信息系统上线前应该做哪些安全检测？

网络上没有绝对的安全，我们能做的，就是采取一些措施尽可能确保系统和网络安全，比如：

漏洞扫描

漏洞扫描是指基于漏洞数据库，通过扫描等手段，对信息系统的安全脆弱性进行检测，以发现可利用的漏洞，然后通过人工方式，对检测结果进行校验，进一步确认结果的准确性，并提出修复建议，以便消除信息系统潜在安全风险和安全隐患。

渗透测试

安全检测中的渗透测试一般采用灰盒的测试手段。测试人员需要对被测系统的基本情况有一定了解，并具备一定的访问权限，以便能够在限定时间内尽可能多地挖掘被测系统潜在漏洞。常见的渗透测试对象包括：B/S、C/S架构信息系统，以及移动应用、公众号、小程序等。渗透测试主要检测项包括：Web安全、中间件安全、服务端安全、传输安全、存储安全、移动端安全、小程序安全、接口安全、认证安全及企业漏洞清单。部分Web安全检测项包括：跨站脚本攻击（XSS）、源代码泄露、URL重定向、跨站点伪造请求（CSRF）、信息泄露、JSON劫持、服务器端请求伪造（SSRF）、绝对路径泄露、不安全的第三方组件、文件上传、SQL注入、文件包含、文件下载或读取、XML外部实体注入（XXE）、FLASH跨域、文件删除、CRLF注入、HTML表单无CSRF保护漏洞、目录遍历、命令执行、明文传输、弱加密、Http Only检测、X-Frame-Options Header检测、X-ForwardedF o r伪造、X-XSS-Protection检测、不安全的HTTP-method等。

源代码检测

通过源代码分析工具，对信息系统的源代码及软件架构的安全性、可靠性进行全面的安全检查，以充分挖掘当前源代码中存在的安全缺陷及规范性缺陷，从而发现系统源代码中存在的安全缺陷。采用人工测试等技术手段进行漏洞验证，指导开发人员正确修复程序缺陷。

源代码检测主要检测项包括：输入验证、输出编码、I/O操作、传输安全、环境组件、密码安全、安全验证、会话安全、访问控制、日志安全、敏感信息、接口安全、支付安全、数据库、异常处理以及其他专项。

安全基线核查

通过核查工具、人工检查等手段，对承载信息系统运行环境的资源配置进行检查，包括但不限于操作系统、基础软件、中间件、数据库、网络及安全设备等。对可能存在的薄弱环节以及脆弱性进行识别、分析、检验，以消除和降低风险隐患，防范因配置缺失、错误等问题导致的安全事件，避免系统脆弱性被非法利用，增强系统安全防范能力，保障业务的可持续性。

安全功能检测

通过对信息系统管理人员进行访谈和对测试对象（如应用软件系统、基础设施、管理标准、开发设计文档）进行观察、验证、分析，以确认测试对象符合等级保护、所属行业及企业相关信息安全功能要求。安全功能检测多以访谈、调查问卷并结合人工测试验证为主，主要内容包括身份认证、访问控制、安全审计、入侵防范、恶意代码防范和数据备份恢复等。

业务安全分析

业务安全分析主要通过对信息系统的建设需求、承载业务和功能设计进行梳理，掌握系统用户群体和业务数据类型，分析研判系统用户访问控制策略和数据保护措施。业务安全分析主要内容包括：业务逻辑、业务权限、验证机制、会话安全、容灾备份、数据安全、个人信息、用户信息、日志信息、支付安全和接口安全。同时，还要掌握系统与其他业务系统，以及系统自身各功能组件之间的通信和功能调用关系，分析研判端口开放和数据传输的安全策略，从而挖掘业务逻辑上可能存在的安全缺陷和漏洞。