WEB端信息安全性測(cè)試，包括安全功能檢測(cè)、滲透測(cè)試

02  ***公司智慧樓宇數(shù)字化管理中心

項(xiàng)目簡(jiǎn)介：我們對(duì)智慧樓宇數(shù)字化管理中心WEB端的集中監(jiān)測(cè)報(bào)警、安防監(jiān)控管理、消防系統(tǒng)監(jiān)測(cè)（部分）、中央空調(diào)系統(tǒng)、供配電系統(tǒng)（部分）、電梯監(jiān)測(cè)系統(tǒng)、燈控照明系統(tǒng)監(jiān)控等進(jìn)行安全功能和滲透測(cè)試。

測(cè)試類型：信息安全性測(cè)試，包括保密性、完整性、抗抵賴性、可核查性、真實(shí)性