【正文】 系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室先進(jìn)的基礎(chǔ)，但再先進(jìn)的設(shè)備得不到合理地利用也只能成為擺設(shè)。技術(shù)的先進(jìn)性更加體現(xiàn)在人員的高素質(zhì)上。設(shè)備的先進(jìn)是整個(gè)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室先進(jìn)的基礎(chǔ)。 先進(jìn)性當(dāng)今信息技術(shù)發(fā)展迅速，新技術(shù)、新產(chǎn)品層出不窮，要對(duì)各種信息系統(tǒng)都能進(jìn)行檢測(cè)，信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)時(shí)要將技術(shù)的先進(jìn)性放在重要位置。GB/T162602006 軟件工程 產(chǎn)品質(zhì)量、GB/T175441998 信息技術(shù) 軟件包 質(zhì)量要求和測(cè)試、GB/T155322008計(jì)算機(jī)軟件測(cè)試規(guī)范等是目前國(guó)內(nèi)發(fā)布的，與國(guó)際通行的計(jì)算機(jī)軟件測(cè)試標(biāo)準(zhǔn)相銜接的，計(jì)算機(jī)軟件生存周期內(nèi)各類(lèi)軟件產(chǎn)品的基本測(cè)試方法、過(guò)程和準(zhǔn)則。同樣，信息系統(tǒng)的檢測(cè)過(guò)程也是一項(xiàng)需要規(guī)范化、標(biāo)準(zhǔn)化的工作流程。一個(gè)良好的、規(guī)范的過(guò)程管理是實(shí)現(xiàn)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)目標(biāo)的一個(gè)必要前提。只有實(shí)現(xiàn)了檢測(cè)工作中測(cè)試技術(shù)、測(cè)試方法、測(cè)試過(guò)程等各領(lǐng)域工作的科學(xué)性、合理性，才能保證檢測(cè)結(jié)果的科學(xué)性、合理性，才能為信息系統(tǒng)的開(kāi)發(fā)、運(yùn)行提供真實(shí)、有效的幫助。信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)的中長(zhǎng)期目標(biāo)是開(kāi)展全方面的、高技術(shù)、高層次的信息系統(tǒng)檢測(cè)工作，能夠滿(mǎn)足XXXX企業(yè)的信息系統(tǒng)測(cè)試需要。 建設(shè)目標(biāo)XXXX企業(yè)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)的初期目標(biāo)是在現(xiàn)階段，以現(xiàn)有軟件測(cè)試實(shí)驗(yàn)室為基礎(chǔ)，通過(guò)人員、場(chǎng)地、設(shè)備、測(cè)試工具、制度規(guī)范的建設(shè)和完善，順利的完成從軟件測(cè)試研究實(shí)驗(yàn)室到XXXX企業(yè)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室的建設(shè)。信息化發(fā)展在帶來(lái)便利和高效率的同時(shí)，也帶來(lái)了新的安全風(fēng)險(xiǎn)和問(wèn)題。通過(guò)建設(shè)一個(gè)專(zhuān)業(yè)的信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室，使用專(zhuān)門(mén)的檢測(cè)工具與檢測(cè)手段，定期對(duì)各大集中系統(tǒng)的網(wǎng)絡(luò)、防火墻、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用等多個(gè)層面的健康狀態(tài)進(jìn)行檢測(cè)和評(píng)估分析，及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行中的缺陷及安全隱患，實(shí)現(xiàn)系統(tǒng)運(yùn)行的可視、可控、可預(yù)測(cè)和可維護(hù)的目的。另外，在信息系統(tǒng)的運(yùn)維過(guò)程中，系統(tǒng)會(huì)面臨需求變化、數(shù)據(jù)結(jié)構(gòu)變化、數(shù)據(jù)量變化、基礎(chǔ)平臺(tái)升級(jí)等復(fù)雜情況，這將帶來(lái)很多隱藏的缺陷。如何保證越來(lái)越多的新上線(xiàn)信息系統(tǒng)的質(zhì)量，如何在心信息系統(tǒng)上線(xiàn)前進(jìn)行綜合，快捷的檢測(cè)，評(píng)估，是信息化發(fā)展過(guò)程中待解決的問(wèn)題。XXXX企業(yè)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室將在已有的軟件測(cè)試實(shí)驗(yàn)室的基礎(chǔ)上建立，充分利用現(xiàn)有實(shí)驗(yàn)室資源，以實(shí)現(xiàn)業(yè)務(wù)上、技術(shù)上、規(guī)格上向更高的層次邁進(jìn)。在全國(guó)電力系統(tǒng)內(nèi)率先取得了CNAS資質(zhì)。XXXX省電力科學(xué)研究院早在2007年，就已經(jīng)開(kāi)始了信息軟件測(cè)試實(shí)驗(yàn)室建設(shè)，目前與軟件測(cè)試工作有關(guān)的員工有10余人，其中有高級(jí)工程師4人、碩士3名，實(shí)驗(yàn)室人員的平均年齡為28歲。 建設(shè)現(xiàn)狀：信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)還處于初期階段，隨著企業(yè)對(duì)信息系統(tǒng)上線(xiàn)前的安全評(píng)測(cè)的不斷重視，大型企業(yè)將會(huì)越來(lái)越重視信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室。由于報(bào)警數(shù)量巨大，運(yùn)維人員無(wú)法及時(shí)對(duì)系統(tǒng)整體運(yùn)行狀況做出客觀評(píng)估。信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)方案2010年03月目 錄第一章 概述 4 建設(shè)背景 4 建設(shè)現(xiàn)狀 4： 4 XXXX企業(yè)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)現(xiàn)狀： 4 建設(shè)意義 5 建設(shè)目標(biāo) 5 建設(shè)原則 6 科學(xué)性 6 規(guī)范性 6 先進(jìn)性 6 效率性 7 實(shí)用性 7第二章 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室 8 檢測(cè)業(yè)務(wù)范圍 8 建設(shè)內(nèi)容 8 8第三章 評(píng)測(cè)實(shí)驗(yàn)室解決方案 10 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室框架 10 11 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室網(wǎng)絡(luò)部署圖 11 安全性檢測(cè)業(yè)務(wù)建設(shè) 12 功能性檢測(cè)業(yè)務(wù)建設(shè) 14 性能檢測(cè)業(yè)務(wù)建設(shè) 14 SG186業(yè)務(wù)應(yīng)用運(yùn)維測(cè)試業(yè)務(wù)建設(shè) 15 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室擴(kuò)展業(yè)務(wù)建設(shè) 15 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室及人員建設(shè) 17 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室場(chǎng)地建設(shè) 18 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室制度建設(shè) 18 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室流程建設(shè) 19 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室解決方案的優(yōu)勢(shì) 22 檢測(cè)模塊的多樣化/多層次 22 檢測(cè)模塊自動(dòng)化/定制化 22 優(yōu)異的兼容性與擴(kuò)展性 22 領(lǐng)信安全沙盤(pán)系統(tǒng)檢測(cè)模塊介紹 23 “安全性”檢測(cè)模塊 23 “功能性”檢測(cè)模塊 24 “性能”檢測(cè)模塊 25 “評(píng)估性”檢測(cè)模塊 25第四章 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室實(shí)施方案 27 部署示意圖 27 部署實(shí)施建議 27 信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室基本實(shí)施 28 評(píng)測(cè)工具區(qū)實(shí)施 28 評(píng)測(cè)工作區(qū)實(shí)施 28 評(píng)測(cè)接入?yún)^(qū)實(shí)施 28 采購(gòu)設(shè)備清單 29 實(shí)施計(jì)劃 30 項(xiàng)目實(shí)施說(shuō)明 30 實(shí)施時(shí)間表 30附錄 參考標(biāo)準(zhǔn) 31第一章 概述 建設(shè)背景隨著企業(yè)各種大型信息化工程的建設(shè)竣工，大部分的大集中信息系統(tǒng)在陸續(xù)進(jìn)入運(yùn)維階段。在運(yùn)維過(guò)程中，系統(tǒng)存在隱藏的缺陷或?qū)е乱恍╇[藏的缺陷積累。而一個(gè)專(zhuān)業(yè)的信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室，通過(guò)配備專(zhuān)門(mén)的檢測(cè)工具、檢測(cè)手段及檢測(cè)方法，定期對(duì)各大集中系統(tǒng)的網(wǎng)絡(luò)、防火墻、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用等多個(gè)層面的健康狀態(tài)進(jìn)行監(jiān)控和分析，可及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行中的缺陷及安全隱患，實(shí)現(xiàn)系統(tǒng)運(yùn)行的可視、可控、可預(yù)測(cè)和可維護(hù)的目的。 XXXX企業(yè)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室建設(shè)現(xiàn)狀：隨著信息安全成為當(dāng)今電力企業(yè)信息化發(fā)展過(guò)程中最為重視的問(wèn)題，在國(guó)家電網(wǎng)公司的積極倡導(dǎo)下，XXXX企業(yè)已經(jīng)開(kāi)始了信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室籌建工作，而XXXX企業(yè)的技術(shù)部門(mén)則成為建設(shè)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室的主導(dǎo)單位。實(shí)驗(yàn)室于2008年通過(guò)了ISO9000體系認(rèn)證；2009年8月順利通過(guò)國(guó)家實(shí)驗(yàn)室認(rèn)可委的實(shí)驗(yàn)室擴(kuò)項(xiàng)外審。在取得CNAS資質(zhì)后，XXXX電力實(shí)驗(yàn)研究院軟件測(cè)試實(shí)驗(yàn)室所出具的測(cè)試報(bào)告就可以獲得50多個(gè)國(guó)家和地區(qū)的認(rèn)可；2009年12月通過(guò)XXXX省省直計(jì)量認(rèn)證評(píng)審組的擴(kuò)項(xiàng)評(píng)審，同樣在全國(guó)電力系統(tǒng)內(nèi)第一個(gè)取得了CMA計(jì)量認(rèn)證資質(zhì)。 建設(shè)意義在企業(yè)信息化的建設(shè)和發(fā)展過(guò)程中，信息化將貫穿整個(gè)過(guò)程，大量的信息系統(tǒng)建設(shè)將是必然的。通過(guò)建設(shè)一個(gè)專(zhuān)業(yè)的信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室，對(duì)即將上線(xiàn)的信息系統(tǒng)進(jìn)行嚴(yán)格的測(cè)試，安全評(píng)估，加強(qiáng)對(duì)信息系統(tǒng)的質(zhì)量把關(guān)，進(jìn)而可以充分保證信息系統(tǒng)的可用性、可靠性，保證系統(tǒng)各種性能的達(dá)標(biāo)。系統(tǒng)運(yùn)維平臺(tái)所提供的異常報(bào)警、異常處理提示、故障追蹤等技術(shù)手段，由于報(bào)警數(shù)量巨大，運(yùn)維人員無(wú)法及時(shí)對(duì)系統(tǒng)整體運(yùn)行狀況做出客觀評(píng)估。再者，企業(yè)生產(chǎn)、管理、營(yíng)銷(xiāo)等經(jīng)營(yíng)活動(dòng)越來(lái)越依賴(lài)計(jì)算機(jī)信息系統(tǒng)，如果這些系統(tǒng)遭到破壞，造成數(shù)據(jù)損壞，信息泄露，不能提供服務(wù)等問(wèn)題，則將對(duì)電網(wǎng)的安全運(yùn)行、公司的生產(chǎn)管理以及經(jīng)濟(jì)效益造成不可估量的損失。通過(guò)建設(shè)一個(gè)專(zhuān)業(yè)的信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室，對(duì)信息系統(tǒng)進(jìn)行安全性測(cè)試，主要內(nèi)容包括服務(wù)器安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全以及安全信息措施檢測(cè)，保證公司的信息系統(tǒng)安全穩(wěn)定的運(yùn)行。信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室在開(kāi)展常規(guī)的功能性軟件測(cè)試工作的同時(shí)，還可以開(kāi)展軟件的性能測(cè)試、易用性測(cè)試、可靠性測(cè)試、維護(hù)性測(cè)試、可移植性測(cè)試和安全性測(cè)試等等，同時(shí)根據(jù)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室的特點(diǎn)，還可以進(jìn)行各種信息安全技術(shù)的培訓(xùn)，演練，進(jìn)一步的滿(mǎn)足信息化建設(shè)工作的需要。 建設(shè)原則 科學(xué)性建設(shè)信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室是為了給信息化建設(shè)提供安全可靠的質(zhì)量保證，而實(shí)現(xiàn)質(zhì)量保證的前提則是檢測(cè)工作的科學(xué)性。 規(guī)范性信息系統(tǒng)安全評(píng)測(cè)實(shí)驗(yàn)室的人員配置、場(chǎng)地建設(shè)、軟硬件設(shè)備工具的配備、信息系統(tǒng)檢測(cè)標(biāo)準(zhǔn)制度的編制完善、人員的培訓(xùn)、資質(zhì)的