检测项目

1.漏洞扫描：基于CVE漏洞库比对系统组件版本号（如OpenSSL≤3.0.7），CVSS评分≥7.0的高危漏洞识别

2.渗透测试：模拟APT攻击路径验证（含OWASPTop10攻击向量），成功率阈值设定≤15%

3.数据加密强度：验证TLS协议版本≥1.2，密钥交换算法排除RSA-1024/DH-512

4.访问控制审计：RBAC权限矩阵验证（最小权限原则），会话超时≤15分钟

5.日志完整性监测：Syslog存储周期≥180天，时间戳误差≤500ms

检测范围

1.网络基础设施：路由器（CiscoISR4000系列）、防火墙（FortiGate600E）策略配置

2.Web应用系统：Java/PHP框架版本（Spring≥5.3.18,ThinkPHP≥6.0.12）

3.数据库集群：Oracle19c补丁级别≥RU2022-04,MySQL≥8.0.28

4.工业控制系统：ModbusTCP协议实现合规性（IEC62443-3-3）

5.物联网终端：智能摄像头固件签名验证（SHA-256摘要比对）

检测方法

1.ISO/IEC27001:2022附录A控制项符合性验证（含A.12.6技术漏洞管理）

2.GB/T22239-2019《网络安全等级保护基本要求》三级系统测评规范

3.ASTME2924-14网络威胁情报框架的战术级指标映射

4.ISO/IEC15408:2008CC标准EAL4+评估保障级测试

5.GB/T32919-2016《信息安全技术工业控制系统安全控制应用指南》

检测设备

1.TenableNessusProfessionalv10.5：支持SCAP协议的自动化漏洞扫描平台

2.Rapid7MetasploitProv6.1：模块化渗透测试框架（含658个Exploit模块）

3.Wireshark3.6.0：支持TLS1.3协议解析的网络流量分析系统

4.CellebriteUFEDPremium：物联网设备固件提取与逆向工程工具

5.FortifyWebInspectv22.1：动态应用安全测试(DAST)平台

6.KeysightNTA4132A：支持40Gbps线速的深度包检测设备

7.Rohde&SchwarzCMW500：无线通信协议栈安全测试仪

8.FlukeNetworksOptiViewXG：网络拓扑发现与配置合规检查仪

9.SpirentCyberFlood：DDoS攻击模拟与防御效能验证平台

10.HCLAppScanStandardv10.2：静态代码分析(SAST)工具

北检(北京)检测技术研究院【简称：北检院】

报告：可出具第三方检测报告(电子版/纸质版)。

检测周期：7~15工作日，可加急。

资质：旗下实验室可出具CMA/CNAS资质报告。

标准测试：严格按国标/行标/企标/国际标准检测。

非标测试：支持定制化试验方案。

售后：报告终身可查，工程师1v1服务。

　　以上是与网络风险评估检测相关的简单介绍，具体试验/检测周期、检测方法和仪器选择会根据具体的检测要求和标准而有所不同。北检研究院将根据客户需求合理的制定试验方案。