【正文】 信息系統(tǒng)安全評測實驗室建設(shè)方案2010年03月目 錄第一章 概述 4 建設(shè)背景 4 建設(shè)現(xiàn)狀 4： 4 XXXX企業(yè)信息系統(tǒng)安全評測實驗室建設(shè)現(xiàn)狀： 4 建設(shè)意義 5 建設(shè)目標(biāo) 5 建設(shè)原則 6 科學(xué)性 6 規(guī)范性 6 先進(jìn)性 6 效率性 7 實用性 7第二章 信息系統(tǒng)安全評測實驗室 8 檢測業(yè)務(wù)范圍 8 建設(shè)內(nèi)容 8 8第三章 評測實驗室解決方案 10 信息系統(tǒng)安全評測實驗室框架 10 11 信息系統(tǒng)安全評測實驗室網(wǎng)絡(luò)部署圖 11 安全性檢測業(yè)務(wù)建設(shè) 12 功能性檢測業(yè)務(wù)建設(shè) 14 性能檢測業(yè)務(wù)建設(shè) 14 SG186業(yè)務(wù)應(yīng)用運維測試業(yè)務(wù)建設(shè) 15 信息系統(tǒng)安全評測實驗室擴(kuò)展業(yè)務(wù)建設(shè) 15 信息系統(tǒng)安全評測實驗室及人員建設(shè) 17 信息系統(tǒng)安全評測實驗室場地建設(shè) 18 信息系統(tǒng)安全評測實驗室制度建設(shè) 18 信息系統(tǒng)安全評測實驗室流程建設(shè) 19 信息系統(tǒng)安全評測實驗室解決方案的優(yōu)勢 22 檢測模塊的多樣化/多層次 22 檢測模塊自動化/定制化 22 優(yōu)異的兼容性與擴(kuò)展性 22 領(lǐng)信安全沙盤系統(tǒng)檢測模塊介紹 23 “安全性”檢測模塊 23 “功能性”檢測模塊 24 “性能”檢測模塊 25 “評估性”檢測模塊 25第四章 信息系統(tǒng)安全評測實驗室實施方案 27 部署示意圖 27 部署實施建議 27 信息系統(tǒng)安全評測實驗室基本實施 28 評測工具區(qū)實施 28 評測工作區(qū)實施 28 評測接入?yún)^(qū)實施 28 采購設(shè)備清單 29 實施計劃 30 項目實施說明 30 實施時間表 30附錄 參考標(biāo)準(zhǔn) 31第一章 概述 建設(shè)背景隨著企業(yè)各種大型信息化工程的建設(shè)竣工，大部分的大集中信息系統(tǒng)在陸續(xù)進(jìn)入運維階段。在運維過程中，系統(tǒng)存在隱藏的缺陷或?qū)е乱恍╇[藏的缺陷積累。由于報警數(shù)量巨大，運維人員無法及時對系統(tǒng)整體運行狀況做出客觀評估。而一個專業(yè)的信息系統(tǒng)安全評測實驗室，通過配備專門的檢測工具、檢測手段及檢測方法，定期對各大集中系統(tǒng)的網(wǎng)絡(luò)、防火墻、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用等多個層面的健康狀態(tài)進(jìn)行監(jiān)控和分析，可及時發(fā)現(xiàn)系統(tǒng)運行中的缺陷及安全隱患，實現(xiàn)系統(tǒng)運行的可視、可控、可預(yù)測和可維護(hù)的目的。 建設(shè)現(xiàn)狀：信息系統(tǒng)安全評測實驗室建設(shè)還處于初期階段，隨著企業(yè)對信息系統(tǒng)上線前的安全評測的不斷重視，大型企業(yè)將會越來越重視信息系統(tǒng)安全評測實驗室。 XXXX企業(yè)信息系統(tǒng)安全評測實驗室建設(shè)現(xiàn)狀：隨著信息安全成為當(dāng)今電力企業(yè)信息化發(fā)展過程中最為重視的問題，在國家電網(wǎng)公司的積極倡導(dǎo)下，XXXX企業(yè)已經(jīng)開始了信息系統(tǒng)安全評測實驗室籌建工作，而XXXX企業(yè)的技術(shù)部門則成為建設(shè)信息系統(tǒng)安全評測實驗室的主導(dǎo)單位。XXXX省電力科學(xué)研究院早在2007年，就已經(jīng)開始了信息軟件測試實驗室建設(shè)，目前與軟件測試工作有關(guān)的員工有10余人，其中有高級工程師4人、碩士3名，實驗室人員的平均年齡為28歲。實驗室于2008年通過了ISO9000體系認(rèn)證；2009年8月順利通過國家實驗室認(rèn)可委的實驗室擴(kuò)項外審。在全國電力系統(tǒng)內(nèi)率先取得了CNAS資質(zhì)。在取得CNAS資質(zhì)后，XXXX電力實驗研究院軟件測試實驗室所出具的測試報告就可以獲得50多個國家和地區(qū)的認(rèn)可；2009年12月通過XXXX省省直計量認(rèn)證評審組的擴(kuò)項評審，同樣在全國電力系統(tǒng)內(nèi)第一個取得了CMA計量認(rèn)證資質(zhì)。XXXX企業(yè)信息系統(tǒng)安全評測實驗室將在已有的軟件測試實驗室的基礎(chǔ)上建立，充分利用現(xiàn)有實驗室資源，以實現(xiàn)業(yè)務(wù)上、技術(shù)上、規(guī)格上向更高的層次邁進(jìn)。 建設(shè)意義在企業(yè)信息化的建設(shè)和發(fā)展過程中，信息化將貫穿整個過程，大量的信息系統(tǒng)建設(shè)將是必然的。如何保證越來越多的新上線信息系統(tǒng)的質(zhì)量，如何在心信息系統(tǒng)上線前進(jìn)行綜合，快捷的檢測，評估，是信息化發(fā)展過程中待解決的問題。通過建設(shè)一個專業(yè)的信息系統(tǒng)安全評測實驗室，對即將上線的信息系統(tǒng)進(jìn)行嚴(yán)格的測試，安全評估，加強(qiáng)對信息系統(tǒng)的質(zhì)量把關(guān)，進(jìn)而可以充分保證信息系統(tǒng)的可用性、可靠性，保證系統(tǒng)各種性能的達(dá)標(biāo)。另外，在信息系統(tǒng)的運維過程中，系統(tǒng)會面臨需求變化、數(shù)據(jù)結(jié)構(gòu)變化、數(shù)據(jù)量變化、基礎(chǔ)平臺升級等復(fù)雜情況，這將帶來很多隱藏的缺陷。系統(tǒng)運維平臺所提供的異常報警、異常處理提示、故障追蹤等技術(shù)手段，由于報警數(shù)量巨大，運維人員無法及時對系統(tǒng)整體運行狀況做出客觀評估。通過建設(shè)一個專業(yè)的信息系統(tǒng)安全評測實驗室，使用專門的檢測工具與檢測手段，定期對各大集中系統(tǒng)的網(wǎng)絡(luò)、防火墻、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用等多個層面的健康狀態(tài)進(jìn)行檢測和評估分析，及時發(fā)現(xiàn)系統(tǒng)運行中的缺陷及安全隱患，實現(xiàn)系統(tǒng)運行的可視、可控、可預(yù)測和可維護(hù)的目的。再者，企業(yè)生產(chǎn)、管理、營銷等經(jīng)營活動越來越依賴計算機(jī)信息系統(tǒng)，如果這些系統(tǒng)遭到破壞，造成數(shù)據(jù)損壞，信息泄露，不能提供服務(wù)等問題，則將對電網(wǎng)的安全運行、公司的生產(chǎn)管理以及經(jīng)濟(jì)效益造成不可估量的損失。信息化發(fā)展在帶來便利和高效率的同時，也帶來了新的安全風(fēng)險和問題。通過建設(shè)一個專業(yè)的信息系統(tǒng)安全評測實驗室，對信息系統(tǒng)進(jìn)行安全性測試，主要內(nèi)容包括服務(wù)器安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全以及安全信息措施檢測，保證公司的信息系統(tǒng)安全穩(wěn)定的運行。 建設(shè)目標(biāo)XXXX企業(yè)信息系統(tǒng)安全評測實驗室建設(shè)的初期目標(biāo)是在現(xiàn)階段，以現(xiàn)有軟件測試實驗室為基礎(chǔ)，通過人員、場地、設(shè)備、測試工具、制度規(guī)范的建設(shè)和完善，順利的完成從軟件測試研究實驗室到XXXX企業(yè)信息系統(tǒng)安全評測實驗室的建設(shè)。信息系統(tǒng)安全評測實驗室在開展常規(guī)的功能性軟件測試工作的同時，還可以開展軟件的性能測試、易用性測試、可靠性測試、維護(hù)性測試、可移植性測試和安全性測試等等，同時根據(jù)信息系統(tǒng)安全評測實驗室的特點，還可以進(jìn)行各種信息安全技術(shù)的培訓(xùn)，演練，進(jìn)一步的滿足信息化建設(shè)工作的需要。信息系統(tǒng)安全評測實驗室建設(shè)的中長期目標(biāo)是開展全方面的、高技術(shù)、高層次的信息系統(tǒng)檢測工作，能夠滿足XXXX企業(yè)的信息系統(tǒng)測試需要。 建設(shè)原則 科學(xué)性建設(shè)信息系統(tǒng)安全評測實驗室是為了給信息化建設(shè)提供安全可靠的質(zhì)量保證，而實現(xiàn)質(zhì)量保證的前提則是檢測工作的科學(xué)性。只有實現(xiàn)了檢測工作中測試技術(shù)、測試方法、測試過程等各領(lǐng)域工作的科學(xué)性、合理性，才能保證檢測結(jié)果的科學(xué)性、合理性，才能為信息系統(tǒng)的開發(fā)、運行提供真實、有效的幫助。 規(guī)范性信息系統(tǒng)安全評測實驗室的人員配置、場地建設(shè)、軟硬件設(shè)備工具的配備、信息系統(tǒng)檢測標(biāo)準(zhǔn)制度的編制完善、人員的培訓(xùn)、資質(zhì)的獲取、管理體系及作業(yè)指導(dǎo)書的建立完善是一項復(fù)雜、細(xì)致的工作。一個良好的、規(guī)范的過程管理是實現(xiàn)信息系統(tǒng)安全評測實驗室建設(shè)目標(biāo)的一個必要前提。只有實現(xiàn)規(guī)范化、標(biāo)準(zhǔn)化的管理，才能保證信息信息系統(tǒng)安全評測實驗室的建設(shè)工作順利開展。同樣，信息系統(tǒng)的檢測過程也是一項需要規(guī)范化、標(biāo)準(zhǔn)化的工作流程。ISO9000、CMMI（軟件能力成熟度模型）都是目前軟件領(lǐng)域內(nèi)通用的管理標(biāo)準(zhǔn)，對于軟件工程中的開發(fā)過程、測試過程的控制與管理都有嚴(yán)格的定義。GB/T162602006 軟件工程 產(chǎn)品質(zhì)量、GB/T175441998 信息技術(shù) 軟件包 質(zhì)量要求和測試、GB/T155322008計算機(jī)軟件測試規(guī)范等是目前國內(nèi)發(fā)布的，與國際通行的計算機(jī)軟件測試標(biāo)準(zhǔn)相銜接的，計算機(jī)軟件生存周期內(nèi)各類軟件產(chǎn)品的基本測試方法、過程和準(zhǔn)則。信息系統(tǒng)安全評測實驗室將借鑒這些先進(jìn)的管理標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)以及“運維期測試”科研