【正文】 軟件測試類工具，安全測評類工具，以及工具需要運行的系統(tǒng)環(huán)境；安氏領(lǐng)信公司還可以根據(jù)信息系統(tǒng)安全評測實驗室的需求，定制開發(fā)各種檢測模塊，按照用戶實驗室的需要，定制開發(fā)檢測模塊，并且可以提供多樣化，靈活性的檢測模塊；方便信息系統(tǒng)安全評測實驗室對各種上線信息系統(tǒng)進行評測；安氏信息系統(tǒng)安全評測實驗室框架如下圖所示：信息系統(tǒng)安全評測實驗室框架圖信息系統(tǒng)安全評測實驗室建設(shè)分為一期和二期兩個建設(shè)階段，其中一期的主要業(yè)務(wù)是提供對新上線信息系統(tǒng)的安全性，信息系統(tǒng)的性能和信息系統(tǒng)的功能進行檢測；二期主要對對信息系統(tǒng)安全評測實驗室業(yè)務(wù)的擴展，信息系統(tǒng)安全評測實驗室建設(shè)主要分為以下幾個方面：178。檢測工具”，可以提供針對信息系統(tǒng)的主機安全性檢測需要的各種操作系統(tǒng)環(huán)境，主機安全性檢測需要的軟件工具，無需檢測工程師手動安裝，尋找檢測工具；能夠提供針對主機安全性檢測需要的所有常見工具軟件，以及工具軟件運行的環(huán)境。通過直觀的結(jié)果來反映出新上線的信息系統(tǒng)存在的最脆弱點。 網(wǎng)絡(luò)架構(gòu)的安全性評測發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)存在的安全性、網(wǎng)絡(luò)負載問題，網(wǎng)絡(luò)設(shè)備存在的安全性，抗攻擊的問題。 網(wǎng)絡(luò)安全設(shè)備的安全性評測 網(wǎng)絡(luò)設(shè)備是保障一個系統(tǒng)邊界安全的有利工具，但是過分的依賴于網(wǎng)絡(luò)設(shè)備理論上提供的功能，將會導(dǎo)致無法正確判斷系統(tǒng)的威脅情況，和信任過度的問題。網(wǎng)絡(luò)設(shè)備安全包含：216。 其它網(wǎng)絡(luò)設(shè)備。 密碼策略設(shè)置178。 通訊安全配置216。 數(shù)據(jù)庫備份178。 補丁管理216。評測主要包含補丁管理、最大安全性原則、用戶管理、權(quán)限管理、日志安全管理等進行分析。 客戶機（用戶終端機）。信息系統(tǒng)安全評測實驗室的組織結(jié)構(gòu)如圖下圖所示：信息系統(tǒng)安全評測實驗室組織結(jié)構(gòu)圖 信息系統(tǒng)安全評測實驗室場地建設(shè)信息系統(tǒng)安全評測實驗室場地擬定在XXXX機房，根據(jù)機房搬遷計劃，定于XXXX年XX月底完成信息系統(tǒng)安全評測實驗室的機房搬遷。作用是引導(dǎo)新員工熟知工作流程、基本業(yè)務(wù)，確定自身工作職責(zé)，初步掌握基本技能；促使老員工技能不斷提升。5安全管理制度安全管理制度包括實驗室的防火防盜、電源安全、設(shè)備安全管理、核心資料的保密。7辦公室管理制度辦公室管理制度包括辦公用品管理、電話管理、衛(wèi)生管理、打印復(fù)印管理等。信息系統(tǒng)安全評測實驗室管理制度表 信息系統(tǒng)安全評測實驗室流程建設(shè)信息系統(tǒng)安全評測實驗室建成后，在開展各項常規(guī)信息系統(tǒng)評測工作的同時，將根據(jù)需要逐步開展系統(tǒng)的安全性測試、運維期測試等，最終建成一個完備的信息系統(tǒng)安全評測實驗室中心。 檢測模塊即時加載/卸載評測工程師可以通過管理平臺即時開啟各種計測試需要的檢查模塊，搭建各種系統(tǒng)的評測環(huán)境，還可以根據(jù)需要將各種需要使用的檢測模塊一次開啟，利用每個檢測模塊對信息系統(tǒng)進行相應(yīng)的評測，對于不需要使用的檢測模塊，可以立即停止關(guān)閉，為新需要的檢測模塊開啟提供資源。 優(yōu)異的兼容性與可擴展性：通過安全沙盤系統(tǒng)搭建的信息系統(tǒng)安全評測實驗室，具備良好的兼容性欲可擴展性，可以與其他檢測，評測設(shè)備一同使用，也可以與各種安全設(shè)備一同使用，同時可以不斷的通過擴充檢測模塊，以及相應(yīng)的技術(shù)人員的培訓(xùn)，使得信息系統(tǒng)安全評測實驗室能夠不斷擴展業(yè)務(wù)范圍。支持多種協(xié)議的掃描如UDP，TCP connect(),TCP SYN (half open), ftp proxy (bounce attack),Reverseident, ICMP (ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep, 和Null掃描。 Abel 工具檢測模塊：比較常用的口令檢測工具，能夠進行口令破解檢測，可以通過arp欺騙進行嗅探。：綜合性的安全檢測工具。 Microsoft的安全基線工具 “功能性”檢測模塊功能性檢測模塊主要提供對被評測系統(tǒng)在功能測試時需要使用的測試環(huán)境，以及針對功能性測試的測試流程 ，測試方法；提供標(biāo)準(zhǔn)的操作系統(tǒng)測試環(huán)境，便于用戶對信息系統(tǒng)進行各種功能性測試，驗證部署；Windows 類操作系統(tǒng)提供標(biāo)準(zhǔn)的Windows 2000，Windows XP，Windows 2003 的操作系統(tǒng)；Unix類操作系統(tǒng)提供常見的Free版的Unix操作系統(tǒng)；如FreeSB；Linux類操作系統(tǒng)提供常見的Linux操作系統(tǒng)；對于功能性測試需要的特定操作系統(tǒng)環(huán)境，可以在信息系統(tǒng)安全評測實驗室特定采購專屬服務(wù)器上進行功能性測試； “性能”檢測模塊針對信息系統(tǒng)進行性能檢測模塊，主要是各種比較常見的性能測評工具，以及自動化性能測試，根據(jù)用戶的需要，可以定制帶有各種標(biāo)準(zhǔn)化的自動化性能測試工具的檢查模塊，以滿足用戶在專屬信息系統(tǒng)上進行的特定性能測試； “評估性”檢測模塊評估性檢測模塊是針對特定的需要才進行定制的檢查模塊，是信息系統(tǒng)安全評測實驗室在二期進行業(yè)務(wù)擴展時，才使用的檢測模塊，此部分檢測模塊是針對網(wǎng)絡(luò)，網(wǎng)絡(luò)設(shè)備，數(shù)據(jù)庫，Web應(yīng)用，中間件等專屬業(yè)務(wù)提供的安全評估性檢測，是信息系統(tǒng)安全評測實驗室二期業(yè)務(wù)擴展的內(nèi)容；評測工程師需要進行此部分業(yè)務(wù)的專屬培訓(xùn)；并取得相應(yīng)的資質(zhì)；網(wǎng)絡(luò)架構(gòu)評估對物理網(wǎng)絡(luò)結(jié)構(gòu)，邏輯網(wǎng)絡(luò)結(jié)構(gòu)及網(wǎng)絡(luò)的關(guān)鍵設(shè)備進行評估，發(fā)現(xiàn)存在的安全性，合理性，使用效率等方面的問題；網(wǎng)絡(luò)設(shè)備評估網(wǎng)絡(luò)設(shè)備是保障一個系統(tǒng)邊界安全的有利工具，但是過分的依賴于網(wǎng)絡(luò)設(shè)備理論上提供的功能，將會導(dǎo)致無法正確判斷系統(tǒng)的威脅情況，和信任過度的問題。第四章 信息系統(tǒng)安全評測實驗室實施方案信息系統(tǒng)安全評測實驗室的實施需要有完善的實施方案，根據(jù)設(shè)計提供的網(wǎng)絡(luò)部署圖，按照每個區(qū)域進行網(wǎng)絡(luò)，設(shè)備的部署調(diào)試，安裝； 部署示意圖部署示意拓撲圖 部署實施建議信息系統(tǒng)安全評測實驗室是針對上線前信息系統(tǒng)的評測為建設(shè)的，因此在信息實驗室的實施過程中，必須考慮今后信息實驗室的業(yè)務(wù)開展，以及新業(yè)務(wù)的擴展需求，將信息系統(tǒng)安全評測實驗室區(qū)域化，組件化，使得信息系統(tǒng)安全評測實驗室具備優(yōu)異的擴展性。 項目實施說明整個實施共分為以下幾個階段：第一階段：“信息系統(tǒng)安全評測實驗室”基本網(wǎng)絡(luò)實施；第二階段：“信息系統(tǒng)安全評測實驗室”評測工具區(qū)實施；第三階段：“信息系統(tǒng)安全評測實驗室”評測工作區(qū)實施；第四階段：“信息系統(tǒng)安全評測實驗室”評測接入?yún)^(qū)實施；第五階段：“信息系統(tǒng)安全評測實驗室”驗收。 GB/T 9386—1988 計算機軟件安全評估文件編制規(guī)范178。 COSO內(nèi)部控制——整體框架178。 GB 178591999——計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則本解決方案技術(shù)部分參考行業(yè)性標(biāo)準(zhǔn)：178。 RFC 2544 Benchmarking Methodology for Network Interconnect Devices178。 GBT 202812006 信息安全技術(shù) 防火墻技術(shù)要求和測試評價方法178。 G51——安全風(fēng)險評估及審計指南178。 ISO 13335 IT安全管理方針系列178。注意：此實施時間表，不包含信息系統(tǒng)安全評測實驗室場地建設(shè)時間；信息系統(tǒng)安全評測實驗室整體規(guī)劃分為一期與二期兩個階段，此實施方案僅為信息系統(tǒng)安全評測實驗室一期工程實施計劃；附錄 參考標(biāo)準(zhǔn)本解決方案參考如下標(biāo)準(zhǔn)和規(guī)范：（1） 原郵電部、信息產(chǎn)業(yè)部相關(guān)技術(shù)規(guī)范；（2） 國家信息辦27號文件；（3） 軟件安全評估方案部