信息系统安全检测报告办理_CMA检测机构_检测公司

一、信息系统安全检测内容

信息系统安全检测依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》及ISO/IEC 27001:2022等标准，覆盖以下全部检测项：

1.1 物理安全检测

机房区域出入控制与监控记录、温湿度调控与报警系统、电力供应与UPS冗余配置、防雷接地与防火设施、防水防潮措施、电磁屏蔽与介质保护。

1.2 网络安全检测

网络拓扑结构合规性、边界防火墙策略与访问控制列表（ACL）、入侵检测系统（IDS）/入侵防御系统（IPS）部署与规则有效性、网络流量监测与异常分析、安全域划分与隔离有效性、无线网络安全配置（SSID隐藏、认证加密）、网络设备（路由器、交换机）安全加固（SNMP、Telnet禁用，SSH启用）。

1.3 主机系统安全检测

操作系统（Windows Server、Linux、Unix等）补丁更新状态、账号密码策略（复杂度、有效期、失败锁定）、最小权限配置、多余服务与端口关闭、日志审计功能开启、文件系统权限（如/etc/passwd保护）、防病毒软件安装及病毒库更新、主机入侵检测（HIDS）部署。

1.4 应用系统安全检测

Web应用注入漏洞（SQL注入、命令注入）、跨站脚本（XSS）、跨站请求伪造（CSRF）、文件上传漏洞、越权访问（水平/垂直越权）、会话管理安全（Cookie Secure标记、Session超时）、敏感数据加密传输（TLS 1.2+）、第三方组件漏洞扫描（如Log4j、Fastjson）。

1.5 数据安全与备份恢复检测

数据分类分级制度执行、数据传输加密（国密SM2/SM4或国际算法）、静态数据加密存储（数据库透明加密）、数据脱敏规则、备份策略（全量/增量/差异）、备份介质异地存放、恢复演练记录（最近一次恢复成功率）、数据防泄漏（DLP）策略。

1.6 安全管理制度检测

安全策略文件发布与评审记录、人员安全培训考核记录、外包服务商安全管理协议、应急响应预案（含启动条件、指挥体系、处置流程）、事件报告与处置台账、定期风险评估与审计报告。

1.7 安全运维检测

漏洞扫描周期（如每月一次）与修复闭环记录、渗透测试执行频率（每半年一次）、安全配置基线符合性巡检、日志集中存储（保存≥180天）与关联分析、变更管理流程（申请、测试、审批、回滚）。

二、信息系统安全检测流程

办理CMA检测机构（推荐使用具备省级及以上质量技术监督局认证的“聚检通”等专业机构）的信息系统安全检测报告，严格遵循以下完整流程：

2.1 需求确认与委托签约

客户提交检测范围说明（包括IP地址段、业务系统列表、网络设备清单），检测机构评估检测边界与深度，双方签订技术服务合同与保密协议。

2.2 资料收集与初审

客户提供网络拓扑图、安全配置文档、密码策略文件、备份恢复记录、管理制度汇编、既往测评报告。检测机构进行合规性初审，反馈资料补充清单。

2.3 现场检测授权

检测工程师持证（CISP、CISAW）入场，签署《现场检测授权书》，召开首次会议明确检测时间窗口（通常为09:00-18:00避开业务高峰）、应急联系人、回退方案。

2.4 工具检测阶段

使用授权扫描工具（如Nessus、AWVS、OpenVAS）执行漏洞扫描，配置扫描策略（强度为“中度”，线程数为50），记录扫描起始与结束时间。同步使用抓包工具（Wireshark）进行协议分析，时长不少于2小时。

2.5 人工验证阶段

针对扫描发现的高危漏洞（CVSS评分≥7.0），采用人工渗透测试复现，包括但不限于手工注入、越权尝试、弱口令爆破（使用Hydra、Burp Suite，字典大小为10万条）。每项验证结果截图存档。

2.6 配置核查阶段

登录关键网络设备、主机、数据库，逐项核对安全基线要求。例如：检查/etc/ssh/sshd_config中PermitRootLogin是否设为no；检查Windows本地安全策略中“密码最短使用期限”是否大于0。全部项填写《配置核查记录表》。

2.7 访谈与文档审查

随机抽取系统管理员、安全管理员、运维人员共不少于3人进行现场访谈，询问应急响应流程、密码保管方式。对照管理制度检查执行痕迹（如培训签到表、漏洞修复工单）。

2.8 结果分析与风险评级

汇总所有发现项，按风险等级（高、中、低）分类，高风险定义：可直接导致系统被控制或敏感数据泄露；中风险定义：可辅助攻击但需额外条件；低风险定义：信息泄露或配置不规范。每个风险关联对应标准条款。

2.9 报告编制与内部审核

生成《信息系统安全检测报告》初稿，包含检测范围、工具清单、脆弱性详情、整改建议。经技术负责人（高级工程师，从业≥8年）与质量负责人（CMA授权签字人）双重审核。

2.10 报告交付与归档

向客户交付纸质版及电子版（PDF）报告，附CMA标识（证书编号可溯源）。检测原始记录（扫描日志、访谈录音、截图）保留至少6年。

三、信息系统安全检测方法

本机构在CMA体系下采用以下全量检测方法，确保结果可复现、可溯源的：

3.1 主动漏洞扫描法

使用CVE兼容扫描器（如Nessus Professional 10.x）执行非认证扫描与认证扫描。认证扫描需提供具有只读权限的账户，获得更准确的补丁缺失与配置缺陷数据。扫描周期：全量扫描≤4小时/千个IP。

3.2 渗透测试法

依据PTES（渗透测试执行标准）框架，分为信息收集（子域名、端口、服务版本）、威胁建模、漏洞分析、利用（获取webshell或数据库权限）、后渗透（权限维持痕迹清除）五个阶段。利用Metasploit、Cobalt Strike（仅用于授权环境）进行模拟攻击。

3.3 配置基线核查法

对照CIS Benchmarks（如CIS CentOS Linux 8 Benchmark v2.0.0）或等保三级基线，逐条执行人工与脚本（如OpenSCAP）双重验证。每项结果标记为“符合/不符合/不适用”，不符合项需记录当前实际值及要求值。

3.4 网络协议分析检测法

在核心交换机镜像端口部署流量探针，捕获不少于30分钟的业务高峰流量，分析异常协议行为（如ARP欺骗、DNS隧道、TCP半开连接）。使用Wireshark 3.6以上版本，过滤规则示例：tcp.flags.syn==1 and tcp.flags.ack==0 and tcp.window_size<=1024。

3.5 代码安全审计法（针对自研应用）

采用静态代码分析工具（Fortify、Checkmarx）与人工审计结合。重点检查输入校验（如escapeHtml()过滤XSS）、SQL语句拼接（参数化查询使用率）、硬编码密钥、危险函数（eval、system）。工具扫描行数上限为50万行，误报率≤15%需人工剔除。

3.6 社会工程学检测（可选，需专项授权）

模拟钓鱼邮件（主题为“密码过期”等），统计用户点击率。发送对象为≤10%的随机用户，邮件服务器均配置SPF、DKIM防伪造。检测前签署社会工程专项授权书。

3.7 日志审计分析法

采集至少90天的系统日志、安全日志、应用日志（Syslog/Windows Event Log），使用ELK或Splunk分析异常登录（如凌晨3点来自境外IP的成功登录）、权限变更、敏感文件访问。设定阈值：同一账户5分钟内失败登录≥5次为暴力破解特征。

四、信息系统安全检测注意事项

办理CMA检测报告时，客户及检测工程师须严格遵守以下全部注意事项：

4.1 授权与合规性注意事项

检测前必须取得信息系统所有者书面授权，授权书需明确检测范围（IP、域名、物理设备）、时间窗口、允许使用的攻击方法（如是否允许拒绝服务测试）。严禁未经授权扫描第三方系统，违者承担法律责任。

4.2 业务连续性保障注意事项

使用风险较高的主动探测插件（如Nessus的“Web Application Tests”中包含注册表单爆破）须在测试环境验证。生产系统检测建议在维护窗口进行，若必须在运行时开展，应配置白名单（源IP为检测设备IP）并禁用可能导致宕机的插件（如“SYN Flood模拟”）。

4.3 数据隐私保护注意事项

检测过程中抓取的数据包若包含用户个人信息（身份证号、手机号、银行卡号），须在24小时内脱敏处理（mask前6位后4位）。报告样例中禁止出现真实用户数据，可使用“****”替代。日志文件存放于加密U盘或专有存储服务器，传输采用SFTP。

4.4 漏洞披露与修复注意事项

发现的高危漏洞（例如可获取root权限的提权漏洞），检测机构须在检测报告生成后第一时间（24小时内）电话及书面通知客户安全负责人。在客户完成修复前，不得以任何形式公开漏洞细节。修复后需安排回归测试（至少1轮）。

4.5 检测环境与工具校验注意事项

所有检测工具使用前需校验版本和签名（如Nessus更新至最新插件库2025-xxxx），并在隔离虚拟机中进行功能验证。扫描设备专用笔记本电脑需通过CMA认证机构审核，系统镜像保持纯净，每次检测前后均执行杀毒与日志清除。

4.6 人员行为规范注意事项

检测工程师入场须佩戴工牌，禁止携带未授权存储设备。检测过程中所有操作（包括命令历史、截图、流量捕获）需记录在《检测操作日志》中，每半小时由旁观核查员签字。严禁对非授权系统发送任何探测数据包。

五、信息系统安全检测费用

CMA检测机构出具信息系统安全检测报告的费用构成如下（参考全国平均报价，单位：人民币元），最终以“聚检通”等具备CMA资质的机构实际报价为准：

5.1 基础检测服务费

固定费用，涵盖项目管理、报告编制、授权签字人复核。根据信息系统规模（资产数量）分为三档：小型系统（≤50个资产）8,000-12,000元；中型系统（51-200个资产）15,000-25,000元；大型系统（>200个资产）30,000-50,000元。

5.2 渗透测试深度费

按人天（每人工作日）计算，高级工程师（CISP认证，从业5年以上）费用为2,500-3,500元/人天，初级工程师（有CVE编号或漏洞提交记录）为1,200-1,800元/人天。一般应用系统需5-10人天。

5.3 漏洞扫描及工具使用费

商业扫描工具授权费用分摊：每套Nessus Professional许可证年费约3,000元，按次收费每次200-500元。如需使用AppScan、Burp Suite Pro等，每次额外300元。开源工具不另行收费。

5.4 源代码审计费（可选）

按代码行数计费：Java/C++语言每行0.8-1.5元，Python/PHP每行0.5-0.8元。最低收费5,000元，一般10万行代码审计费用约8,000-15,000元（包含人工二次验证）。

5.5 物理安全与现场检测费

现场工程师交通、住宿、差旅费实报实销（按客户城市差旅标准），通常预估为2,000-6,000元/次。机房内部检测需额外购买保险（每次100-300元）。

5.6 紧急响应与回归测试费

高危漏洞修复后的回归测试：按原检测费用20%-30%收取，最低1,500元。加急报告（标准5个工作日缩短至2个工作日）增收30%加急费。

5.7 证书及报告公证费

CMA报告需加盖检验检测专用章，每份报告免费提供3份纸质版；额外增加纸质版每份50元。如需提供英文翻译版，额外收费800-1,500元。电子报告PDF加盖时间戳（国密SM3）费用100元/份。

5.8 其他政策性费用

根据地方质量技术监督局规定，部分省份收取检测机构备案费（已包含在基础服务费中，不单独向客户收取）。发票税费：增值税专用发票税率6%由客户承担（若需）。