每家企业为了业务发展,少不了应用信息系统。不论是自身企业使用,还是开发交付给客户,在考虑到给用户带来价值、给自身带来收益的同时,还应注意到系统的安全性。
开发一个新信息系统的最后一步,即最重要的一步:对系统进行安全检测。简单来说,就是信息系统在接入互联网之前进行网络安全风险评估,提前确定系统的网络安全漏洞情况,是否存在威胁,是否符合入网安全评估的测评标准以及网络安全等级保护测评的标准。
大量用户在自主开发应用系统或委托开发应用系统时,更多的是从业务功能实现和性能方面对应用系统进行验收,缺乏相应的技术手段和能力对交付的应用系统的安全状况进行检验。如果应用系统在上线后由于存在类似SQL注入、密码明文传输、安全功能缺失等漏洞而遭受攻击,会直接影响正常业务运行,甚至造成经济和名誉的损失,再加上有些漏洞涉及代码改写,考虑到业务连续性的要求,这些漏洞的修复成本和代价将极大增加,甚至超出企业的承受能力。
因此,大多数用户需要借助第三方资源在系统上线前对系统安全状况进行检验,从信息安全的角度对应用系统、集成环境等内容的安全状况进行评估,对发现的问题进行妥善处理,避免将一些安全问题遗留到系统上线后,成为潜在的安全隐患。
系统入网前安全评估针对的是应用系统,包括物理环境、网络设备、操作系统、应用软件、代码程序和数据等。该评估工作实施时间建议是在应用系统完成编码与测试阶段,部署至生产环境后,正式发布前。
评估范围
软件开发商在交付项目时,往往会被用户要求出具系统安全评估报告,不然难以通过验收。正因为网络安全的加大监管,系统安全才得以重视,这给开发商无疑又增加了一项成本,但如果不顾及系统的安全性,出了安全问题,将面临更多损失。开展系统上线前安全评估,以确保应用系统部署到网络环境中不存在中、高危风险漏洞,保证其系统的运行不对现有网络造成安全威胁。