【正文】 框架178。 項(xiàng)目實(shí)施說明整個(gè)實(shí)施共分為以下幾個(gè)階段：第一階段：“信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室”基本網(wǎng)絡(luò)實(shí)施；第二階段：“信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室”評(píng)測(cè)工具區(qū)實(shí)施；第三階段：“信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室”評(píng)測(cè)工作區(qū)實(shí)施；第四階段：“信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室”評(píng)測(cè)接入?yún)^(qū)實(shí)施；第五階段：“信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室”驗(yàn)收。 Microsoft的安全基線工具 “功能性”檢測(cè)模塊功能性檢測(cè)模塊主要提供對(duì)被評(píng)測(cè)系統(tǒng)在功能測(cè)試時(shí)需要使用的測(cè)試環(huán)境，以及針對(duì)功能性測(cè)試的測(cè)試流程 ，測(cè)試方法；提供標(biāo)準(zhǔn)的操作系統(tǒng)測(cè)試環(huán)境，便于用戶對(duì)信息系統(tǒng)進(jìn)行各種功能性測(cè)試，驗(yàn)證部署；Windows 類操作系統(tǒng)提供標(biāo)準(zhǔn)的Windows 2000，Windows XP，Windows 2003 的操作系統(tǒng)；Unix類操作系統(tǒng)提供常見的Free版的Unix操作系統(tǒng)；如FreeSB；Linux類操作系統(tǒng)提供常見的Linux操作系統(tǒng)；對(duì)于功能性測(cè)試需要的特定操作系統(tǒng)環(huán)境，可以在信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室特定采購(gòu)專屬服務(wù)器上進(jìn)行功能性測(cè)試； “性能”檢測(cè)模塊針對(duì)信息系統(tǒng)進(jìn)行性能檢測(cè)模塊，主要是各種比較常見的性能測(cè)評(píng)工具，以及自動(dòng)化性能測(cè)試，根據(jù)用戶的需要，可以定制帶有各種標(biāo)準(zhǔn)化的自動(dòng)化性能測(cè)試工具的檢查模塊，以滿足用戶在專屬信息系統(tǒng)上進(jìn)行的特定性能測(cè)試； “評(píng)估性”檢測(cè)模塊評(píng)估性檢測(cè)模塊是針對(duì)特定的需要才進(jìn)行定制的檢查模塊，是信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室在二期進(jìn)行業(yè)務(wù)擴(kuò)展時(shí)，才使用的檢測(cè)模塊，此部分檢測(cè)模塊是針對(duì)網(wǎng)絡(luò)，網(wǎng)絡(luò)設(shè)備，數(shù)據(jù)庫(kù)，Web應(yīng)用，中間件等專屬業(yè)務(wù)提供的安全評(píng)估性檢測(cè)，是信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室二期業(yè)務(wù)擴(kuò)展的內(nèi)容；評(píng)測(cè)工程師需要進(jìn)行此部分業(yè)務(wù)的專屬培訓(xùn)；并取得相應(yīng)的資質(zhì)；網(wǎng)絡(luò)架構(gòu)評(píng)估對(duì)物理網(wǎng)絡(luò)結(jié)構(gòu)，邏輯網(wǎng)絡(luò)結(jié)構(gòu)及網(wǎng)絡(luò)的關(guān)鍵設(shè)備進(jìn)行評(píng)估，發(fā)現(xiàn)存在的安全性，合理性，使用效率等方面的問題；網(wǎng)絡(luò)設(shè)備評(píng)估網(wǎng)絡(luò)設(shè)備是保障一個(gè)系統(tǒng)邊界安全的有利工具，但是過分的依賴于網(wǎng)絡(luò)設(shè)備理論上提供的功能，將會(huì)導(dǎo)致無法正確判斷系統(tǒng)的威脅情況，和信任過度的問題。 Abel 工具檢測(cè)模塊：比較常用的口令檢測(cè)工具，能夠進(jìn)行口令破解檢測(cè)，可以通過arp欺騙進(jìn)行嗅探。 優(yōu)異的兼容性與可擴(kuò)展性：通過安全沙盤系統(tǒng)搭建的信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室，具備良好的兼容性欲可擴(kuò)展性，可以與其他檢測(cè)，評(píng)測(cè)設(shè)備一同使用，也可以與各種安全設(shè)備一同使用，同時(shí)可以不斷的通過擴(kuò)充檢測(cè)模塊，以及相應(yīng)的技術(shù)人員的培訓(xùn)，使得信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室能夠不斷擴(kuò)展業(yè)務(wù)范圍。信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室管理制度表 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室流程建設(shè)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建成后，在開展各項(xiàng)常規(guī)信息系統(tǒng)評(píng)測(cè)工作的同時(shí)，將根據(jù)需要逐步開展系統(tǒng)的安全性測(cè)試、運(yùn)維期測(cè)試等，最終建成一個(gè)完備的信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室中心。5安全管理制度安全管理制度包括實(shí)驗(yàn)室的防火防盜、電源安全、設(shè)備安全管理、核心資料的保密。信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室的組織結(jié)構(gòu)如圖下圖所示：信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室組織結(jié)構(gòu)圖 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室場(chǎng)地建設(shè)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室場(chǎng)地?cái)M定在XXXX機(jī)房，根據(jù)機(jī)房搬遷計(jì)劃，定于XXXX年XX月底完成信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室的機(jī)房搬遷。評(píng)測(cè)主要包含補(bǔ)丁管理、最大安全性原則、用戶管理、權(quán)限管理、日志安全管理等進(jìn)行分析。 數(shù)據(jù)庫(kù)備份178。 密碼策略設(shè)置178。網(wǎng)絡(luò)設(shè)備安全包含：216。 網(wǎng)絡(luò)架構(gòu)的安全性評(píng)測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)存在的安全性、網(wǎng)絡(luò)負(fù)載問題，網(wǎng)絡(luò)設(shè)備存在的安全性，抗攻擊的問題。檢測(cè)工具”，可以提供針對(duì)信息系統(tǒng)的主機(jī)安全性檢測(cè)需要的各種操作系統(tǒng)環(huán)境，主機(jī)安全性檢測(cè)需要的軟件工具，無需檢測(cè)工程師手動(dòng)安裝，尋找檢測(cè)工具；能夠提供針對(duì)主機(jī)安全性檢測(cè)需要的所有常見工具軟件，以及工具軟件運(yùn)行的環(huán)境。在信息系統(tǒng)上線前提前對(duì)信息系統(tǒng)的業(yè)務(wù)功能，維護(hù)管理，可移植進(jìn)行檢測(cè)，提供信息系統(tǒng)的上線質(zhì)量。 實(shí)用性實(shí)用性是信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室的基本特征，更是內(nèi)在要求。技術(shù)的先進(jìn)性更加體現(xiàn)在人員的高素質(zhì)上。同樣，信息系統(tǒng)的檢測(cè)過程也是一項(xiàng)需要規(guī)范化、標(biāo)準(zhǔn)化的工作流程。 建設(shè)目標(biāo)XXXX企業(yè)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)的初期目標(biāo)是在現(xiàn)階段，以現(xiàn)有軟件測(cè)試實(shí)驗(yàn)室為基礎(chǔ)，通過人員、場(chǎng)地、設(shè)備、測(cè)試工具、制度規(guī)范的建設(shè)和完善，順利的完成從軟件測(cè)試研究實(shí)驗(yàn)室到XXXX企業(yè)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室的建設(shè)。如何保證越來越多的新上線信息系統(tǒng)的質(zhì)量，如何在心信息系統(tǒng)上線前進(jìn)行綜合，快捷的檢測(cè)，評(píng)估，是信息化發(fā)展過程中待解決的問題。 建設(shè)現(xiàn)狀：信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)還處于初期階段，隨著企業(yè)對(duì)信息系統(tǒng)上線前的安全評(píng)測(cè)的不斷重視，大型企業(yè)將會(huì)越來越重視信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室。而一個(gè)專業(yè)的信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室，通過配備專門的檢測(cè)工具、檢測(cè)手段及檢測(cè)方法，定期對(duì)各大集中系統(tǒng)的網(wǎng)絡(luò)、防火墻、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用等多個(gè)層面的健康狀態(tài)進(jìn)行監(jiān)控和分析，可及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行中的缺陷及安全隱患，實(shí)現(xiàn)系統(tǒng)運(yùn)行的可視、可控、可預(yù)測(cè)和可維護(hù)的目的。 建設(shè)意義在企業(yè)信息化的建設(shè)和發(fā)展過程中，信息化將貫穿整個(gè)過程，大量的信息系統(tǒng)建設(shè)將是必然的。通過建設(shè)一個(gè)專業(yè)的信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室，對(duì)信息系統(tǒng)進(jìn)行安全性測(cè)試，主要內(nèi)容包括服務(wù)器安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全以及安全信息措施檢測(cè)，保證公司的信息系統(tǒng)安全穩(wěn)定的運(yùn)行。只有實(shí)現(xiàn)規(guī)范化、標(biāo)準(zhǔn)化的管理，才能保證信息信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室的建設(shè)工作順利開展。采用當(dāng)今最先進(jìn)的設(shè)備，選擇最前沿的技術(shù)，才能有力地保障信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室高質(zhì)量、高標(biāo)準(zhǔn)地完成各項(xiàng)工作。此外，由于信息化建設(shè)的規(guī)模越來越大，需要檢測(cè)的信息系統(tǒng)項(xiàng)目也越來越多，因此信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)要講就效率，合理規(guī)劃業(yè)務(wù)工作流程，提高人員工作效率和資源利用效率。信息系統(tǒng)功能性檢測(cè)：為企業(yè)范圍內(nèi)新上線或準(zhǔn)備上線的信息系統(tǒng)提供信息系統(tǒng)的功能性測(cè)試、維護(hù)性測(cè)試、可移植性測(cè)試等相關(guān)技術(shù)服務(wù)。 性能檢測(cè)業(yè)務(wù)建設(shè) 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室網(wǎng)絡(luò)部署圖信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室拓?fù)鋱D 安全性檢測(cè)業(yè)務(wù)建設(shè)在信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)中，對(duì)信息系統(tǒng)的安全性檢測(cè)業(yè)務(wù)的建設(shè)需要考慮的安全性檢測(cè)的特殊性，以及便捷性，在信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室內(nèi)，能夠提供各種安全性檢測(cè)機(jī)制，檢測(cè)工具模塊，能夠提供快速，便捷的啟動(dòng)各種檢測(cè)工具模塊對(duì)“被檢測(cè)的信息系統(tǒng)”進(jìn)行安全性檢測(cè)，并且隨著信息系統(tǒng)安全性檢測(cè)業(yè)務(wù)的擴(kuò)展 能夠不斷提供對(duì)各個(gè)安全性檢測(cè)工具模塊進(jìn)行擴(kuò)展，更新；通過在信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室內(nèi)，對(duì)信息系統(tǒng)的初期安全性檢測(cè)業(yè)務(wù)主要內(nèi)容如下： 信息系統(tǒng)主機(jī)安全性檢測(cè)：領(lǐng)信安全沙盤系統(tǒng)將提供快速的虛擬評(píng)測(cè)需要的“檢測(cè)模塊amp。 SG186業(yè)務(wù)應(yīng)用運(yùn)維測(cè)試業(yè)務(wù)建設(shè)在信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)中，可以對(duì)SG186業(yè)務(wù)應(yīng)用運(yùn)維進(jìn)行模擬測(cè)試，為SG186業(yè)務(wù)的正常維護(hù)，管理提供參考；測(cè)試模塊針對(duì)SG186業(yè)務(wù)的測(cè)試需要提供各種模擬的測(cè)試工具，測(cè)試環(huán)境，能夠?qū)G186業(yè)務(wù)提供全面的測(cè)試，評(píng)估； 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室擴(kuò)展業(yè)務(wù)建設(shè)在信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)中，在滿足初期建設(shè)業(yè)務(wù)的需求后，還需要信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室能夠開展信息系統(tǒng)安全性測(cè)試的深入研究，逐步掌握針對(duì)網(wǎng)絡(luò)、防火墻、Web應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、操作系統(tǒng)等多個(gè)應(yīng)用層面的安全性評(píng)測(cè)技術(shù)。有必要為網(wǎng)絡(luò)設(shè)備存在的這些問題提供一種安全解決方案，而針對(duì)網(wǎng)絡(luò)設(shè)備的安全評(píng)測(cè)將是一種有效的手段