【正文】 電監(jiān)安全【2006】34號(hào)電力二次系統(tǒng)安全防護(hù)規(guī)定本解決方案技術(shù)部分參考產(chǎn)品評(píng)測標(biāo)準(zhǔn)178。 ISO17799/BS7799 信息安全管理標(biāo)準(zhǔn)178。 信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室基本實(shí)施信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室基本實(shí)施內(nèi)容主要包括實(shí)驗(yàn)室場地實(shí)施，基本網(wǎng)絡(luò)布線實(shí)施，以及實(shí)驗(yàn)室設(shè)備擺放等等。ProcessExplorer：綜合性的安全檢測工具。Nessus掃描檢測模塊：Web安全類檢測模塊pangolin檢測模塊：最著名的sql注入利用工具。178。作用是規(guī)范辦公室管理，使辦公室的各項(xiàng)日常事務(wù)有章可循。3設(shè)備管理制度設(shè)備管理制度包括設(shè)備運(yùn)行管理制度、設(shè)備缺陷管理制度和設(shè)備檢修管理制度；作用是科學(xué)地管理好中心的設(shè)備，使設(shè)備的維護(hù)管理工作有組織、有計(jì)劃、有標(biāo)準(zhǔn)地進(jìn)行。 信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室及人員建設(shè)信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室作為一個(gè)專業(yè)性很強(qiáng)的技術(shù)評(píng)測實(shí)驗(yàn)室，需要一支專業(yè)化高素質(zhì)的信息人才隊(duì)伍，同時(shí)也需要一個(gè)健全的組織機(jī)構(gòu)，明確各崗位的職責(zé)。 數(shù)據(jù)庫的安全審計(jì)178。 登錄認(rèn)證方式216。 Web 應(yīng)用安全的弱點(diǎn)評(píng)測通過對(duì)WEB應(yīng)用的弱點(diǎn)進(jìn)行評(píng)測，發(fā)現(xiàn)應(yīng)用軟件中存在的安全隱患（包括安全功能設(shè)計(jì)、安全弱點(diǎn)、以及安全部署中的弱點(diǎn)等） 數(shù)據(jù)庫的安全性評(píng)測完整，全面發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)中數(shù)據(jù)庫的漏洞和安全隱患，主要評(píng)測的內(nèi)容如下：216。我們有必要為網(wǎng)絡(luò)設(shè)備自身的安全性和是否有效保護(hù)了被保護(hù)系統(tǒng)，做一個(gè)評(píng)測以達(dá)到真正起到保護(hù)的目的。滲透檢測模塊能夠快速提供需要的各種滲透方式使用的操作系統(tǒng)環(huán)境，以及滲透工具，便于檢測工程師能夠快速隊(duì)信息系統(tǒng)進(jìn)行各種滲透的安全性檢測。 安全性檢測業(yè)務(wù)建設(shè)178。 檢測業(yè)務(wù)范圍信息系統(tǒng)安全性檢測為企業(yè)范圍內(nèi)新上線或者準(zhǔn)備上線的信息系統(tǒng)提供安全性檢測的技術(shù)服務(wù)，信息系統(tǒng)的安全性測試內(nèi)容較多，需要很多特定檢測工具軟件，安全性檢測是信息系統(tǒng)上線前最為重要的檢測內(nèi)容，確保信息系統(tǒng)本身的安全性，是信息系統(tǒng)能夠真正上線的前提；信息系統(tǒng)性能檢測：為企業(yè)范圍內(nèi)新上線或準(zhǔn)備上線的信息系統(tǒng)提供信息系統(tǒng)的性能測試、易用性測試、可靠性測試等相關(guān)技術(shù)服務(wù)。建設(shè)時(shí)要遵循節(jié)約性原則，爭取做到少花錢多辦事。技術(shù)的先進(jìn)性首先體現(xiàn)在設(shè)備的先進(jìn)性上。 規(guī)范性信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室的人員配置、場地建設(shè)、軟硬件設(shè)備工具的配備、信息系統(tǒng)檢測標(biāo)準(zhǔn)制度的編制完善、人員的培訓(xùn)、資質(zhì)的獲取、管理體系及作業(yè)指導(dǎo)書的建立完善是一項(xiàng)復(fù)雜、細(xì)致的工作。再者，企業(yè)生產(chǎn)、管理、營銷等經(jīng)營活動(dòng)越來越依賴計(jì)算機(jī)信息系統(tǒng)，如果這些系統(tǒng)遭到破壞，造成數(shù)據(jù)損壞，信息泄露，不能提供服務(wù)等問題，則將對(duì)電網(wǎng)的安全運(yùn)行、公司的生產(chǎn)管理以及經(jīng)濟(jì)效益造成不可估量的損失。在取得CNAS資質(zhì)后，XXXX電力實(shí)驗(yàn)研究院軟件測試實(shí)驗(yàn)室所出具的測試報(bào)告就可以獲得50多個(gè)國家和地區(qū)的認(rèn)可；2009年12月通過XXXX省省直計(jì)量認(rèn)證評(píng)審組的擴(kuò)項(xiàng)評(píng)審，同樣在全國電力系統(tǒng)內(nèi)第一個(gè)取得了CMA計(jì)量認(rèn)證資質(zhì)。在運(yùn)維過程中，系統(tǒng)存在隱藏的缺陷或?qū)е乱恍╇[藏的缺陷積累。XXXX省電力科學(xué)研究院早在2007年，就已經(jīng)開始了信息軟件測試實(shí)驗(yàn)室建設(shè)，目前與軟件測試工作有關(guān)的員工有10余人，其中有高級(jí)工程師4人、碩士3名，實(shí)驗(yàn)室人員的平均年齡為28歲。另外，在信息系統(tǒng)的運(yùn)維過程中，系統(tǒng)會(huì)面臨需求變化、數(shù)據(jù)結(jié)構(gòu)變化、數(shù)據(jù)量變化、基礎(chǔ)平臺(tái)升級(jí)等復(fù)雜情況，這將帶來很多隱藏的缺陷。信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室建設(shè)的中長期目標(biāo)是開展全方面的、高技術(shù)、高層次的信息系統(tǒng)檢測工作，能夠滿足XXXX企業(yè)的信息系統(tǒng)測試需要。GB/T162602006 軟件工程 產(chǎn)品質(zhì)量、GB/T175441998 信息技術(shù) 軟件包 質(zhì)量要求和測試、GB/T155322008計(jì)算機(jī)軟件測試規(guī)范等是目前國內(nèi)發(fā)布的，與國際通行的計(jì)算機(jī)軟件測試標(biāo)準(zhǔn)相銜接的，計(jì)算機(jī)軟件生存周期內(nèi)各類軟件產(chǎn)品的基本測試方法、過程和準(zhǔn)則。設(shè)備的先進(jìn)性是信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室先進(jìn)的基礎(chǔ)，但再先進(jìn)的設(shè)備得不到合理地利用也只能成為擺設(shè)。建設(shè)要遵循實(shí)用性原則，要在學(xué)術(shù)性和實(shí)用性之間找到一個(gè)平衡點(diǎn)。 信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室的場地建設(shè)； 信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室的硬件設(shè)備選型、采購； 信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室測試工具軟件及監(jiān)控分析軟件選型、采購； 信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室的人員配備、培訓(xùn)及資質(zhì)獲??； 信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室管理制度、工作流程建立； 信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室各種工作開展：提供對(duì)省電力系統(tǒng)內(nèi)的信息系統(tǒng)上線前的評(píng)測，主要的評(píng)測內(nèi)容是對(duì)信息系統(tǒng)的安全性，功能性與性能進(jìn)行評(píng)測。檢測工具”，提供對(duì)上線信息系統(tǒng)的滲透性測試是在允許和可控的范圍內(nèi)，采取可控的，不造成不可彌補(bǔ)損失的黑客入侵手法，對(duì)信息系統(tǒng)發(fā)起真正攻擊。檢查網(wǎng)絡(luò)根據(jù)業(yè)務(wù)和安全需求的分段情況，是否采用了防火墻和網(wǎng)關(guān)來加強(qiáng)不同網(wǎng)段間的訪問控制，了解網(wǎng)絡(luò)的地址管理和IP地址規(guī)劃的原則和方法，了解網(wǎng)絡(luò)中出口的情況，每個(gè)出口的保護(hù)方式等。 路由器；216。 數(shù)據(jù)庫訪問控制178。 傳輸加密216。操作系統(tǒng)的安全性評(píng)測范圍：216。主要管理制度如表所示：序號(hào)主要管理制度管理制度內(nèi)容1崗位責(zé)任制度崗位責(zé)任制度內(nèi)容是每個(gè)崗位的職責(zé)、任務(wù)、目標(biāo)等內(nèi)容具體化；作用是明確責(zé)任，提高效率，保證工作質(zhì)量，獎(jiǎng)罰有據(jù)。6質(zhì)量管理制度質(zhì)量管理制度包括質(zhì)量管理體系，質(zhì)量標(biāo)準(zhǔn)法規(guī)，質(zhì)量管理和監(jiān)控的流程。 檢測模塊安全沙盤系統(tǒng)的檢測模塊【檢測模塊即攜帶各種對(duì)信息系統(tǒng)進(jìn)行測評(píng)時(shí)需要使用工具軟件以及相應(yīng)的環(huán)境，開啟的檢查模塊可以通過自身攜帶的軟件工具對(duì)信息系統(tǒng)進(jìn)行指定內(nèi)容的評(píng)測】涵蓋整個(gè)信息系統(tǒng)測評(píng)需要的軟件測試類工具與安全檢測類工具以及各種工具需要運(yùn)行的系統(tǒng)環(huán)境，按照檢測模塊應(yīng)用可以分類安全性檢測模塊，功能性檢測模塊，性能檢測模塊與擴(kuò)展業(yè)務(wù)需要使用的風(fēng)險(xiǎn)評(píng)估模塊四類；178。 “安全性”檢測模塊安全性檢測模塊主要是對(duì)需要評(píng)測的系統(tǒng)進(jìn)行各種安全性的評(píng)測，如被評(píng)測系統(tǒng)的主機(jī)安全，操作系統(tǒng)安全，賬戶安全，漏洞風(fēng)險(xiǎn)評(píng)測，特定應(yīng)用安全性評(píng)測等幾個(gè)方面，如被評(píng)測系統(tǒng)屬于特殊平臺(tái)架構(gòu)，可能需要定制專用的安全性檢測模塊；掃描類檢測模塊SuperScan掃描檢測模塊：圖形化的端口掃描器。：綜合性的安全檢測工具。數(shù)據(jù)庫評(píng)估能夠完整，全面發(fā)現(xiàn)本項(xiàng)目范圍內(nèi)系統(tǒng)數(shù)據(jù)庫的漏洞和安全隱患；Web應(yīng)用評(píng)估通過對(duì)WEB應(yīng)用進(jìn)行評(píng)估，發(fā)現(xiàn)應(yīng)用軟件中存在的安全隱患（包括安全功能設(shè)計(jì)、安全弱點(diǎn)、以及安全部署中的弱點(diǎn)等）通用中間件評(píng)估、apache、ftp、weblogic等相關(guān)通用的應(yīng)用軟件進(jìn)行安全評(píng)估。注意：此實(shí)施時(shí)間表，不包含信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室場地建設(shè)時(shí)間；信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室整體規(guī)劃分為一期與二期兩個(gè)階段，此實(shí)施方案僅為信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室一期工程實(shí)施計(jì)劃；附錄 參考標(biāo)準(zhǔn)本解決方案參考如下標(biāo)準(zhǔn)和規(guī)范：（1） 原郵電部、信息產(chǎn)業(yè)部相關(guān)技術(shù)規(guī)范；（2） 國家信息辦27號(hào)文件；（3） 軟件安全評(píng)估方案部分： JSYJ/F/JL/B/KJ0372003軟件安全評(píng)估方案（編寫提示）；本解決方案技術(shù)部分還參考以下標(biāo)準(zhǔn)：178。 G51——安全風(fēng)險(xiǎn)評(píng)估及審計(jì)指南178。 RFC 2544 Benchmarking Methodology for Network Interconnect Devices178。 COSO內(nèi)部控制——整體