系统安全测评包括哪些项目

系统安全测评包括以下这些项目：

• 信息安全性风险评估：安全性风险评估是一项目标明确的项目，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价。风险评估贯穿于信息系统生命周期的各阶段中。风险评估可以明确信息系统的安全现状，确定信息系统的主要安全风险，是信息系统安全技术体系与管理体系建设的基础。

• 代码审计：代码审计是一种以发现程序错误，安全漏洞和违反程序规范为目标的源代码分析。通过分析代码发现计算机漏洞，安全隐患等等，是普通的安全测试所检测不到的。只有在危机到来之前，找到病毒或者黑客可以进入的漏洞，防患于未然。

• 渗透测试：测试计算机系统、网络或Web应用程序以发现攻击者可能利用的安全漏洞的实践。渗透测试可以通过软件应用自动化或手动执行。选择不影响业务系统正常运行的模拟攻击方法，对主机操作系统、数据库系统、应用系统、网络设备进行渗透测试，评估计算机网络系统安全。

• 基线检查：使用基线检查功能可自动检测服务器上的系统、账号、数据库、弱密码、合规性配置中存在的风险点，并提供加固建议。 在业务系统的设备入网，业务上线，日常运维、定期巡检和设备下线整个生命周期的各个环节，检查包括操作系统、网络设备、数据库、中间件在内的所有类型的设备与系统的安全配置是否达到最基本防护能力要求的基线。

• 软件安全测评：通过代码审计、配置验证、人工验证的方式，发现恶意代码威胁（木马）、应用程序中的隐蔽功能威胁、隐蔽通道和安全漏洞/后门威胁、特殊功能和特定服务中的威胁以及针对相关基础设施的威胁和针对数据内容的其他攻击威胁，软件安全检测与评估。