山西省商用密码应用安全性评估、信息安全风险评估、信息系统安全等级保护测评、信息系统安全等级保护备案

山西省网络安全等级保护测评、商用密码应用安全性评估、信息安全风险评估、信息系统安全等级保护测评、信息系统安全等级保护备案咨询

现场测评活动 7.1 现场测评活动的工作流程 现场测评活动的目标是通过与被测单位进行沟通和协调，依据密评方案实施现场测评工作，获取分析与报告编制活动所需且足够的证据和资料。现场测评活动包括三项主要任务：现场测评准备、现场测评和结果记录、结果确认和资料归还。 7.2 现场测评活动的主要任务 7.2.1 现场测评准备 本任务启动现场测评，以保证测评方能够顺利实施测评。 ——输入：现场测评授权书，经过评审和确认的密评方案，风险告知书等。 任务描述： a) 召开测评现场首次会，测评方介绍测评工作，进一步明确测评计划和方案中的内容，说明测评过程中具体实施的工作内容、测评时间安排、测评过程中可能存在的安全风险等。 b) 测评方与被测单位确认现场测评所需的各种资源，包括被测单位的配合人员和需要提供的测评条件等，确认被测信息系统已备份过系统及数据。 c) 被测单位签署现场测评授权书和风险告知书。 d) 密评人员根据会议沟通结果，对测评结果记录表单和测评程序进行必要的更新。 ——输出：会议记录，更新确认后的密评方案，确认的测评授权书和风险告知书等。 7.2.2 现场测评和结果记录 本任务主要是根据密评方案及现场测评准备的结果，测评方安排密评人员在现场完成测评工作。 ——输入：更新确认后的密评方案，测评结果记录表格，各种与被测信息系统相关的技术资料。 任务描述： a) 测评方安排密评人员在约定的测评时间，通过与被测信息系统有关人员（个人/群体）的访谈、文档审查、实地察看，以及在测评检查点进行配置检查和工具测试等方式，测评被测信息系统是否达到了相应等级的要求。 b) 对于已经取得相应证书的密码产品，测评时不对其本身进行重复检测，主要进行符合性核验和配置检查，对于存在符合性疑问的，可联系密码产品审批部门或相应的检测认证机构加以核实。 c) 进行配置检查时，根据被测单位出具的商用密码产品认证证书（复印件）、安全策略文档或用户手册等，首先确认实际部署的密码产品与声称情况的一致性，然后查看配置的正确性，并记录相关证据。如果存在不明确的问题，可由被测单位通知密码产品厂商现场提供证据（如密码产品送检文档等）。 d) 进行工具测试时，需根据被测信息系统的实际情况选择测试工具，在配置检查无法提供有力证据的情况下，应通过工具测试的方法抓取并分析被测信息系统相关数据。以下列出了数据采集和分析的几种方式： 1) 需要重点采集被测信息系统与外界通信的数据以及被测信息系统内部传输和存储的数据，分析使用的密码算法、密码协议、关键数据结构（如数字证书格式）是否合规，检查传输的口令、用户隐私数据等重要数据是否进行了保护（如对密文进行随机性检测、查看关键字段是否以明文出现），验证杂凑值和签名值是否正确；在条件允许的情况下，可以重放采集的关键数据（如身份鉴别数据）验证被测信息系统是否具备防重放攻击的能力，或者修改传输的数据验证被测信息系统是否对传输数据进行了完整性保护。 2) 为了验证密码产品是否被正确、有效地使用，可采集密码产品和其调用者之间的通信数据，通过采集的密码产品调用指令和响应报文，分析密码产品的调用是否符合预期（比如密码计算请求是否实时发起，数据内容和长度是否符合逻辑）；若无法在密码产品和调用者之间接入测试工具（比如密码产品是软件密码模块）、且被测信息系统无法提供源代码等有关证据的情况下，可通过逆向分析等方法对被测信息系统应用程序进行逆向分析，探究应用程序内部组成结构及工作原理，核查应用程序调用密码功能的合理性。 3) 在不影响被测信息系统正常运行的情况下，探测IPSec VPN 和SSL VPN 等密码协议所对应的特定端口服务是否开启，利用漏洞扫描、渗透测试等工具对被测信息系统进行分析，查看被测信息系统是否存在与密码相关的安全漏洞。 e) 密评人员根据现场测评结果填写完成测评结果记录表格。 ——输出：各类测评结果记录。 7.2.3 结果确认和资料归还 ——输入：测评结果记录，工具测试完成后的电子输出记录。 任务描述： a) 密评人员在现场测评完成之后，应首先汇总现场测评的测评记录，对遗漏和需要进一步验证的内容实施补充测评。 b) 召开测评现场结束会，测评方与被测单位对测评过程中得到各类测评结果记录进行现场沟通和确认。 c) 测评方归还测评过程中借阅的所有文档资料，将测评现场环境恢复至测评前状态，并由被测单位文档资料提供者签字确认。 ——输出：经过被测单位确认的各类测评结果记录。 7.3 现场测评活动的输出文档 现场测评活动的输出文档及其内容如表3所示： 表3 现场测评活动的输出文档及其内容

任务 输出文档 文档内容 现场测评准备 会议记录、更新确认后的密评方案、确认的测评授权书和风险告知书等 工作计划和内容安排、双方人员的协调、被测单位应提供的配合与支持 现场测评和结果记录 各类测评结果记录 访谈、文档审查、实地察看和配置检查、工具测试的记录及测评结果 测评结果确认和资料归还 经过被测单位确认的各类测评结果记录 测评活动中发现的问题、问题的证据和证据源、每项测评活动中被测单位配合人员的书面认可文件

服务区域：广东省、广州(天河、萝岗开发区、黄埔开发区、南沙新区、番禺、花都、从化、增城、越秀、白云）、珠海市、中山市、江门市、佛山市、惠州市、东莞市、深圳市、肇庆市、云浮市、茂名市、湛江市、清远市、韶关市、梅州市、汕头市、潮州市、河源市、揭阳市、阳江市

全国各省、市、自治区：广东省、海南省、福建省、湖南省、四川省、重庆市、贵州省、云南省、广西壮族自治区、湖北省、河南省、山东省、河北省、陕西省、山西省、浙江省、江苏省、辽宁省、黑龙江省、吉林省、上海市、天津市、北京市、甘肃省、西藏自治区、安徽省、青海省、宁夏回族自治区、内蒙古自治区、新疆维吾尔族自治区

WX:一三三+++++四二捌伍++++++二伍一捌
本公司拥有通用航空企业经营许可（即民用无人驾驶航空器经许可）：航空摄影、空中巡查、空中拍照、无人机测绘、空中广告、表演飞行等范围
无人机服务及相关业务：通用航空经营许可（即原来的：民用无人驾驶航空器经营许可、道路运输经营许可、AOPA无人机多旋翼驾驶员培训、无人机研发生产销售、无人机合作办学、无人机实训室建设、无人机集群表演（编队新款表演飞行秀 可支持定制3D无人机集群灯光秀）、无人机航拍,

主要服务咨询项目为软件产品测试咨询、电子产品检测咨询、软件第三方验收测试咨询、科技项目验收测试咨询、软件安全检查、代码审计、安全测试、信息系统第三方检测咨询、集成电路检测咨询、芯片检测咨询、IC检测咨询、信息化项目技术绩效评估(网站或系统绩效评估）咨询、政务信息化项目效能评估咨询、信息系统安全等级保护备案咨询、信息系统安全等保报告咨询、网络安全等保测评咨询、信息系统安全等级保护测评咨询、信息安全风险评估咨询、密码测评咨询、商用密码测评咨询、商用密码应用安全性评估咨询、商用密码应用安全测评咨询、密码应用安全性评估报告咨询、数字新基建项目第三方测试(5G建设、特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩、大数据中心、人工智能、工业互联网)咨询、广东省守合同重企业、民用无人驾驶航空器经营证、信息系统建设和服务能力评估CS、信息系统服务交付能力评估CCID、计算机信息系统安全服务证、信息系统集成及服务资质、信息系统运维资质、音视频系统集成资质、安防系统集成资质、音视频集成工程企业资质、信息化能力评价、EDI/ICP安全防护检测、广东省安全技术防范系统设计、施工与维修证、广东省有线广播电视工程设计（安装）证、广东省防雷工程企业能力评价、软件过程及能力成熟度评估CMMI、涉密信息系统集成资质、数据管理能力成熟度评估模型DCMM、信息技术服务运行维护标准ITSS、信息安全服务资质CCRC、科技成果评价、科技成果登记、科技成果登记合作（即挂名）、科学技术奖申请、专利合作申请（即挂名）、国家高新技术企业认证、双软认定、动漫企业认定、技术合同登记、知识产权服务、发明专利加急、集成电路布图专有权登记、计算机软件著作权登记、软件检测报告（软件项目验收鉴定报告）、工商注册、代理记账、创业补助申请等服务领域。
如有计划办的企业，可协助解决企业人员问题，可咨询我们，v---x：133----四二捌五----2518