【正文】 RFC 2544 Benchmarking Methodology for Network Interconnect Devices178。 GBT 202812006 信息安全技術(shù) 防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法178。 GB 178591999——計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則本解決方案技術(shù)部分參考行業(yè)性標(biāo)準(zhǔn)：178。 G51——安全風(fēng)險(xiǎn)評(píng)估及審計(jì)指南178。 COSO內(nèi)部控制——整體框架178。 ISO 13335 IT安全管理方針系列178。 GB/T 9386—1988 計(jì)算機(jī)軟件安全評(píng)估文件編制規(guī)范178。注意：此實(shí)施時(shí)間表，不包含信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室場(chǎng)地建設(shè)時(shí)間；信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室整體規(guī)劃分為一期與二期兩個(gè)階段，此實(shí)施方案僅為信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室一期工程實(shí)施計(jì)劃；附錄 參考標(biāo)準(zhǔn)本解決方案參考如下標(biāo)準(zhǔn)和規(guī)范：（1） 原郵電部、信息產(chǎn)業(yè)部相關(guān)技術(shù)規(guī)范；（2） 國(guó)家信息辦27號(hào)文件；（3） 軟件安全評(píng)估方案部分： JSYJ/F/JL/B/KJ0372003軟件安全評(píng)估方案（編寫(xiě)提示）；本解決方案技術(shù)部分還參考以下標(biāo)準(zhǔn)：178。 項(xiàng)目實(shí)施說(shuō)明整個(gè)實(shí)施共分為以下幾個(gè)階段：第一階段：“信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室”基本網(wǎng)絡(luò)實(shí)施；第二階段：“信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室”評(píng)測(cè)工具區(qū)實(shí)施；第三階段：“信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室”評(píng)測(cè)工作區(qū)實(shí)施；第四階段：“信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室”評(píng)測(cè)接入?yún)^(qū)實(shí)施；第五階段：“信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室”驗(yàn)收。需要注意基本實(shí)施中的場(chǎng)地選擇與網(wǎng)絡(luò)布線，針對(duì)實(shí)驗(yàn)室網(wǎng)絡(luò)安全防護(hù)的各種防護(hù)設(shè)備的策略設(shè)置。第四章 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室實(shí)施方案信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室的實(shí)施需要有完善的實(shí)施方案，根據(jù)設(shè)計(jì)提供的網(wǎng)絡(luò)部署圖，按照每個(gè)區(qū)域進(jìn)行網(wǎng)絡(luò)，設(shè)備的部署調(diào)試，安裝； 部署示意圖部署示意拓?fù)鋱D 部署實(shí)施建議信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室是針對(duì)上線前信息系統(tǒng)的評(píng)測(cè)為建設(shè)的，因此在信息實(shí)驗(yàn)室的實(shí)施過(guò)程中，必須考慮今后信息實(shí)驗(yàn)室的業(yè)務(wù)開(kāi)展，以及新業(yè)務(wù)的擴(kuò)展需求，將信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室區(qū)域化，組件化，使得信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室具備優(yōu)異的擴(kuò)展性。數(shù)據(jù)庫(kù)評(píng)估能夠完整，全面發(fā)現(xiàn)本項(xiàng)目范圍內(nèi)系統(tǒng)數(shù)據(jù)庫(kù)的漏洞和安全隱患；Web應(yīng)用評(píng)估通過(guò)對(duì)WEB應(yīng)用進(jìn)行評(píng)估，發(fā)現(xiàn)應(yīng)用軟件中存在的安全隱患（包括安全功能設(shè)計(jì)、安全弱點(diǎn)、以及安全部署中的弱點(diǎn)等）通用中間件評(píng)估、apache、ftp、weblogic等相關(guān)通用的應(yīng)用軟件進(jìn)行安全評(píng)估。 Microsoft的安全基線工具 “功能性”檢測(cè)模塊功能性檢測(cè)模塊主要提供對(duì)被評(píng)測(cè)系統(tǒng)在功能測(cè)試時(shí)需要使用的測(cè)試環(huán)境，以及針對(duì)功能性測(cè)試的測(cè)試流程 ，測(cè)試方法；提供標(biāo)準(zhǔn)的操作系統(tǒng)測(cè)試環(huán)境，便于用戶對(duì)信息系統(tǒng)進(jìn)行各種功能性測(cè)試，驗(yàn)證部署；Windows 類操作系統(tǒng)提供標(biāo)準(zhǔn)的Windows 2000，Windows XP，Windows 2003 的操作系統(tǒng)；Unix類操作系統(tǒng)提供常見(jiàn)的Free版的Unix操作系統(tǒng)；如FreeSB；Linux類操作系統(tǒng)提供常見(jiàn)的Linux操作系統(tǒng)；對(duì)于功能性測(cè)試需要的特定操作系統(tǒng)環(huán)境，可以在信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室特定采購(gòu)專屬服務(wù)器上進(jìn)行功能性測(cè)試； “性能”檢測(cè)模塊針對(duì)信息系統(tǒng)進(jìn)行性能檢測(cè)模塊，主要是各種比較常見(jiàn)的性能測(cè)評(píng)工具，以及自動(dòng)化性能測(cè)試，根據(jù)用戶的需要，可以定制帶有各種標(biāo)準(zhǔn)化的自動(dòng)化性能測(cè)試工具的檢查模塊，以滿足用戶在專屬信息系統(tǒng)上進(jìn)行的特定性能測(cè)試； “評(píng)估性”檢測(cè)模塊評(píng)估性檢測(cè)模塊是針對(duì)特定的需要才進(jìn)行定制的檢查模塊，是信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室在二期進(jìn)行業(yè)務(wù)擴(kuò)展時(shí)，才使用的檢測(cè)模塊，此部分檢測(cè)模塊是針對(duì)網(wǎng)絡(luò)，網(wǎng)絡(luò)設(shè)備，數(shù)據(jù)庫(kù)，Web應(yīng)用，中間件等專屬業(yè)務(wù)提供的安全評(píng)估性檢測(cè)，是信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室二期業(yè)務(wù)擴(kuò)展的內(nèi)容；評(píng)測(cè)工程師需要進(jìn)行此部分業(yè)務(wù)的專屬培訓(xùn)；并取得相應(yīng)的資質(zhì)；網(wǎng)絡(luò)架構(gòu)評(píng)估對(duì)物理網(wǎng)絡(luò)結(jié)構(gòu)，邏輯網(wǎng)絡(luò)結(jié)構(gòu)及網(wǎng)絡(luò)的關(guān)鍵設(shè)備進(jìn)行評(píng)估，發(fā)現(xiàn)存在的安全性，合理性，使用效率等方面的問(wèn)題；網(wǎng)絡(luò)設(shè)備評(píng)估網(wǎng)絡(luò)設(shè)備是保障一個(gè)系統(tǒng)邊界安全的有利工具，但是過(guò)分的依賴于網(wǎng)絡(luò)設(shè)備理論上提供的功能，將會(huì)導(dǎo)致無(wú)法正確判斷系統(tǒng)的威脅情況，和信任過(guò)度的問(wèn)題。Autoruns：檢查系統(tǒng)自啟動(dòng)項(xiàng)的工具。：綜合性的安全檢測(cè)工具。：綜合性的安全檢測(cè)工具。 Abel 工具檢測(cè)模塊：比較常用的口令檢測(cè)工具，能夠進(jìn)行口令破解檢測(cè)，可以通過(guò)arp欺騙進(jìn)行嗅探。Acunetix Vulnerability檢測(cè)模塊：通過(guò)該軟件掃描可以發(fā)現(xiàn)SQL注入、跨站腳本、web應(yīng)用服務(wù)器配置錯(cuò)誤等漏洞。支持多種協(xié)議的掃描如UDP，TCP connect(),TCP SYN (half open), ftp proxy (bounce attack),Reverseident, ICMP (ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep, 和Null掃描。 “安全性”檢測(cè)模塊安全性檢測(cè)模塊主要是對(duì)需要評(píng)測(cè)的系統(tǒng)進(jìn)行各種安全性的評(píng)測(cè)，如被評(píng)測(cè)系統(tǒng)的主機(jī)安全，操作系統(tǒng)安全，賬戶安全，漏洞風(fēng)險(xiǎn)評(píng)測(cè)，特定應(yīng)用安全性評(píng)測(cè)等幾個(gè)方面，如被評(píng)測(cè)系統(tǒng)屬于特殊平臺(tái)架構(gòu)，可能需要定制專用的安全性檢測(cè)模塊；掃描類檢測(cè)模塊SuperScan掃描檢測(cè)模塊：圖形化的端口掃描器。 優(yōu)異的兼容性與可擴(kuò)展性：通過(guò)安全沙盤(pán)系統(tǒng)搭建的信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室，具備良好的兼容性欲可擴(kuò)展性，可以與其他檢測(cè)，評(píng)測(cè)設(shè)備一同使用，也可以與各種安全設(shè)備一同使用，同時(shí)可以不斷的通過(guò)擴(kuò)充檢測(cè)模塊，以及相應(yīng)的技術(shù)人員的培訓(xùn)，使得信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室能夠不斷擴(kuò)展業(yè)務(wù)范圍。 檢測(cè)模塊定制加載/卸載評(píng)測(cè)工程師可以通過(guò)管理平臺(tái)為不同的信息系統(tǒng)測(cè)試開(kāi)啟不同的檢測(cè)模塊，可以同時(shí)進(jìn)行多個(gè)相同檢測(cè)模塊以及不同的檢查模塊的開(kāi)啟，為同時(shí)進(jìn)行多個(gè)信息系統(tǒng)的評(píng)測(cè)提供條件；不需要使用的檢測(cè)模塊可以立即關(guān)閉，不會(huì)影響其他開(kāi)啟的檢查模塊的使用。 檢測(cè)模塊即時(shí)加載/卸載評(píng)測(cè)工程師可以通過(guò)管理平臺(tái)即時(shí)開(kāi)啟各種計(jì)測(cè)試需要的檢查模塊，搭建各種系統(tǒng)的評(píng)測(cè)環(huán)境，還可以根據(jù)需要將各種需要使用的檢測(cè)模塊一次開(kāi)啟，利用每個(gè)檢測(cè)模塊對(duì)信息系統(tǒng)進(jìn)行相應(yīng)的評(píng)測(cè)，對(duì)于不需要使用的檢測(cè)模塊，可以立即停止關(guān)閉，為新需要的檢測(cè)模塊開(kāi)啟提供資源。 檢測(cè)模塊安全沙盤(pán)系統(tǒng)的檢測(cè)模塊【檢測(cè)模塊即攜帶各種對(duì)信息系統(tǒng)進(jìn)行測(cè)評(píng)時(shí)需要使用工具軟件以及相應(yīng)的環(huán)境，開(kāi)啟的檢查模塊可以通過(guò)自身攜帶的軟件工具對(duì)信息系統(tǒng)進(jìn)行指定內(nèi)容的評(píng)測(cè)】涵蓋整個(gè)信息系統(tǒng)測(cè)評(píng)需要的軟件測(cè)試類工具與安全檢測(cè)類工具以及各種工具需要運(yùn)行的系統(tǒng)環(huán)境，按照檢測(cè)模塊應(yīng)用可以分類安全性檢測(cè)模塊，功能性檢測(cè)模塊，性能檢測(cè)模塊與擴(kuò)展業(yè)務(wù)需要使用的風(fēng)險(xiǎn)評(píng)估模塊四類；178。信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室管理制度表 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室流程建設(shè)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建成后，在開(kāi)展各項(xiàng)常規(guī)信息系統(tǒng)評(píng)測(cè)工作的同時(shí)，將根據(jù)需要逐步開(kāi)展系統(tǒng)的安全性測(cè)試、運(yùn)維期測(cè)試等，最終建成一個(gè)完備的信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室中心。8作業(yè)管理制度作業(yè)管理制度包括檢測(cè)工作流程中各種測(cè)試標(biāo)準(zhǔn)、測(cè)試規(guī)范、注意事項(xiàng)、作業(yè)指導(dǎo)書(shū)等。7辦公室管理制度辦公室管理制度包括辦公用品管理、電話管理、衛(wèi)生管理、打印復(fù)印管理等。6質(zhì)量管理制度質(zhì)量管理制度包括質(zhì)量管理體系，質(zhì)量標(biāo)準(zhǔn)法規(guī)，質(zhì)量管理