检测项目
1.静态代码分析:代码复杂度(圈复杂度≥20)、未声明变量、硬编码凭证(密码/密钥)、SQL注入风险点(正则表达式匹配率≥95%)2.动态行为监测:内存泄漏阈值(≤5MB/小时)、异常API调用频率(≥50次/秒)、非法文件访问行为(日志记录完整性≥99%)3.加密算法验证:AES-256密钥强度测试(随机性熵值≥7.9)、RSA密钥长度合规性(≥2048位)、哈希碰撞概率(SHA-3抗碰撞性≤2^-128)4.权限控制审计:角色越权访问测试(覆盖率100%)、会话令牌有效期(≤30分钟)、多因素认证强度(生物识别误识率≤0.01%)5.漏洞扫描:CVE漏洞库匹配(更新周期≤24小时)、OWASPTOP10漏洞检出率(≥98%)、缓冲区溢出攻击模拟(载荷深度≥8层)
检测范围
1.嵌入式系统固件:汽车ECU控制代码、工业PLC逻辑程序2.Web应用服务端脚本:Java/Python/PHP后端业务逻辑模块3.移动端应用程序:AndroidAPK逆向工程分析、iOS越权数据访问路径4.数据库操作组件:SQL查询语句注入点、NoSQL查询参数过滤机制5.金融交易系统:支付网关加密协议、区块链智能合约执行沙盒
检测方法
1.ISO/IEC15408(CC):安全功能需求验证(ALC_FLR.2缺陷修复流程)2.GB/T34944-2017:密码模块安全技术要求(物理防拆机制测试)3.ASTME2813-18:静态分析工具精度验证(误报率≤5%)4.ISO/IEC27034-1:应用安全生命周期管理(威胁建模覆盖率≥90%)5.GB/T30276-2020:网络安全漏洞分类分级(CVSSv3.1评分≥7.0高危漏洞)
检测设备
1.FortifyStaticCodeAnalyzerv22.0:多语言静态分析引擎(支持C/C++/Java跨平台扫描)2.VeracryptFIPS140-2验证模块:加密算法自检功能(实时监控密钥生成过程)3.NessusProfessionalScanner:漏洞库同步系统(含135,000+漏洞特征库)4.IDAPro8.3反汇编平台:二进制代码流图生成(支持x86/ARM架构指令追踪)5.BurpSuiteEnterpriseEdition:Web应用渗透测试工具(自动化CSRF/XSS攻击模拟)6.Wireshark4.0.8协议分析仪:TLS1.3握手过程解密(预主密钥捕获精度0.1ms)7.MetasploitFramework6.2:漏洞利用载荷生成器(Payload编码变异率≥85%)8.CheckmarxCxSASTv9.6:数据流污点追踪引擎(跨函数调用链深度≥15层)9.Ghidra11.0逆向工程平台:反编译伪代码重构(变量类型推断准确率≥92%)10.QualysCloudPlatform:容器镜像扫描系统(Dockerfile指令集合规性检查)
北京中科光析科学技术研究所【简称:中析研究所】
报告:可出具第三方检测报告(电子版/纸质版)。
检测周期:7~15工作日,可加急。
资质:旗下实验室可出具CMA/CNAS资质报告。
标准测试:严格按国标/行标/企标/国际标准检测。
非标测试:支持定制化试验方案。
售后:报告终身可查,工程师1v1服务。
