主机安全扫描、应用安全扫描、源代码安全扫描、等级保护测评、信息系统测试、软件安全测评报告

不同的信息系统或者软件安全测评服务的内容不同，常见的系统安全测评服务内容包括：

(1)主机安全扫描服务

依据委托方方或者合同附件，参考信息安全相关要求，对应用涉及的主机展开安全扫描，并给出相应整改建议。

(2)应用安全扫描服务

依据委托方要求或者合同附件，参考信息安全相关要求，对系统应用安全进行测试，分析应用安全漏洞，并给出相应整改建议。

(3)安全基线配置核查服务

根据客户工作需求及标准等文件的要求，对客户系统和设备等进行全面的安全配置核查和分析，包括：主机安全检查、数据库安全检查、中间件安全检查、网络/安全设备检查等发现配置的不合规项，并结合行业实际需求提出系统整改建议，输出报告。

(4)源代码安全扫描服务

对用户提供的源代码进行安全扫描，检测 OWASP、CWE、PCI 等国际组织定义的软件安全漏洞，包括跨站脚本攻击、SQL 注入、资源泄漏、命令注入、缓冲区溢出等，并给出相应整改建议。

(5)等级保护测评服务

根据单位要求，协助业务单位，依据《信息安全技术 信息系统安全等级保护定级指南》(GB/T22240-2008)的要求，对系统进行信息系统安全等级保护定级（），确定业务信息安全保护等级，确定系统服务安全保护等级，并提供拥有国家信息系统安全等级保护测评机构进行测试、出具系统安全保护等级测评报告，提出可行性整改方案并协助整改。

软件安全检测的政策法规：

《网络安全法》

《网络产品和服务安全审查办法（试行）》

《信息系统安全检查办法》（ 〔2009〕28 号）

《办公厅关于开展重点领域网络与信息安全检查行动的通知 》（国办函〔2012〕102 号）

依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价。评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。风险评估贯穿于信息系统生命周期的各阶段中。

软件安全性测试：

安全性测试是测试软件系统防止非法入侵的能力，及系统有无漏洞。