系统上线前真的有必要做安全评估吗？

随着信息技术的飞速发展，安全问题逐渐成为目前影响和制约网络应用发展的一个重要因素。传统的信息安全评估服务多在应用系统生命周期的运维阶段开展，对于评估发现的安全隐患，特别是代码问题很难整改，在整改过程中也易导致系统运行故障。

大量用户在自主开发应用系统或委托开发应用系统时，更多的是从业务功能实现和性能方面对应用系统进行验收，缺乏相应的技术手段和能力对交付的应用系统的安全状况进行检验。如果应用系统在上线后由于存在类似SQL注入、密码明文传输、安全功能缺失等漏洞而遭受攻击，会直接影响正常业务运行，甚至造成经济和名誉的损失，再加上有些漏洞涉及代码改写，考虑到业务连续性的要求，这些漏洞几乎无法得到修复。

因此，用户需要一种能够在系统上线前对系统安全状况进行检验的服务，从信息安全的角度对应用系统、集成环境等内容的安全状况进行评估，对发现的问题进行妥善处理，避免将影响系统安全的问题遗留到系统上线后，成为系统安全的隐患。

针对上述需求，天磊卫士自有一套系统上线前安全评估手段，通过针对集成环境的安全漏洞扫描、安全配置检查，针对应用系统的渗透测试、代码审计以及针对应用系统的安全功能审核等三方面五项技术措施，对应用系统的安全状况进行评估。做系统上线前安全评估不仅能够保证集成环境的安全，避免操作系统和数据库缺失安全补丁，存在不当的安全策略以及开启不安全的服务，也能对应用系统的安全状况进行检查，而且从业务功能逻辑上，对应用系统的安全功能进行检查，避免应用系统在安全功能上的缺失。

一、什么是系统上线前安全评估？

系统上线前安全评估是针对应用系统（业务系统）正式投入生产运行之前，利用大量安全性行业经验和先进安全技术相结合的综合分析和评价的一种手段。该手段是天磊卫士为