【正文】 軟件測(cè)試類工具，安全測(cè)評(píng)類工具，以及工具需要運(yùn)行的系統(tǒng)環(huán)境；安氏領(lǐng)信公司還可以根據(jù)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室的需求，定制開發(fā)各種檢測(cè)模塊，按照用戶實(shí)驗(yàn)室的需要，定制開發(fā)檢測(cè)模塊，并且可以提供多樣化，靈活性的檢測(cè)模塊；方便信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室對(duì)各種上線信息系統(tǒng)進(jìn)行評(píng)測(cè)；安氏信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室框架如下圖所示：信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室框架圖信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)分為一期和二期兩個(gè)建設(shè)階段，其中一期的主要業(yè)務(wù)是提供對(duì)新上線信息系統(tǒng)的安全性，信息系統(tǒng)的性能和信息系統(tǒng)的功能進(jìn)行檢測(cè)；二期主要對(duì)對(duì)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室業(yè)務(wù)的擴(kuò)展，信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)主要分為以下幾個(gè)方面：178。檢測(cè)工具”，可以提供針對(duì)信息系統(tǒng)的主機(jī)安全性檢測(cè)需要的各種操作系統(tǒng)環(huán)境，主機(jī)安全性檢測(cè)需要的軟件工具，無需檢測(cè)工程師手動(dòng)安裝，尋找檢測(cè)工具；能夠提供針對(duì)主機(jī)安全性檢測(cè)需要的所有常見工具軟件，以及工具軟件運(yùn)行的環(huán)境。通過直觀的結(jié)果來反映出新上線的信息系統(tǒng)存在的最脆弱點(diǎn)。 網(wǎng)絡(luò)架構(gòu)的安全性評(píng)測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)存在的安全性、網(wǎng)絡(luò)負(fù)載問題，網(wǎng)絡(luò)設(shè)備存在的安全性，抗攻擊的問題。 網(wǎng)絡(luò)安全設(shè)備的安全性評(píng)測(cè) 網(wǎng)絡(luò)設(shè)備是保障一個(gè)系統(tǒng)邊界安全的有利工具，但是過分的依賴于網(wǎng)絡(luò)設(shè)備理論上提供的功能，將會(huì)導(dǎo)致無法正確判斷系統(tǒng)的威脅情況，和信任過度的問題。網(wǎng)絡(luò)設(shè)備安全包含：216。 其它網(wǎng)絡(luò)設(shè)備。 密碼策略設(shè)置178。 通訊安全配置216。 數(shù)據(jù)庫備份178。 補(bǔ)丁管理216。評(píng)測(cè)主要包含補(bǔ)丁管理、最大安全性原則、用戶管理、權(quán)限管理、日志安全管理等進(jìn)行分析。 客戶機(jī)（用戶終端機(jī)）。信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室的組織結(jié)構(gòu)如圖下圖所示：信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室組織結(jié)構(gòu)圖 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室場(chǎng)地建設(shè)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室場(chǎng)地?cái)M定在XXXX機(jī)房，根據(jù)機(jī)房搬遷計(jì)劃，定于XXXX年XX月底完成信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室的機(jī)房搬遷。作用是引導(dǎo)新員工熟知工作流程、基本業(yè)務(wù)，確定自身工作職責(zé)，初步掌握基本技能；促使老員工技能不斷提升。5安全管理制度安全管理制度包括實(shí)驗(yàn)室的防火防盜、電源安全、設(shè)備安全管理、核心資料的保密。7辦公室管理制度辦公室管理制度包括辦公用品管理、電話管理、衛(wèi)生管理、打印復(fù)印管理等。信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室管理制度表 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室流程建設(shè)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建成后，在開展各項(xiàng)常規(guī)信息系統(tǒng)評(píng)測(cè)工作的同時(shí)，將根據(jù)需要逐步開展系統(tǒng)的安全性測(cè)試、運(yùn)維期測(cè)試等，最終建成一個(gè)完備的信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室中心。 檢測(cè)模塊即時(shí)加載/卸載評(píng)測(cè)工程師可以通過管理平臺(tái)即時(shí)開啟各種計(jì)測(cè)試需要的檢查模塊，搭建各種系統(tǒng)的評(píng)測(cè)環(huán)境，還可以根據(jù)需要將各種需要使用的檢測(cè)模塊一次開啟，利用每個(gè)檢測(cè)模塊對(duì)信息系統(tǒng)進(jìn)行相應(yīng)的評(píng)測(cè)，對(duì)于不需要使用的檢測(cè)模塊，可以立即停止關(guān)閉，為新需要的檢測(cè)模塊開啟提供資源。 優(yōu)異的兼容性與可擴(kuò)展性：通過安全沙盤系統(tǒng)搭建的信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室，具備良好的兼容性欲可擴(kuò)展性，可以與其他檢測(cè)，評(píng)測(cè)設(shè)備一同使用，也可以與各種安全設(shè)備一同使用，同時(shí)可以不斷的通過擴(kuò)充檢測(cè)模塊，以及相應(yīng)的技術(shù)人員的培訓(xùn)，使得信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室能夠不斷擴(kuò)展業(yè)務(wù)范圍。支持多種協(xié)議的掃描如UDP，TCP connect(),TCP SYN (half open), ftp proxy (bounce attack),Reverseident, ICMP (ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep, 和Null掃描。 Abel 工具檢測(cè)模塊：比較常用的口令檢測(cè)工具，能夠進(jìn)行口令破解檢測(cè)，可以通過arp欺騙進(jìn)行嗅探。：綜合性的安全檢測(cè)工具。 Microsoft的安全基線工具 “功能性”檢測(cè)模塊功能性檢測(cè)模塊主要提供對(duì)被評(píng)測(cè)系統(tǒng)在功能測(cè)試時(shí)需要使用的測(cè)試環(huán)境，以及針對(duì)功能性測(cè)試的測(cè)試流程 ，測(cè)試方法；提供標(biāo)準(zhǔn)的操作系統(tǒng)測(cè)試環(huán)境，便于用戶對(duì)信息系統(tǒng)進(jìn)行各種功能性測(cè)試，驗(yàn)證部署；Windows 類操作系統(tǒng)提供標(biāo)準(zhǔn)的Windows 2000，Windows XP，Windows 2003 的操作系統(tǒng)；Unix類操作系統(tǒng)提供常見的Free版的Unix操作系統(tǒng)；如FreeSB；Linux類操作系統(tǒng)提供常見的Linux操作系統(tǒng)；對(duì)于功能性測(cè)試需要的特定操作系統(tǒng)環(huán)境，可以在信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室特定采購專屬服務(wù)器上進(jìn)行功能性測(cè)試； “性能”檢測(cè)模塊針對(duì)信息系統(tǒng)進(jìn)行性能檢測(cè)模塊，主要是各種比較常見的性能測(cè)評(píng)工具，以及自動(dòng)化性能測(cè)試，根據(jù)用戶的需要，可以定制帶有各種標(biāo)準(zhǔn)化的自動(dòng)化性能測(cè)試工具的檢查模塊，以滿足用戶在專屬信息系統(tǒng)上進(jìn)行的特定性能測(cè)試； “評(píng)估性”檢測(cè)模塊評(píng)估性檢測(cè)模塊是針對(duì)特定的需要才進(jìn)行定制的檢查模塊，是信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室在二期進(jìn)行業(yè)務(wù)擴(kuò)展時(shí)，才使用的檢測(cè)模塊，此部分檢測(cè)模塊是針對(duì)網(wǎng)絡(luò)，網(wǎng)絡(luò)設(shè)備，數(shù)據(jù)庫，Web應(yīng)用，中間件等專屬業(yè)務(wù)提供的安全評(píng)估性檢測(cè)，是信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室二期業(yè)務(wù)擴(kuò)展的內(nèi)容；評(píng)測(cè)工程師需要進(jìn)行此部分業(yè)務(wù)的專屬培訓(xùn)；并取得相應(yīng)的資質(zhì)；網(wǎng)絡(luò)架構(gòu)評(píng)估對(duì)物理網(wǎng)絡(luò)結(jié)構(gòu)，邏輯網(wǎng)絡(luò)結(jié)構(gòu)及網(wǎng)絡(luò)的關(guān)鍵設(shè)備進(jìn)行評(píng)估，發(fā)現(xiàn)存在的安全性，合理性，使用效率等方面的問題；網(wǎng)絡(luò)設(shè)備評(píng)估網(wǎng)絡(luò)設(shè)備是保障一個(gè)系統(tǒng)邊界安全的有利工具，但是過分的依賴于網(wǎng)絡(luò)設(shè)備理論上提供的功能，將會(huì)導(dǎo)致無法正確判斷系統(tǒng)的威脅情況，和信任過度的問題。第四章 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室實(shí)施方案信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室的實(shí)施需要有完善的實(shí)施方案，根據(jù)設(shè)計(jì)提供的網(wǎng)絡(luò)部署圖，按照每個(gè)區(qū)域進(jìn)行網(wǎng)絡(luò)，設(shè)備的部署調(diào)試，安裝； 部署示意圖部署示意拓?fù)鋱D 部署實(shí)施建議信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室是針對(duì)上線前信息系統(tǒng)的評(píng)測(cè)為建設(shè)的，因此在信息實(shí)驗(yàn)室的實(shí)施過程中，必須考慮今后信息實(shí)驗(yàn)室的業(yè)務(wù)開展，以及新業(yè)務(wù)的擴(kuò)展需求，將信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室區(qū)域化，組件化，使得信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室具備優(yōu)異的擴(kuò)展性。 項(xiàng)目實(shí)施說明整個(gè)實(shí)施共分為以下幾個(gè)階段：第一階段：“信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室”基本網(wǎng)絡(luò)實(shí)施；第二階段：“信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室”評(píng)測(cè)工具區(qū)實(shí)施；第三階段：“信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室”評(píng)測(cè)工作區(qū)實(shí)施；第四階段：“信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室”評(píng)測(cè)接入?yún)^(qū)實(shí)施；第五階段：“信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室”驗(yàn)收。 GB/T 9386—1988 計(jì)算機(jī)軟件安全評(píng)估文件編制規(guī)范178。 COSO內(nèi)部控制——整體框架178。 GB 178591999——計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則本解決方案技術(shù)部分參考行業(yè)性標(biāo)準(zhǔn)：178。 RFC 2544 Benchmarking Methodology for Network Interconnect Devices178。 GBT 202812006 信息安全技術(shù) 防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法178。 G51——安全風(fēng)險(xiǎn)評(píng)估及審計(jì)指南178。 ISO 13335 IT安全管理方針系列178。注意：此實(shí)施時(shí)間表，不包含信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室場(chǎng)地建設(shè)時(shí)間；信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室整體規(guī)劃分為一期與二期兩個(gè)階段，此實(shí)施方案僅為信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室一期工程實(shí)施計(jì)劃；附錄 參考標(biāo)準(zhǔn)本解決方案參考如下標(biāo)準(zhǔn)和規(guī)范：（1） 原郵電部、信息產(chǎn)業(yè)部相關(guān)技術(shù)規(guī)范；（2） 國家信息辦27號(hào)文件；（3） 軟件安全評(píng)估方案部