业务范围：

1）电子政务系统评测及验收服务

检测内容包含：信息化工程建设方案评估、信息化工程项目验收测试、信息化工程项目符合性验收。通过该服务，保证项目符合国家法律法规和有关政策的要求，制止建设过程中的随意性、盲目性和欺骗性，促使系统建设过程、造价、进度、质量按合同实现，确保项目实施的合法性、科学性和经济性。同时，确保信息化项目与建设单位的建设需求一致，为信息化建设项目质量提供保障。

2）软件测试服务

检测内容包含：软件产品登记测试、验收测试、软件产品确认测试、科技项目验收测试、科技成果鉴定测试、高质量产品认定测试、软件产品性能优化测试、软件产品专项测试、APP手机端测试。

3）信息安全测评服务

检测内容包含：信息安全风险评估，渗透测评，漏洞扫描，系统、设备、应用、源代码安全审计评估，等保测评（针对系统运行环境开展的测评），国密测评（针对系统密码/加密的设计和应用开展的，目标是保护系统内的数据资产）等。

业务介绍：

信息系统工程测试（财政信息化项目验收）​​​​​​​​​​​

依据GB/T 25000.51-2016和GB/T 25000.10-2016及国家相关法律法规、标准和行业规范，对政府、大型企业信息化建设进行科学、客观、严谨的全生命周期的项目监控、测试、验收，确保信息化工程建设单位的建设需求一致。

 l验收测试验收测试

依据信息化建设项目招标文件、投标文件、项目合同书、用户确认需求说明书以及国家相关法律法规、标准和行业规范等对信息化建设系统的功能性、易用性、可靠性、可维护性、效率等特性进行严格的测试，为信息化建设系统进行验收提供依据，对测试中发现的缺陷和不足，提供修改意见，完善项目建设内容。

 l回归测试

对未通过信息化测试的项目，在信息化承建单位修改后再次对系统进行重新测试工作，以验证原来存在的问题已修改，同时确认所做的修改没有引入新的缺陷和不足。

 l文档审核文档审核

对信息化工程建设项目中的相关文档（招标文件、投标文件、需求说明书、概要设计、详细设计等）进行审核，并提出修改意见，便于信息系统的使用和后期维护工作。

软件产品登记测试（软件产品增值税减免、软件企业认定、所得税减免；研发费用加计扣除）

依据国家标准GB/T25000.51-2016《系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》对送检产品的功能性和产品化程度进行符合性测试。

    软件产品登记测试是取得国家软件产业在税收方面享受减免的优惠政策的材料之一，对软件产品进行检测并具相应的软件产品登记测试报告。目前主要应用于《软件产品登记退税》、《软件企业两免三减半退税》、《高新技术产品认定》、《软件产品鉴定》、《软件企业鉴定》及企业相关税收优惠政策。

l 软件产品登记测试报告

测试内容：适应性、功能性、易用性、可靠性、用户文档和病毒检查。

适用客户：软件企业、计算机系统集成企业或与之相关IT企业。

软件产品登记测试的好处：能知晓软件的病毒、可靠性、易用性等性能，是软件产品登记的法定必经程序。

l 软件产品登记测试所需资料

1）软件产品安装介质： 软件压缩包、软件光盘、远程登录

2）产品说明书1套（电子版）

3）测试所需的申请表

l 优势

我们是广东省软件行业协会、广州市软件行业协议的合作测试机构，同时也是符合中国认可委要求的认定检测机构，保证出具合格有效的软件产品登记测试报告。为了减少您的人力和物力成本，我们可以为您提供上门测试、远程测试，我们帮您完成测试。

自主研发的软件产品登记测试工具，自动生成过程记录、执行记录、测试报告、测试归档资料、客户盖章资料，效率高，出错率低。正常3-5个工作日内出具软件产品登记测试报告，可加急处理，最快12小时出软件产品登记测试报告。

软件产品登记测试办理周期：3-5个工作日内出具《软件产品登记测试报告》

l 相关政策文件：

1、《关于集成电路设计企业和软件企业2019年度企业所得税汇算清缴适用政策的公告》（财政部 税务总局公告 2020年第29号）

2、软件产品增值税政策（软件产品登记测试报告）

3、关于集成电路设计和软件产业企业所得税政策的公告

4、《财政部 国家税务总局关于进一步鼓励软件产业和集成电路产业发展企业所得税政策的通知》（财税〔2012〕27号）

5、《财政部 国家税务总局 发展改革委 工业和信息化部关于软件和集成电路产业企业所得税优惠政策有关问题的通知》（财税〔2016〕49号）

6、《关于组织2020年广东省名优高新技术产品评选工作的通知》（粤高企协【2020】8号）

确认测试（科技项目、资质申报；投标证明）

测试依据

GB/T 25000.51-2016 《系统与软件工程 系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》，科技项目验收测试结果对申报国家、省、市科技成果奖的技术鉴定依据、企业申请的《中小企业创新基金》、《科技项目验收》、《科技成果鉴定》、《自主创新产品认定》等提供的科技项目验收测试报告，为项目验收提供有力的证明。为软件企业全面度量产品质量并查找软件功能和性能缺陷，从而为软件企业技术成果提供证明，为软件产品市场拓展加分。

测试类型

确认测试包括一下几种常见的测试类型：

1、 简单确认测试

2、 高级确认测试

3、 科技成果鉴定测试

4、 科技项目验收测试

测试深度

l 简单确认测试

测试依据GB/T 25000.51-2016，从功能性、易用性、可靠性、可移植性、维护性、兼容性（共存性、互操作性、兼容性的依从性）、信息安全性（保密性、完整性、抗抵赖性、可核查性、真实性、信息安全性的依从性）、性能效率（时间特性、资源利用性、容量、性能效率的依从性）八个质量特性进行测试，对产品进行全面的测试评价，测试后出具科技成果鉴定测试报告。

l 高级确认测试

测试依据GB/T 25000.51-2016，从功能性、易用性、可靠性、可移植性、维护性、兼容性（共存性、互操作性、兼容性的依从性）、信息安全性（保密性、完整性、抗抵赖性、可核查性、真实性、信息安全性的依从性）、性能效率（时间特性、资源利用性、容量、性能效率的依从性）八个质量特性进行测试，对产品进行全面的测试评价，测试后出具软件确认测试报告。

相关政策文件

1、关于印发《中小企业发展专项资金管理暂行办法》的通知

2、《广东省关于深化科技奖励制度改革的方案》（广东省科技项目验收测试的依据）

3、《国务院办公厅印发关于深化科技奖励制度改革方案的通知》(国办函〔2017〕55号)

4、《国家科学技术奖励条例实施细则》

5、《广东省科学技术厅关于印发2018年度广东省科学技术奖评审方案》的通知

6、国务院关于印发实施《中华人民共和国促进科技成果转化法》若干规定的通知

信息系统安全测评

信息系统风险评估（APP上线测评、ICP备案证书-电信增值运营许可申请）

信息安全风险管理依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施，确定合适的安全措施，从而确保机构具有完成其使命的信息安全保障能力。

 依据《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》（国信办[2006]5号）、GB/T 20984-2007 《信息安全风险评估规范》等标准规范，进行信息系统安全保障能力级的符合性测评。　信息安全风险管理

风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。

 现场评估实施结束后，评估小组根据测评指导书各个评估项的结果记录进行评估分析，汇总评估结果，并进行整体评估分析，从而形成合理、可信任的评估结论，最后完成评估报告的编制及建议。

个人信息安全APP合规检查

基准信息安全测试（漏洞扫描、渗透测试）

为了避免因为系统自身漏洞给客户、公司集团带来损失同，为了数据安全，为了防范黑客攻击，通过该测试可帮助客户提高系统在软件或项目中的安全质量，同时可用于产品市场推广、政府项目安全支撑验收方面顺利通过等。

●系统漏洞安全检测

 系统安全漏洞检测：基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为。包括应用系统部署、数据库部署等操作系统的漏洞扫描，系统类型包括Windows、Solaris、AIX、Linux、Unix等操作系统。

●设备漏洞扫描检测

 基于已知系统漏洞规则库，对网络设备、应用或系统在已知漏洞规则下进行识别和检测，及时发现安全漏洞，客观评估设备风险等级，给出修复建议和预防措施，并对风险控制策略进行有效审核，从而在漏洞全面评估的基础上掌控设备漏洞。主要从设备系统、网络设备端口和安全设备的端口、漏洞扫描等方面，对各种防火墙、入侵检测系统、网络设备等进行设备漏洞扫描检测。

 通过该测试可帮助客户提高系统在软件或项目中的安全质量，同时可用于产品市场推广、政府项目安全支撑验收方面顺利通过等，测评通过后出具相应的检测报告。

●Web应用安全检测

 针对目标提供的各种应用，如ASP、CGI、JSP、PHP等组成的WWW应用进行安全扫描检测。主要包括Web漏洞（SQL注入攻击、跨站点脚本攻击、Ajax安全缺陷、目录遍历攻击）、XML注入、认证不充分等方面，对Web应用安全进行评估。

●源代码漏洞扫描

构建一个应用程序，并始终确保应用程序其安全性的话，事实上构建应用程序的时候需要花大量的工作，一个步骤没有检查就可能导致整个系统或者产品都处于受黑客攻击的危险之中，谁不希望在产品发布初期就发现安全漏洞并且修复漏洞，那何乐而不为呢！

l 源代码安全漏洞扫描工具

联成测评中心可以对未经编译的软件源代码进行代码扫描分析，快速识别安全漏洞及发现合规方面存在的问题，并向您指出漏洞的位置和分析修复方法。由于是对未经编译的代码进行扫描，因此不需要去处理复杂的代码编译所需要的环境及构建问题。节省大量的人力和时间成本，提高开发效率，并且能够发现很多靠人力无法发现的安全漏洞，站在黑客的角度上去审查程序员的代码，找出潜在的风险，从内对软件进行检测，提高代码的安全性，大大降低项目中的安全风险，提高软件质量，可快速、准确地查找，定位和修复软代码中存在的安全风险。同时兼容并达到国际、国内相关行业的合规要求。

 源代码安全漏洞扫描分析结合OWASP十大Web漏洞以及设备、CVE公共漏洞字典表、CWE、CNVD等权威漏洞库规则集、软件厂商公布的漏洞库，结合专业源代码扫描工具对各种程序语言编写的源代码安全漏洞扫描分析。

l 安全编码规范及规则分析

1）安全编码规范及规则分析

 在软件编码之前，利用联成测评中心室丰富的安全测试经验，为系统开发人员提供安全编码规范、规则的咨询和建议，提前避免不安全的编码方式，提高源代码自身的安全性。

 2）源代码安全现状分析

针对系统开发过程中的编码阶段、测试阶段、交付验收阶段、对各阶段系统源代码进行安全审计检测，利用数据流分析引擎、语义分析引擎、控制流分析引擎等技术，采用专业的源代码安全审计工具对源代码安全问题进行分析和检测并验证，从而对源代码安全漏洞进行定级，给出安全漏洞分析报告等，帮助软件开发的管理人员统计和分析当前阶段软件安全的风险、趋势，跟踪和定位软件安全漏洞，提供软件安全质量方面的真实状态信息。

 3）源代码整改分析

依据源代码安全测评结果，对源代码安全漏洞进行人工审计，并依据安全漏洞问题给出相应修改建议，协助系统开发人员对源代码进行修改。

根据不同开发语言检测出不同开发语言中常见错误，比如：c/c++中的空指针释放、内存管理问题(如内存泄漏) 、数组越界、未初始化数据使用、编码风格等问题；java语言中效率错误(如:空的finalize方法)、可维护性问题(如：空的catch从句)、可靠性问题(如资源泄漏)等。

 支持主流语言支持主流语言：Java、JSP、JavaSript、VBSript、C#、ASP.net、VB.Net、VB6、C/C++、ASP、PHP、Python、Swift、Ruby、Perl、PL/SQL、Android、OWASP ESAPI、MISRA、Objective-C(iOS)、API及第三方语言。

 支持的主流框架 支持的主流框架（Framework）：Struts、Spring、Ibatis、GWT、Hiberante、EnterpriseLibraries、 Telerik、ComponentArt、Infragistics、FarPoint、Ibatis.NET、Hibernate.Net [*]、MFC。可针对客户特定框架快速定制支持。

4.4.4安全等级保护测评（广东省等保测评一级代理）

l 业务需求

为了达到各级的安全保护能力要求，国家等级保护基本安全要求提出了技术要求和管理要求两大类，涵盖了安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个方面的内容。如下图所示：

l 政策依据：

l 业务过程

服务流程+服务