【正文】 分： JSYJ/F/JL/B/KJ0372003軟件安全評(píng)估方案（編寫(xiě)提示）；本解決方案技術(shù)部分還參考以下標(biāo)準(zhǔn)：178。需要注意基本實(shí)施中的場(chǎng)地選擇與網(wǎng)絡(luò)布線，針對(duì)實(shí)驗(yàn)室網(wǎng)絡(luò)安全防護(hù)的各種防護(hù)設(shè)備的策略設(shè)置。數(shù)據(jù)庫(kù)評(píng)估能夠完整，全面發(fā)現(xiàn)本項(xiàng)目范圍內(nèi)系統(tǒng)數(shù)據(jù)庫(kù)的漏洞和安全隱患；Web應(yīng)用評(píng)估通過(guò)對(duì)WEB應(yīng)用進(jìn)行評(píng)估，發(fā)現(xiàn)應(yīng)用軟件中存在的安全隱患（包括安全功能設(shè)計(jì)、安全弱點(diǎn)、以及安全部署中的弱點(diǎn)等）通用中間件評(píng)估、apache、ftp、weblogic等相關(guān)通用的應(yīng)用軟件進(jìn)行安全評(píng)估。Autoruns：檢查系統(tǒng)自啟動(dòng)項(xiàng)的工具。：綜合性的安全檢測(cè)工具。Acunetix Vulnerability檢測(cè)模塊：通過(guò)該軟件掃描可以發(fā)現(xiàn)SQL注入、跨站腳本、web應(yīng)用服務(wù)器配置錯(cuò)誤等漏洞。 “安全性”檢測(cè)模塊安全性檢測(cè)模塊主要是對(duì)需要評(píng)測(cè)的系統(tǒng)進(jìn)行各種安全性的評(píng)測(cè)，如被評(píng)測(cè)系統(tǒng)的主機(jī)安全，操作系統(tǒng)安全，賬戶安全，漏洞風(fēng)險(xiǎn)評(píng)測(cè)，特定應(yīng)用安全性評(píng)測(cè)等幾個(gè)方面，如被評(píng)測(cè)系統(tǒng)屬于特殊平臺(tái)架構(gòu)，可能需要定制專用的安全性檢測(cè)模塊；掃描類(lèi)檢測(cè)模塊SuperScan掃描檢測(cè)模塊：圖形化的端口掃描器。 檢測(cè)模塊定制加載/卸載評(píng)測(cè)工程師可以通過(guò)管理平臺(tái)為不同的信息系統(tǒng)測(cè)試開(kāi)啟不同的檢測(cè)模塊，可以同時(shí)進(jìn)行多個(gè)相同檢測(cè)模塊以及不同的檢查模塊的開(kāi)啟，為同時(shí)進(jìn)行多個(gè)信息系統(tǒng)的評(píng)測(cè)提供條件；不需要使用的檢測(cè)模塊可以立即關(guān)閉，不會(huì)影響其他開(kāi)啟的檢查模塊的使用。 檢測(cè)模塊安全沙盤(pán)系統(tǒng)的檢測(cè)模塊【檢測(cè)模塊即攜帶各種對(duì)信息系統(tǒng)進(jìn)行測(cè)評(píng)時(shí)需要使用工具軟件以及相應(yīng)的環(huán)境，開(kāi)啟的檢查模塊可以通過(guò)自身攜帶的軟件工具對(duì)信息系統(tǒng)進(jìn)行指定內(nèi)容的評(píng)測(cè)】涵蓋整個(gè)信息系統(tǒng)測(cè)評(píng)需要的軟件測(cè)試類(lèi)工具與安全檢測(cè)類(lèi)工具以及各種工具需要運(yùn)行的系統(tǒng)環(huán)境，按照檢測(cè)模塊應(yīng)用可以分類(lèi)安全性檢測(cè)模塊，功能性檢測(cè)模塊，性能檢測(cè)模塊與擴(kuò)展業(yè)務(wù)需要使用的風(fēng)險(xiǎn)評(píng)估模塊四類(lèi)；178。8作業(yè)管理制度作業(yè)管理制度包括檢測(cè)工作流程中各種測(cè)試標(biāo)準(zhǔn)、測(cè)試規(guī)范、注意事項(xiàng)、作業(yè)指導(dǎo)書(shū)等。6質(zhì)量管理制度質(zhì)量管理制度包括質(zhì)量管理體系，質(zhì)量標(biāo)準(zhǔn)法規(guī)，質(zhì)量管理和監(jiān)控的流程。4資料管理制度資料管理制度包括機(jī)房檔案資料管理，日常工作記錄、報(bào)表、報(bào)告管理，技術(shù)資料管理。主要管理制度如表所示：序號(hào)主要管理制度管理制度內(nèi)容1崗位責(zé)任制度崗位責(zé)任制度內(nèi)容是每個(gè)崗位的職責(zé)、任務(wù)、目標(biāo)等內(nèi)容具體化；作用是明確責(zé)任，提高效率，保證工作質(zhì)量，獎(jiǎng)罰有據(jù)。信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室在省公司科技信息部的領(lǐng)導(dǎo)下開(kāi)展檢測(cè)工作。操作系統(tǒng)的安全性評(píng)測(cè)范圍：216。 登錄日志審計(jì)178。 傳輸加密216。 數(shù)據(jù)的安全178。 數(shù)據(jù)庫(kù)訪問(wèn)控制178。 數(shù)據(jù)庫(kù)用戶名和密碼管理178。 路由器；216。另外，網(wǎng)絡(luò)設(shè)備由于被保護(hù)系統(tǒng)的復(fù)雜性和管理員的自身面對(duì)的系統(tǒng)較為復(fù)雜，配置未必合理，容易為入侵者提供入侵通道。檢查網(wǎng)絡(luò)根據(jù)業(yè)務(wù)和安全需求的分段情況，是否采用了防火墻和網(wǎng)關(guān)來(lái)加強(qiáng)不同網(wǎng)段間的訪問(wèn)控制，了解網(wǎng)絡(luò)的地址管理和IP地址規(guī)劃的原則和方法，了解網(wǎng)絡(luò)中出口的情況，每個(gè)出口的保護(hù)方式等。 針對(duì)信息系統(tǒng)漏掃的安全性檢測(cè)在信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室中，部署了領(lǐng)信網(wǎng)絡(luò)掃描器產(chǎn)品，使用領(lǐng)信網(wǎng)絡(luò)掃描器Scanner對(duì)新上線信息系統(tǒng)進(jìn)行全面的漏洞掃面檢測(cè)，并提供全面的漏洞掃描檢測(cè)報(bào)告，確保新上線的信息系統(tǒng)不存在漏洞性的安全隱患； 功能性檢測(cè)業(yè)務(wù)建設(shè)在信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)中，需要對(duì)新上線的信息系統(tǒng)進(jìn)行嚴(yán)格的功能測(cè)試，確保新信息系統(tǒng)的完全滿足業(yè)務(wù)需要，并且在功能指標(biāo)上符合設(shè)計(jì)要求；對(duì)信息系統(tǒng)進(jìn)行功能性檢測(cè)時(shí)，需要信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室能夠快速提供信息系統(tǒng)需要的各種功能測(cè)試環(huán)境，測(cè)試信息系統(tǒng)在各種業(yè)務(wù)環(huán)境中功能使用情況，根據(jù)信息系統(tǒng)的測(cè)試規(guī)范，嚴(yán)格測(cè)試信息系統(tǒng)的各個(gè)功能模塊；功能性測(cè)試的重點(diǎn)是快速準(zhǔn)備各種需要的測(cè)試環(huán)境，要求實(shí)驗(yàn)室中的測(cè)試環(huán)境模塊能夠根據(jù)測(cè)試規(guī)范的要求，提供需要的測(cè)試環(huán)境，包含功能測(cè)試用的操作系統(tǒng)，功能性測(cè)試用工具軟件 性能檢測(cè)業(yè)務(wù)建設(shè)在信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)中，需要對(duì)新上線的信息系統(tǒng)進(jìn)行性能指標(biāo)檢測(cè)的業(yè)務(wù)建設(shè)，能夠?qū)ι暇€信息系統(tǒng)進(jìn)行標(biāo)準(zhǔn)化的性能檢測(cè)，評(píng)定；性能檢測(cè)模塊可以提供針對(duì)上線信息系統(tǒng)的各種性能指標(biāo)的檢測(cè)，提供各種性能測(cè)試工具，以及自動(dòng)化測(cè)試環(huán)境，根據(jù)信息系統(tǒng)設(shè)定的各種性能指標(biāo)進(jìn)行檢測(cè)。檢測(cè)工具”，提供對(duì)上線信息系統(tǒng)的滲透性測(cè)試是在允許和可控的范圍內(nèi)，采取可控的，不造成不可彌補(bǔ)損失的黑客入侵手法，對(duì)信息系統(tǒng)發(fā)起真正攻擊。 功能性檢測(cè)業(yè)務(wù)建設(shè)178。 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室的場(chǎng)地建設(shè)； 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室的硬件設(shè)備選型、采購(gòu)； 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室測(cè)試工具軟件及監(jiān)控分析軟件選型、采購(gòu)； 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室的人員配備、培訓(xùn)及資質(zhì)獲?。?信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室管理制度、工作流程建立； 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室各種工作開(kāi)展：提供對(duì)省電力系統(tǒng)內(nèi)的信息系統(tǒng)上線前的評(píng)測(cè)，主要的評(píng)測(cè)內(nèi)容是對(duì)信息系統(tǒng)的安全性，功能性與性能進(jìn)行評(píng)測(cè)。通過(guò)對(duì)信息系統(tǒng)的各種性能進(jìn)行檢測(cè)，確保新上線的信息系統(tǒng)能夠滿足當(dāng)前各種業(yè)務(wù)需求，特別是各種極端的性能檢測(cè)，提升信息系統(tǒng)的適用性，避免因信息系統(tǒng)性能的不滿足，而不斷的更新。建設(shè)要遵循實(shí)用性原則，要在學(xué)術(shù)性和實(shí)用性之間找到一個(gè)平衡點(diǎn)。要根據(jù)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室近期的業(yè)務(wù)范圍，根據(jù)實(shí)際工作需要，要綜合分析采購(gòu)產(chǎn)品的“必要性”，追求設(shè)備最合理的配置和盡可能高的性價(jià)比。設(shè)備的先進(jìn)性是信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室先進(jìn)的基礎(chǔ)，但再先進(jìn)的設(shè)備得不到合理地利用也只能成為擺設(shè)。設(shè)備的先進(jìn)是整個(gè)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室先進(jìn)的基礎(chǔ)。GB/T162602006 軟件工程 產(chǎn)品質(zhì)量、GB/T175441998 信息技術(shù) 軟件包 質(zhì)量要求和測(cè)試、GB/T155322008計(jì)算機(jī)軟件測(cè)試規(guī)范等是目前國(guó)內(nèi)發(fā)布的，與國(guó)際通行的計(jì)算機(jī)軟件測(cè)試標(biāo)準(zhǔn)相銜接的，計(jì)算機(jī)軟件生存周期內(nèi)各類(lèi)軟件產(chǎn)品的基本測(cè)試方法、過(guò)程和準(zhǔn)則。一個(gè)良好的、規(guī)范的過(guò)程管理是實(shí)現(xiàn)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)目標(biāo)的一個(gè)必要前提。信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)的中長(zhǎng)期目標(biāo)是開(kāi)展全方面的、高技術(shù)、高層次的信息系統(tǒng)檢測(cè)工作，能夠滿足XXXX企業(yè)的信息系統(tǒng)測(cè)試需要。信息化發(fā)展在帶來(lái)便利和高效率的同時(shí)，也帶來(lái)了新的安全風(fēng)險(xiǎn)和問(wèn)題。另外，在信息系統(tǒng)的運(yùn)維過(guò)程中，系統(tǒng)會(huì)面臨需求變化、數(shù)據(jù)結(jié)構(gòu)變化、數(shù)據(jù)量變化、基礎(chǔ)平臺(tái)升級(jí)等復(fù)雜情況，這將帶來(lái)很多隱藏的缺陷。XXXX企業(yè)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室將在已有的軟件測(cè)試實(shí)驗(yàn)室的基礎(chǔ)上建立，充分利用現(xiàn)有實(shí)驗(yàn)室資源，以實(shí)現(xiàn)業(yè)務(wù)上、技術(shù)上、規(guī)格上向更高的層次邁進(jìn)。XXXX省電力科學(xué)研究院早在2007年，就已經(jīng)開(kāi)始了信息軟件測(cè)試實(shí)驗(yàn)室建設(shè)，目前與軟件測(cè)試工作有關(guān)的員工有10余人，其中有高級(jí)工程師4人、碩士3名，實(shí)驗(yàn)室人員的平均年齡為28歲。由于報(bào)警數(shù)量巨大，運(yùn)維人員無(wú)法及時(shí)對(duì)系統(tǒng)整體運(yùn)行狀況做出客觀評(píng)估。在運(yùn)維過(guò)程中，系統(tǒng)存在隱藏的缺陷或?qū)е乱恍╇[藏的缺陷積累。 XXXX企業(yè)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)現(xiàn)狀：隨著信息安全成為當(dāng)今電力企業(yè)信息化發(fā)展過(guò)程中最為重視的問(wèn)題，在國(guó)家電網(wǎng)公司的積極倡導(dǎo)下，XXXX企業(yè)已經(jīng)開(kāi)始了信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室籌建工作，而XXXX企業(yè)的技術(shù)部門(mén)則成為建設(shè)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室的主導(dǎo)單位。在取得CNAS資質(zhì)后，XXXX電力實(shí)驗(yàn)研究院軟件測(cè)試實(shí)驗(yàn)室所出具的測(cè)試報(bào)告