上海看雪科技有限公司近日获得中国网络安全审查技术与认证中心（CCRC，原中国信息安全认证中心）信息安全服务资质认证证书。

该证书证明了上海看雪科技有限公司的信息安全风险评估服务资质符合CCRC-ISV-C01:2018《信息安全服务规范》三级服务资质要求。上海看雪科技也将为广大有需求的企业提供更好的信息安全风险评估服务，为信息安全保障工作继续努力！

随着我国信息化和信息安全保障工作的不断深入推进，以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

中国网络安全审查技术与认证中心（CCRC，原中国信息安全认证中心）是依据《国家网络安全法》和国家有关强制性产品认证、网络安全管理法规，负责实施网络安全审查和认证的专门机构，为国家市场监督管理总局直属事业单位，系第三方公正机构和法人实体。

信息安全风险评估是信息安全保障的基础性工作和重要环节，贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全整改措施，防范和消除信息安全风险，或将风险控制在可接受的水平，为网络和信息安全保障提供科学依据。

信息安全风险评估服务资质级别是衡量服务提供者服务能力的尺度。风险评估服务提供方的服务能力主要从以下四个方面体现：

• 基本资格、服务管理能力、服务技术能力和服务过程能力；

• 服务人员的能力主要从掌握的知识、风险评估服务的经验等综合评定。

• 对服务提供方的背景审查主要指客户投诉、违法违纪行为等；

• 服务人员的背景审查主要指行业主管部门或使用单位对从事风险评估服务的人员进行必要的审查。

对客户提供的域名与IP列表范围进行网站进行模拟攻击，并结合智能工具扫描结果，由高级工程师进行深入的手工测试 和分析，识别工具弱点扫描无法发现的问题。主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误等以及其他专项内容测试与分析。

根据测试结果，将按漏洞类型进行如下分类：

漏洞主要分为高、中、低三类级别：

1、  高危漏洞

直接可以获取数据库、服务器权限或者其他严重危害服务器安全的业务逻辑漏洞，包括但不限于sql注入、上传webshell、任意远程命令执行、任意账号密码重置等漏洞。

2、  中危漏洞

可以导致服务器数据泄露以及破坏服务器逻辑的漏洞，包括但不限于敏感信息泄露、下载WEB服务源代码、后台弱口令、越权编辑他人信息、存储型XSS等漏洞。

3、  低危漏洞

存在一定风险，但需要配合特别的场景需要进一步利用才能造成危害的漏洞。包括但不限于反射型XSS等漏洞。

包括但不限于app登录测试、app本地存储测试、app SQL注入测试、app网络交互测试、appweb view测试、app activity测试、app servicec测试。

根据测试结果，将按漏洞类型进行如下分类：

1、 高危漏洞

直接获取权限的漏洞（服务器权限、移动app客户端权限）。包括但不限于远程任意命令执行、远程任意代码执行、严重信息泄露漏洞。

2、  中危漏洞

导致移动app客户端敏感信息泄露或者安全逻辑被破坏的漏洞，包括但不限于敏感调试信息泄露，加密信息被破解、app被脱壳等漏洞。

3、  低危漏洞

导致移动app客户端一般信息泄露或可造成本地拒绝服务的漏洞等。

根据测试结果，将按漏洞类型进行如下分类：

1、 高危漏洞

直接获取权限的漏洞（服务器权限、PC客户端权限）。包括但不限于远程任意命令执行、远程任意代码执行、严重信息泄露等漏洞。

2、 中危漏洞

导致PC客户端敏感信息泄露或造成客户端本地权限提升的漏洞，包括但不限于客户端账号密码泄露、可利用的本地任意代码或命令执行、DLL劫持等漏洞。

3、 低危漏洞

PC客户端拒绝服务等漏洞。

实际测试过程中，平台会根据实际情况，根据厂商重点关注的业务，根据各漏洞产生的实际危害程度，和厂商进行沟通协商进行综合评级，最终确定漏洞的危害级别。

https://qifu.kanxue.com/