每家企業(yè)為了業(yè)務(wù)發(fā)展，少不了應(yīng)用信息系統(tǒng)。不論是自身企業(yè)使用，還是開(kāi)發(fā)交付給客戶，在考慮到給用戶帶來(lái)價(jià)值、給自身帶來(lái)收益的同時(shí)，還應(yīng)注意到系統(tǒng)的安全性。

開(kāi)發(fā)一個(gè)新信息系統(tǒng)的最后一步，即最重要的一步：對(duì)系統(tǒng)進(jìn)行安全檢測(cè)。簡(jiǎn)單來(lái)說(shuō)，就是信息系統(tǒng)在接入互聯(lián)網(wǎng)之前進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，提前確定系統(tǒng)的網(wǎng)絡(luò)安全漏洞情況，是否存在威脅，是否符合入網(wǎng)安全評(píng)估的測(cè)評(píng)標(biāo)準(zhǔn)以及網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)的標(biāo)準(zhǔn)。

大量用戶在自主開(kāi)發(fā)應(yīng)用系統(tǒng)或委托開(kāi)發(fā)應(yīng)用系統(tǒng)時(shí)，更多的是從業(yè)務(wù)功能實(shí)現(xiàn)和性能方面對(duì)應(yīng)用系統(tǒng)進(jìn)行驗(yàn)收，缺乏相應(yīng)的技術(shù)手段和能力對(duì)交付的應(yīng)用系統(tǒng)的安全狀況進(jìn)行檢驗(yàn)。如果應(yīng)用系統(tǒng)在上線后由于存在類似SQL注入、密碼明文傳輸、安全功能缺失等漏洞而遭受攻擊，會(huì)直接影響正常業(yè)務(wù)運(yùn)行，甚至造成經(jīng)濟(jì)和名譽(yù)的損失，再加上有些漏洞涉及代碼改寫，考慮到業(yè)務(wù)連續(xù)性的要求，這些漏洞的修復(fù)成本和代價(jià)將極大增加，甚至超出企業(yè)的承受能力。

因此，大多數(shù)用戶需要借助第三方資源在系統(tǒng)上線前對(duì)系統(tǒng)安全狀況進(jìn)行檢驗(yàn)，從信息安全的角度對(duì)應(yīng)用系統(tǒng)、集成環(huán)境等內(nèi)容的安全狀況進(jìn)行評(píng)估，對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行妥善處理，避免將一些安全問(wèn)題遺留到系統(tǒng)上線后，成為潛在的安全隱患。

系統(tǒng)入網(wǎng)前安全評(píng)估針對(duì)的是應(yīng)用系統(tǒng)，包括物理環(huán)境、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用軟件、代碼程序和數(shù)據(jù)等。該評(píng)估工作實(shí)施時(shí)間建議是在應(yīng)用系統(tǒng)完成編碼與測(cè)試階段，部署至生產(chǎn)環(huán)境后，正式發(fā)布前。

評(píng)估范圍

軟件開(kāi)發(fā)商在交付項(xiàng)目時(shí)，往往會(huì)被用戶要求出具系統(tǒng)安全評(píng)估報(bào)告，不然難以通過(guò)驗(yàn)收。正因?yàn)榫W(wǎng)絡(luò)安全的加大監(jiān)管，系統(tǒng)安全才得以重視，這給開(kāi)發(fā)商無(wú)疑又增加了一項(xiàng)成本，但如果不顧及系統(tǒng)的安全性，出了安全問(wèn)題，將面臨更多損失。開(kāi)展系統(tǒng)上線前安全評(píng)估，以確保應(yīng)用系統(tǒng)部署到網(wǎng)絡(luò)環(huán)境中不存在中、高危風(fēng)險(xiǎn)漏洞，保證其系統(tǒng)的運(yùn)行不對(duì)現(xiàn)有網(wǎng)絡(luò)造成安全威脅。