工业软件和工业互联网

面向工业软件厂商、用户单位，开展工业软件安全评估，帮助发现工业软件可能存在的高危、中危、低危漏洞，常见漏洞如SQL注入、跨脚本注入、后门、缓存溢出等，为客户提供权威、科学、公正、严谨、客观的测试结果和测试报告，提高安全防护能力。

需求概况

随着工业互联网、云计算、大数据、移动互联网等新技术的发展，工业软件云化、APP化发展趋势逐渐明显，工业软件产品的安全问题亦成为关注点。在工业软件开发生命周期的各个阶段都可能引入安全缺陷，因此需要开展工业软件安全评估，包括代码安全、数据安全、应用安全等，全面发现并修复工业软件中可能存在的安全漏洞、后门、木马等安全缺陷，增强需求侧企业对工业软件企业和产品服务的信任，保护用户数据安全和生产安全，维护用户利益。

应用场景

l  合规场景：主管部门要求开展安全评估，满足合规要求

l  业务场景：系统上线前开展安全评估，检验系统安全防护能力，防止系统“带病”运行

l  事件场景：对在用系统开展安全评估，主动发现安全风险，降低被攻击以及数据泄露的风险

服务内容

l  代码安全扫描

l  漏洞扫描

l  渗透测试

l  上线前安全测评

l  信息安全风险评估

l  安全配置检查

服务价值

l  发现工业软件产品潜在安全缺陷，避免数据泄露，提高产品安全防护能力

l  为工业软件供给侧企业产品宣传推广提供证明

l  增强工业软件用户侧企业信心，为其采购和选型有安全保障的工业软件产品提供依据

服务优势

l  单位性质：工信部直属机构，国家事业单位

l  资质全面：
中国合格评定国家认可委员会（CNAS）认可检验机构
检验检测机构资质认定（CMA）
工业软件工程化与应用技术工业和信息化部重点实验室
基础软硬件性能与可靠性测评工业和信息化部重点实验室
工业和信息化部赛宝软件评测中心
广东省质量监督软件产品检验站
广东省“互联网 +”软件质量工程技术研究中心
工业控制系统信息安全防护能力评估机构

典型案例

受某企业委托，对其开发的某工业软件开展代码安全性审查，代码行数超过5万行，开发语言包括TypeScript、JavaScript、HTML、Python，发现5条高危漏洞，包括Reflected XSS、Unsafe Deserialization、Path Traversal等漏洞类型，并提出针对性的修复措施和安全建议，保障工业软件的安全稳定运行。