【正文】 獲取、管理體系及作業(yè)指導(dǎo)書的建立完善是一項(xiàng)復(fù)雜、細(xì)致的工作。只有實(shí)現(xiàn)規(guī)范化、標(biāo)準(zhǔn)化的管理，才能保證信息信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室的建設(shè)工作順利開展。ISO9000、CMMI（軟件能力成熟度模型）都是目前軟件領(lǐng)域內(nèi)通用的管理標(biāo)準(zhǔn)，對(duì)于軟件工程中的開發(fā)過程、測試過程的控制與管理都有嚴(yán)格的定義。信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室將借鑒這些先進(jìn)的管理標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)以及“運(yùn)維期測試”科研項(xiàng)目的研究成果，建立一套規(guī)范化、標(biāo)準(zhǔn)化、適合我們自己的信息系統(tǒng)檢測管理體系，將檢測工作中的樣品接收、測試準(zhǔn)備、測試設(shè)計(jì)、測試實(shí)施、結(jié)果分析、測試總結(jié)等全過程納入到管理體系中，使得信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室自身也有一個(gè)良好質(zhì)量保證。技術(shù)的先進(jìn)性首先體現(xiàn)在設(shè)備的先進(jìn)性上。采用當(dāng)今最先進(jìn)的設(shè)備，選擇最前沿的技術(shù)，才能有力地保障信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室高質(zhì)量、高標(biāo)準(zhǔn)地完成各項(xiàng)工作。人員的高素質(zhì)是整個(gè)信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室先進(jìn)的根本。信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室建設(shè)需要一批高素質(zhì)專業(yè)化的信息檢測人才，這也是信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室建設(shè)的基礎(chǔ)。建設(shè)時(shí)要遵循節(jié)約性原則，爭取做到少花錢多辦事。此外，由于信息化建設(shè)的規(guī)模越來越大，需要檢測的信息系統(tǒng)項(xiàng)目也越來越多，因此信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室建設(shè)要講就效率，合理規(guī)劃業(yè)務(wù)工作流程，提高人員工作效率和資源利用效率。建設(shè)信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室，首要是為了對(duì)公司自行開發(fā)實(shí)施的信息系統(tǒng)進(jìn)行測試把關(guān)。要根據(jù)公司的實(shí)際需要確定信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室的主要業(yè)務(wù)，推動(dòng)公司信息化工作健康有序地發(fā)展。 檢測業(yè)務(wù)范圍信息系統(tǒng)安全性檢測為企業(yè)范圍內(nèi)新上線或者準(zhǔn)備上線的信息系統(tǒng)提供安全性檢測的技術(shù)服務(wù)，信息系統(tǒng)的安全性測試內(nèi)容較多，需要很多特定檢測工具軟件，安全性檢測是信息系統(tǒng)上線前最為重要的檢測內(nèi)容，確保信息系統(tǒng)本身的安全性，是信息系統(tǒng)能夠真正上線的前提；信息系統(tǒng)性能檢測：為企業(yè)范圍內(nèi)新上線或準(zhǔn)備上線的信息系統(tǒng)提供信息系統(tǒng)的性能測試、易用性測試、可靠性測試等相關(guān)技術(shù)服務(wù)。信息系統(tǒng)功能性檢測：為企業(yè)范圍內(nèi)新上線或準(zhǔn)備上線的信息系統(tǒng)提供信息系統(tǒng)的功能性測試、維護(hù)性測試、可移植性測試等相關(guān)技術(shù)服務(wù)。 建設(shè)內(nèi)容XXXX企業(yè)信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室建設(shè)目前主要工作是以軟件測試實(shí)驗(yàn)室為基礎(chǔ)，通過人員配置、場地建設(shè)、測試軟硬件設(shè)備的配備、信息系統(tǒng)檢測標(biāo)準(zhǔn)制度的編制完善、人員的培訓(xùn)和資質(zhì)的獲取等工作，完成從早期的軟件測試實(shí)驗(yàn)室到XXXX企業(yè)信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室的建設(shè)。第三章 評(píng)測實(shí)驗(yàn)室解決方案信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室建設(shè)是通過在早期已有的軟件測試實(shí)驗(yàn)室的基礎(chǔ)上進(jìn)行，通過增加各種安全設(shè)備，檢測設(shè)備，以及相應(yīng)的硬件設(shè)備，軟件檢測模塊，實(shí)現(xiàn)信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室的初期檢測，能夠讓信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室的各種業(yè)務(wù)，并通過后期的不斷完善，擴(kuò)建，最終完成XXXX企業(yè)的信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室建設(shè)，實(shí)現(xiàn)信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室所有的建設(shè)內(nèi)容，以及長遠(yuǎn)規(guī)劃。 安全性檢測業(yè)務(wù)建設(shè)178。 性能檢測業(yè)務(wù)建設(shè) 信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室網(wǎng)絡(luò)部署圖信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室拓?fù)鋱D 安全性檢測業(yè)務(wù)建設(shè)在信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室建設(shè)中，對(duì)信息系統(tǒng)的安全性檢測業(yè)務(wù)的建設(shè)需要考慮的安全性檢測的特殊性，以及便捷性，在信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室內(nèi)，能夠提供各種安全性檢測機(jī)制，檢測工具模塊，能夠提供快速，便捷的啟動(dòng)各種檢測工具模塊對(duì)“被檢測的信息系統(tǒng)”進(jìn)行安全性檢測，并且隨著信息系統(tǒng)安全性檢測業(yè)務(wù)的擴(kuò)展 能夠不斷提供對(duì)各個(gè)安全性檢測工具模塊進(jìn)行擴(kuò)展，更新；通過在信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室內(nèi)，對(duì)信息系統(tǒng)的初期安全性檢測業(yè)務(wù)主要內(nèi)容如下： 信息系統(tǒng)主機(jī)安全性檢測：領(lǐng)信安全沙盤系統(tǒng)將提供快速的虛擬評(píng)測需要的“檢測模塊amp。 針對(duì)信息系統(tǒng)滲透性的安全性檢測領(lǐng)信安全沙盤系統(tǒng)可以提供虛擬化“滲透檢測模塊amp。目的是檢測是否可以侵入信息系統(tǒng)并獲取機(jī)密信息，進(jìn)而完善信息系統(tǒng)的安全性檢測。滲透檢測模塊能夠快速提供需要的各種滲透方式使用的操作系統(tǒng)環(huán)境，以及滲透工具，便于檢測工程師能夠快速隊(duì)信息系統(tǒng)進(jìn)行各種滲透的安全性檢測。 SG186業(yè)務(wù)應(yīng)用運(yùn)維測試業(yè)務(wù)建設(shè)在信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室建設(shè)中，可以對(duì)SG186業(yè)務(wù)應(yīng)用運(yùn)維進(jìn)行模擬測試，為SG186業(yè)務(wù)的正常維護(hù)，管理提供參考；測試模塊針對(duì)SG186業(yè)務(wù)的測試需要提供各種模擬的測試工具，測試環(huán)境，能夠?qū)G186業(yè)務(wù)提供全面的測試，評(píng)估； 信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室擴(kuò)展業(yè)務(wù)建設(shè)在信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室建設(shè)中，在滿足初期建設(shè)業(yè)務(wù)的需求后，還需要信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室能夠開展信息系統(tǒng)安全性測試的深入研究，逐步掌握針對(duì)網(wǎng)絡(luò)、防火墻、Web應(yīng)用系統(tǒng)、數(shù)據(jù)庫、中間件、操作系統(tǒng)等多個(gè)應(yīng)用層面的安全性評(píng)測技術(shù)。檢查網(wǎng)絡(luò)管理員是否有清晰的網(wǎng)絡(luò)拓?fù)鋱D，網(wǎng)絡(luò)管理員是否熟悉網(wǎng)絡(luò)設(shè)備的部署情況，分析網(wǎng)絡(luò)拓?fù)鋱D與實(shí)際的網(wǎng)絡(luò)結(jié)構(gòu)的是否存在差異情況，檢查網(wǎng)絡(luò)拓?fù)渥兏目刂瞥绦颍W(wǎng)絡(luò)拓?fù)鋱D的維護(hù)管理情況等。通過對(duì)上述內(nèi)容的檢查了解，對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)合理性進(jìn)行分析。我們有必要為網(wǎng)絡(luò)設(shè)備自身的安全性和是否有效保護(hù)了被保護(hù)系統(tǒng)，做一個(gè)評(píng)測以達(dá)到真正起到保護(hù)的目的。有必要為網(wǎng)絡(luò)設(shè)備存在的這些問題提供一種安全解決方案，而針對(duì)網(wǎng)絡(luò)設(shè)備的安全評(píng)測將是一種有效的手段。 交換機(jī)；216。 防火墻；216。 Web 應(yīng)用安全的弱點(diǎn)評(píng)測通過對(duì)WEB應(yīng)用的弱點(diǎn)進(jìn)行評(píng)測，發(fā)現(xiàn)應(yīng)用軟件中存在的安全隱患（包括安全功能設(shè)計(jì)、安全弱點(diǎn)、以及安全部署中的弱點(diǎn)等） 數(shù)據(jù)庫的安全性評(píng)測完整，全面發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)中數(shù)據(jù)庫的漏洞和安全隱患，主要評(píng)測的內(nèi)容如下：216。 用戶權(quán)限設(shè)置178。 冗余賬號(hào)的管理216。 訪問IP地址的控制178。 登錄認(rèn)證方式216。 敏感信息的存儲(chǔ)方式178。 數(shù)據(jù)庫存儲(chǔ)介質(zhì)安全178。 安全漏洞檢查216。 數(shù)據(jù)庫的安全審計(jì)178。 操作日志審計(jì) 通用應(yīng)用（中間件）服務(wù)的弱點(diǎn)評(píng)測通用應(yīng)用中間件的安全關(guān)乎整個(gè)業(yè)務(wù)系統(tǒng)的安全,、apache、ftp、weblogic等相關(guān)通用的應(yīng)用軟件進(jìn)行安全評(píng)測。 操作系統(tǒng)主機(jī)的安全性評(píng)測操作系統(tǒng)主機(jī)的安全評(píng)測的對(duì)象包含計(jì)算機(jī)硬件系統(tǒng)、操作系統(tǒng)；操作系統(tǒng)的安全性評(píng)測不包含非附屬于操作系統(tǒng)的軟件產(chǎn)品（如微軟的SQL SERVER）的安全評(píng)測。 應(yīng)用服務(wù)器；216。 信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室及人員建設(shè)信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室作為一個(gè)專業(yè)性很強(qiáng)的技術(shù)評(píng)測實(shí)驗(yàn)室，需要一支專業(yè)化高素質(zhì)的信息人才隊(duì)伍，同時(shí)也需要一個(gè)健全的組織機(jī)構(gòu)，明確各崗位的職責(zé)。信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室按照初期開展的業(yè)務(wù)不同，暫分為網(wǎng)絡(luò)安全組和系統(tǒng)評(píng)測組兩個(gè)工作組，其中信息系統(tǒng)評(píng)測組又分為功能、性能、安全和擴(kuò)展業(yè)務(wù)等4個(gè)小組，其中擴(kuò)展業(yè)務(wù)組是為準(zhǔn)備信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室二期建設(shè)提前設(shè)置的小組，此小組能夠提供信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室二期業(yè)務(wù)的建設(shè)，拓展。結(jié)合實(shí)際情況，準(zhǔn)備實(shí)驗(yàn)室場地的建設(shè)方案： 信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室制度建設(shè)針對(duì)信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室的實(shí)際情況，制定一套規(guī)范的管理制度，確保信息系統(tǒng)安全評(píng)測實(shí)驗(yàn)室的各項(xiàng)工作有條不紊的開展。2員工培訓(xùn)制度員工培訓(xùn)制度主要包括員工入職培訓(xùn)和員工的技能培訓(xùn)。3設(shè)備管理制度設(shè)備管理制度包括設(shè)備運(yùn)行管理制度、設(shè)備缺陷管理制度和設(shè)備檢修管理制度；作用是科學(xué)地管理好中心的設(shè)備，使設(shè)備的維護(hù)管理工作有組織、有計(jì)劃、有標(biāo)準(zhǔn)地進(jìn)行。作用是方便對(duì)各種資料進(jìn)行收集、統(tǒng)計(jì)、整理、分類、歸檔、保管、使用。作用是加強(qiáng)中心的安全管理，明確各部門和