对信息系统实行全生命周期管理。信息系统上线准入安全检查是生命周期管理的重要环节。信息系统上线准入安全检查的主要手段是渗透测试。用于确保信息系统不带病上岗,提升服役信息系统整体建设质量。
渗透性测试是一种整体防御层面的评测手段,根据已掌握的安全漏洞,模拟黑客攻击方法,对信息系统进行非破坏性的攻击性测试,用来发现信息系统防御体系漏洞的一种常用方法。渗透性测试的目的在于充分挖掘和暴露信息系统的弱点,从而了解信息系统所面临的威胁。
渗透测试的目的在于发现分析并验证信息系统存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、权限漏洞、跨站脚本漏洞及弱口令等安全隐患,评估系统抗攻击能力,提出安全加固建议。人工渗透除了满足政策的合规性要求,还使得信息系统的管理人员了解入侵者可能利用的途径,直观的了解系统真实的安全强度,主动发现安全问题并在第一时间完成有效防护,让攻击者无隙可钻,进而避免由于网络黑客攻击造成重大损失。
上线检测通过技术手段开展完备的检查评测工作,检测信息系统是否具有足够安全保障措施,研判信息系统是否具备上线运行的条件,使得信息安全工作能够居安思危、防患于未然。我校建设并执行制度化的信息系统上线检测并长期坚持,能有有效提升全校信息化建设的安全防护水平,从源头降低风险的发生概率。