2022年信息系统安全评测实验室--解决方案.doc

信息系统平安评测实验室建立方案2010年03月目 录第一章 概述41.1 建立背景41.2 建立现状41.2.信息系统平安评测实验室建立现状：41.2.2 XXXX企业信息系统平安评测实验室建立现状：41.3 建立意义51.4 建立目的51.5 建立原则61.5.1 科学性61.5.2 标准性61.5.3 先进性61.5.4 效率性71.5.5 有用性7第二章 信息系统平安评测实验室82.1 检测业务范围82.2 建立内容82.2.1建立内容8第三章 评测实验室处理方案103.1 信息系统平安评测实验室框架103.2信息系统平安评测实验室建立方案113.2.1 信息系统平安评测实验室网络部署图113.2.2 平安性检测业务建立123.2.3 功能性检测业务建立143.2.4 功能检测业务建立143.2.5 SG186业务应用运维测试业务建立153.2.6 信息系统平安评测实验室扩展业务建立153.3 信息系统平安评测实验室及人员建立173.4 信息系统平安评测实验室场地建立183.5 信息系统平安评测实验室制度建立183.6 信息系统平安评测实验室流程建立193.7 信息系统平安评测实验室处理方案的优势223.7.1 检测模块的多样化/多层次223.7.2 检测模块自动化/定制化223.7.3 优良的兼容性与扩展性223.8 领信平安沙盘系统检测模块介绍233.8.1 “平安性”检测模块233.8.2 “功能性”检测模块243.8.3 “功能”检测模块253.8.4 “评估性”检测模块25第四章 信息系统平安评测实验室施行方案274.1 部署示意图274.2 部署施行建议274.2.1 信息系统平安评测实验室根本施行284.2.2 评测工具区施行284.2.3 评测工作区施行284.2.4 评测接入区施行284.2.5 采购设备清单294.3 施行计划304.3.1 工程施行说明304.3.2 施行时间表30附录 参考标准31第一章 概述1.1 建立背景随着企业各种大型信息化工程的建立竣工，大部分的大集中信息系统在陆续进入运维阶段。在运维过程中，系统存在隐藏的缺陷或导致一些隐藏的缺陷积累。由于报警数量宏大，运维人员无法及时对系统整体运转情况做出客观评估。而一个专业的信息系统平安评测实验室，通过装备专门的检测工具、检测手段及检测方法，定期对各大集中系统的网络、防火墙、操作系统、数据库、中间件、应用等多个层面的健康状态进展监控和分析，可及时发觉系统运转中的缺陷及平安隐患，实现系统运转的可视、可控、可预测和可维护的目的。1.2 建立现状1.2.信息系统平安评测实验室建立现状：信息系统平安评测实验室建立还处于初期阶段，随着企业对信息系统上线前的平安评测的不断注重，大型企业将会越来越注重信息系统平安评测实验室。1.2.2 XXXX企业信息系统平安评测实验室建立现状：随着信息平安成为当今电力企业信息化开展过程中最为注重的咨询题，在国家电网公司的积极倡导下，XXXX企业已经开场了信息系统平安评测实验室筹建工作，而XXXX企业的技术部门则成为建立信息系统平安评测实验室的主导单位。XXXX省电力科学研究院早在2007年，就已经开场了信息软件测试实验室建立，目前与软件测试工作有关的员工有10余人，其中有高级工程师4人、硕士3名，实验室人员的平均年龄为28岁。实验室于2008年通过了ISO9000体系认证；2009年8月顺利通过国家实验室认可委的实验室扩项外审。在全国电力系统内领先获得了CNAS资质。在获得CNAS资质后，XXXX电力实验研究院软件测试实验室所出具的测试报告就能够获得50多个国家和地区的认可；2009年12月通过XXXX省省直计量认证评审组的扩项评审，同样在全国电力系统内第一个获得了CMA计量认证资质。XXXX企业信息系统平安评测实验室将在已有的软件测试实验室的根底上建立，充分利用现有实验室资源，以实现业务上、技术上、规格上向更高的层次迈进。1.3 建立意义在企业信息化的建立和开展过程中，信息化将贯穿整个过程，大量的信息系统建立将是必定的。如何保证越来越多的新上线信息系统的质量，如何在心信息系统上线前进展综合，快捷的检测，评估，是信息化开展过程中待处理的咨询题。通过建立一个专业的信息系统平安评测实验室，对马上上线的信息系统进展严格的测试，平安评估，加强对信息系统的质量把关，进而能够充分保证信息系统的可用性、可靠性，保证系统各种功能的达标。另外，在信息系统的运维过程中，系统会面临需求变化、数据构造变化、数据量变化、根底平台晋级等复杂情况，这将带来非常多隐藏的缺陷。系统运维平台所提供的异常报警、异常处理提示、毛病追踪等技术手段，由于报警数量宏大，运维人员无法及时对系统整体运转情况做出客观评估。通过建立一个专业的信息系统平安评测实验室，使用专门的检测工具与检测手段，定期对各大集中系统的网络、防火墙、操作系统、数据库、中间件、应用等多个层面的健康状态进展检测和评估分析，及时发觉系统运转中的缺陷及平安隐患，实现系统运转的可视、可控、可预测和可维护的目的。再者，企业消费、治理、营销等运营活动越来越依赖计算机信息系统，假如这些系统遭到破坏，造成数据损坏，信息泄露，不能提供效劳等咨询题，则将对电网的平安运转、公司的消费治理以及经济效益造成不可估量的损失。信息化开展在带来便利和高效率的同时，也带来了新的平安风险和咨询题。通过建立一个专业的信息系统平安评测实验室，对信息系统进展平安性测试，主要内容包括效劳器平安、网络平安、应用平安、数据平安以及平安信息措施检测，保证公司的信息系统平安稳定的运转。1.4 建立目的XXXX企业信息系统平安评测实验室建立的初期目的是在现阶段，以现有软件测试实验室为根底，通过人员、场地、设备、测试工具、制度标准的建立和完善，顺利的完成从软件测试研究实验室到XXXX企业信息系统平安评测实验室的建立。信息系统平安评测实验室在开展常规的功能性软件测试工作的同时，还能够开展软件的功能测试、易用性测试、可靠性测试、维护性测试、可移植性测试和平安性测试等等，同时依照信息系统平安评测实验室的特点，还能够进展各种信息平安技术的培训，演练，进一步的满足信息化建立工作的需要。信息系统平安评测实验室建立的中长期目的是开展全方面的、高技术、高层次的信息系统检测工作，能够满足XXXX企业的信息系统测试需要。1.5 建立原则1.5.1 科学性建立信息系统平安评测实验室是为了给信息化建立提供平安可靠的质量保证，而实现质量保证的前提则是检测工作的科学性。只有实现了检测工作中测试技术、测试方法、测试过程等各领域工作的科学性、合理性，才能保证检测结果的科学性、合理性，才能为信息系统的开发、运转提供真实、有效的协助。1.5.2 标准性信息系统平安评测实验室的人员配置、场地建立、软硬件设备工具的装备、信息系统检测标准制度的编制完善、人员的培训、资质的获取、治理体系及作业指导书的建立完善是一项复杂、细致的工作。一个良好的、标准的过程治理是实现信息系统平安评测实验室建立目的的一个必要前提。只有实现标准化、标准化的治理，才能保证信息信息系统平安评测实验室的建立工作顺利开展。同样，信息系统的检测过程也是一项需要标准化、标准化的工作流程。ISO9000、CMMI（软件才能成熟度模型）都是目前软件领域内通用的治理标准，关于软件工程中的开发过程、测试过程的操纵与治理都有严格的定义。GB/T16260-2006 软件工程 产质量量、GB/T17544-1998 信息技术 软件包 质量要求和测试、GB/T15532-2008计算机软件测试标准等是目前国内发布的，与国际通行的计算机软件测试标准相衔接的，计算机软件生存周期内各类软件产品的根本测试方法、过程和准则。信息系统平安评测实验室将借鉴这些先进的治理标准、技术标准以及“运维期测试”科研工程的研究成果，建立一套标准化、标准化、合适我们本人的信息系统检测治理体系，将检测工作中的样品接收、测试预备、测试设计、测试施行、结果分析、测试总结等全过程纳入到治理体系中，使得信息系统平安评测实验室本身也有一个良好质量保证。1.5.3 先进性当今信息技术开展迅速，新技术、新产品层出不穷，要对各种信息系统都能进展检测，信息系统平安评测实验室建立时要将技术的先进性放在重要位置。技术的先进性首先表达在设备的先进性上。设备的先进是整个信息系统平安评测实验室先进的根底。采纳当今最先进的设备，选择最前沿的技术，才能有力地保障信息系统平安评测实验室高质量、高标准地完成各项工作。技术的先进性更加表达在人员的高素养上。人员的高素养是整个信息系统平安评测实验室先进的根本。设备的先进性是信息系统平安评测实验室先进的根底，但再先进的设备得不到合理地利用也只能成为摆设。信息系统平安评测实验室建立需要一批高素养专业化的信息检测人才，这也是信息系统平安评测实验室建立的根底。1.5.4 效率性建立信息系统平安评测实验室，需要建立场地，购置大量的硬件、软件设备。建立时要遵照节约性原则，争取做到少花钱多办事。要依照信息系统平安评测实验室近期的业务范围，依照实际工作需要，要综合分析采购产品的“必要性”，追求设备最合理的配置和尽可能高的性价比。此外，由于信息化建立的规模越来越大，需要检测的信息系统工程也越来越多，因而信息系统平安评测实验室建立要讲就效率，合理规划业务工作流程，提高人员工作效率和资源利用效率。1.5.5 有用性有用性是信息系统平安评测实验室的根本特征，更是内在要求。建立信息系统平安评测实验室，首要是为了对公司自行开发施行的信息系统进展测试把关。建立要遵照有用性原则，要在学术性和有用性之间找到一个平衡点。要依照公司的实际需要确定信息系统平安评测实验室的主要业务，推进公司信息化工作健康有序地开展。 第二章 信息系统平安评测实验室信息系统平安评测实验室主要为提供对XXXX企业内部新上线各种信息系统的检测，通过在信息系统平安评测实验室内对信息系统的各种评测，特别是信息平安评估，检测，确保信息系统在上线后，能够非常好的运转，为企业提供更好的效劳。2.1 检测业务范围1、信息系统平安性检测为企业范围内新上线或者预备上线的信息系统提供平安性检测的技术效劳，信息系统的平安性测试内容较多，需要非常多特定检测工具软件，平安性检测是信息系统上线前最为重要的检测内容，确保信息系统本身的平安性，是信息系统能够真正上线的前提；2、信息系统功能检测：为企业范围内新上线或预备上线的信息系统提供信息系统的功能测试、易用性测试、可靠性测试等相关技术效劳。通过对信息系统的各种功能进展检测，确保新上线的信息系统能够满足当前各种业务需求，特别是各种极端的功能检测，提升信息系统的适用性，防止因信息系统功能的不满足，而不断的更新。3、信息系统功能性检测：为企业范围内新上线或预备上线的信息系统提供信息系统的功能性测试、维护性测试、可移植性测试等相关技术效劳。在信息系统上线前提早对信息系统的业务功能，维护治理，可移植进展检测，提供信息系统的上线质量。2.2 建立内容XXXX企业信息系统平安评测实验室建立目前主要工作是以软件测试实验室为根底，通过人员配置、场地建立、测试软硬件设备的装备、信息系统检测标准制度的编制完善、人员的培训和资质的获取等工作，完成从早期的软件测试实验室到XXXX企业信息系统平安评测实验室的建立。2.2.1建立内容1、 信息系统平安评测实验室的场地建立；2、 信息系统平安评测实验室的硬件设备选型、采购；3、 信息系统平安评测实验室测试工具软件及监控分析软件选型、采购；4、 信息系统平安评测实验室的人员装备、培训及资质获取；5、 信息系统平安评测实验室治理制度、工作流程建立；6、 信息系统平安评测实验室各种工作开展：提供对省电力系统内的信息系统上线前的评测，主要的评测内容是对信息系统的平安性，功能性与功能进展评测。第三章 评测实验室处理方案信息系统平安评测实验室建立是通过在早期已有的软件测试实验室的根底上进展，通过增加各种平安设备，检测设备，以及相应的硬件设备，软件检测模块，实现信息系统平安评测实验室的初期检测，能够让信息系统平安评测实验室的各种业务，并通过后期的不断完善，扩建，最终完成XXXX企业的信息系统平安评测实验室建立，实现信息系统平安评测实验室所有的建立内容，以及长远规划。安氏领信科技开展（简称：安氏领信）作为有着雄厚研发实力的资深平安产品提供商，从1998年开场便组建专门的团队进展着网络信息平安技术的探究与研究，综合多年来在信息平安技术研究领域的成果，在信息系统平安评测实验室的建立方面，推出了安氏领信平安沙盘系统LinkTrust Security SandBox 产品，用于改善，加强现有信息系统平安评测实验室的建立；安氏领信平安沙盘系统（简称：沙盘系统）主要用于信息系统平安评测实验室建立，提供信息系统平安评测实验室建立中需要的各种虚拟化功能组件，特别是针对信息系统平安评测实验室中进展各种评测时需要使用的软件测试类工具，平安评测类工具以及各种工具的运转环境；为信息系统平安评测实验室进展各种信息系统的测评提供所需要的环境组件；3.1 信息系统平安评测实验室框架信息系统平安评测实验室的整体框架供分为四个部分，其中检测区是实验室的核心部分，能够提供针对信息系统进展检测的各种检测软件工具，平安工具，并以模块化的方式存在，方便实验室快速，便捷的进展各种信息系统的检测；检测区中的所有检测模块都是由安氏领信平安沙盘系统提供，安氏领信平安沙盘系统能够依照设定的检查模块，自动虚拟搭建各种检测需要的环境，在此环境中提供相应的测评使用的软件测试类工具，平安测评类工具，以及工具需要运转的系统环境；安氏领信公司还能够依照信息系统平安评测实验室的需求，定制开发各种检测模块，按照用户实验室的需要，定制开发检测模块，同时能够提供多样化，灵敏性的检测模块；方便信息系统平安评测实验室对各种上线信息系统进展评测；安氏信息系统平安评测实验室框架如下列图所示：信息系统平安评测实验室框架图3.2信息系统平安评测实验室建立方案信息系统平安评测实验室建立分为一期和二期两个建立阶段，其中一期的主要业务是提供对新上线信息系统的平安性，信息系统的功能和信息系统的功能进展检测；二期主要对对信息系统平安评测实验室业务的扩展，信息系统平安评测实验室建立主要分为以下几个方面：² 平安性检测业务建立² 功能性检测业务建立² 功能检测业务建立3.2.1 信息系统平安评测实验室网络部署图信息系统平安评测实验室拓扑图3.2.2 平安性检测业务建立在信息系统平安评测实验室建立中，对信息系统的平安性检测业务的建立需要考虑的平安性检测的特别性，以及便捷性，在信息系统平安评测实验室内，能够提供各种平安性检测机制，检测工具模块，能够提供快速，便捷的启动各种检测工具模块对“被检测的信息系统”进展平安性检测，同时随着信息系统平安性检测业务的扩展 能够不断提供对各个平安性检测工具模块进展扩展，更新；通过在信息系统平安评测实验室内，对信息系统的初期平安性检测业务主要内容如下：1、 信息系统主机平安性检测：领信平安沙盘系统将提供快速的虚拟评测需要的“检测模块检测工具”，能够提供针对信息系统的主机平安性检测需要的各种操作系统环境，主机平安性检测需要的软件工具，无需检测工程师手动安装，寻找检测工具；能够提供针对主机平安性检测需要的所有常见工具软件，以及工具软件运转的环境。2、 针对信息系统浸透性的平安性检测领信平安沙盘系统能够提供虚拟化“浸透检测模块检测工具”，提供对上线信息系统的浸透性测试是在同意和可控的范围内，采取可控的，不造成不可弥补损失的黑客入侵手法，对信息系统发起真正攻击。目的是检测是否能够侵入信息系统并获取机密信息，进而完善信息系统的平安性检测。通过直观的结果来反映出新上线的信息系统存在的最脆弱点。浸透检测模块能够快速提供需要的各种浸透方式使用的操作系统环境，以及浸透工具，便于检测工程师能够快速队信息系统进展各种浸透的平安性检测。3、 针对信息系统漏扫的平安性检测在信息系统平安评测实验室中，部署了领信网络器产品，使用领信网络器Scanner对新上线信息系统进展全面的破绽扫面检测，并提供全面的破绽检测报告，确保新上线的信息系统不存在破绽性的平安隐患；3.2.3 功能性检测业务建立在信息系统平安评测实验室建立中，需要对新上线的信息系统进展严格的功能测试，确保新信息系统的完全满足业务需要，同时在功能指标上符合设计要求；对信息系统进展功能性检测时，需要信息系统平安评测实验室能够快速提供信息系统需要的各种功能测试环境，测试信息系统在各种业务环境中功能使用情况，依照信息系统的测试标准，严格测试信息系统的各个功能模块；功能性测试的重点是快速预备各种需要的测试环境，要务实验室中的测试环境模块能够依照测试标准的要求，提供需要的测试环境，包含功能测试用的操作系统，功能性测试用工具软件3.2.4 功能检测业务建立在信息系统平安评测实验室建立中，需要对新上线的信息系统进展功能指标检测的业务建立，能够对上线信息系统进展标准化的功能检测，评定；功能检测模块能够提供针对上线信息系统的各种功能指标的检测，提供各种功能测试工具，以及自动化测试环境，依照信息系统设定的各种功能指标进展检测。3.2.5 SG186业务应用运维测试业务建立在信息系统平安评测实验室建立中，能够对SG186业务应用运维进展模仿测试，为SG186业务的正常维护，治理提供参考；测试模块针对SG186业务的测试需要提供各种模仿的测试工具，测试环境，能够对SG186业务提供全面的测试，评估；3.2.6 信息系统平安评测实验室扩展业务建立在信息系统平安评测实验室建立中，在满足初期建立业务的需求后，还需要信息系统平安评测实验室能够开展信息系统平安性测试的深化研究，逐步掌握针对网络、防火墙、Web应用系统、数据库、中间件、操作系统等多个应用层面的平安性评测技术。1、 网络架构的平安性评测发觉网络构造存在的平安性、网络负载咨询题，网络设备存在的平安性，抗攻击的咨询题。检查网络治理员是否有明晰的网络拓扑图，网络治理员是否熟悉网络设备的部署情况，分析网络拓扑图与实际的网络构造的是否存在差异情况，检查网络拓扑变更的操纵程序，网络拓扑图的维护治理情况等。检查网络依照业务和平安需求的分段情况，是否采纳了防火墙和网关来加强不同网段间的访咨询操纵，理解网络的地址治理和IP地址规划的原则和方法，理解网络中出口的情况，每个出口的保护方式等。通过对上述内容的检查理解，对网络拓扑构造合理性进展分析。2、 网络平安设备的平安性评测网络设备是保障一个系统边界平安的有利工具，但是过分的依赖于网络设备理论上提供的功能，将会导致无法正确推断系统的威胁情况，和信任过度的咨询题。我们有必要为网络设备本身的平安性和是否有效保护了被保护系统，做一个评测以到达真正起到保护的目的。另外，网络设备由于被保护系统的复杂性和治理员的本身面对的系统较为复杂，配置未必合理，容易为入侵者提供入侵通道。有必要为网络设备存在的这些咨询题提供一种平安处理方案，而针对网络设备的平安评测将是一种有效的手段。网络设备平安包含：Ø 交换机；Ø 路由器；Ø 防火墙；Ø 其它网络设备。3、 Web 应用平安的弱点评测通过对WEB应用的弱点进展评测，发觉应用软件中存在的平安隐患（包括平安功能设计、平安弱点、以及平安部署中的弱点等）4、 数据库的平安性评测完好，全面发觉业务系统中数据库的破绽和平安隐患，主要评测的内容如下：Ø 数据库用户名和密码治理² 用户权限设置² 密码策略设置² 冗余账号的治理Ø 数据库访咨询操纵² 访咨询IP地址的操纵² 通讯平安配置Ø 登录认证方式Ø 数据的平安² 敏感信息的存储方式² 数据库备份² 数据库存储介质平安² 传输加密Ø 平安破绽检查Ø 补丁治理Ø 数据库的平安审计² 登录日志审计² 操作日志审计5、 通用应用（中间件）效劳的弱点评测通用应用中间件的平安关乎整个业务系统的平安,通过评测发觉通用中间件的平安咨询题.主要是指针对IIS、apache、ftp、weblogic等相关通用的应用软件进展平安评测。评测主要包含补丁治理、最大平安性原则、用户治理、权限治理、日志平安治理等进展分析。6、 操作系统主机的平安性评测操作系统主机的平安评测的对象包含计算机硬件系统、操作系统；操作系统的平安性评测不包含非附属于操作系统的软件产品（如微软的SQL SERVER）的平安评测。操作系统的平安性评测范围：Ø 应用效劳器；Ø 客户机（用户终端机）。3.3 信息系统平安评测实验室及人员建立信息系统平安评测实验室作为一个专业性非常强的技术评测实验室，需要一支专业化高素养的信息人才队伍，同时也需要一个健全的组织机构，明确各岗位的职责。信息系统平安评测实验室在省公司科技信息部的领导下开展检测工作。信息系统平安评测实验室按照初期开展的业务不同，暂分为网络平安组和系统评测组两个工作组，其中信息系统评测组又分为功能、功能、平安和扩展业务等4个小组，其中扩展业务组是为预备信息系统平安评测实验室二期建立提早设置的小组，此小组能够提供信息系统平安评测实验室二期业务的建立，拓展。信息系统平安评测实验室的组织构造如图下列图所示：信息系统平安评测实验室组织构造图3.4 信息系统平安评测实验室场地建立信息系统平安评测实验室场地拟定在XXXX机房，依照机房搬迁计划，定于XXXX年XX月底完成信息系统平安评测实验室的机房搬迁。结合实际情况，预备实验室场地的建立方案：3.5 信息系统平安评测实验室制度建立针对信息系统平安评测实验室的实际情况，制定一套标准的治理制度，确保信息系统平安评测实验室的各项工作有条不紊的开展。主要治理制度如表所示：序号主要治理制度治理制度内容1岗位责任制度岗位责任制度内容是每个岗位的职责、任务、目的等内容详细化；作用是明确责任，提高效率，保证工作质量，奖罚有据。2员工培训制度员工培训制度主要包括员工入职培训和员工的技能培训。作用是引导新员工熟知工作流程、根本业务，确定本身工作职责，初步掌握根本技能；促使老员工技能不断提升。3设备治理制度设备治理制度包括设备运转治理制度、设备缺陷治理制度和设备检修治理制度；作用是科学地治理好中心的设备，使设备的维护治理工作有组织、有计划、有标准地进展。4材料治理制度材料治理制度包括机房档案材料治理，日常工作记录、报表、报告治理，技术材料治理。作用是方便对各种材料进展搜集、统计、整理、分类、归档、保管、使用。5平安治理制度平安治理制度包括实验室的防火防盗、电源平安、设备平安治理、核心材料的保密。作用是加强中心的平安治理，明确各部门和人员的平安工作责任，将平安工作落到实处。6质量治理制度质量治理制度包括质量治理体系，质量标准法规，质量治理和监控的流程。作用是加强检测工作的治理，提高工作的质量和水平。7办公室治理制度办公室治理制度包括办公用品治理、治理、卫生治理、打印复印治理等。作用是标准办公室治理，使办公室的各项日常事务有章可循。8作业治理制度作业治理制度包括检测工作流程中各种测试标准、测试标准、考前须知、作业指导书等。作用是标准信息系统检测工作，使检测工作有章可循。信息系统平安评测实验室治理制度表3.6 信息系统平安评测实验室流程建立信息系统平安评测实验室建成后，在开展各项常规信息系统评测工作的同时，将依照需要逐步开展系统的平安性测试、运维期测试等，最终建成一个完备的信息系统平安评测实验室中心。信息系统平安评测实验室对信息系统评测流程与对软件测试流程类似，测试流程如下列图所示：测试工作流程图质量治理的流程图如下列图所示：质量治理流程图日常工作治理的流程图如下列图所示：日常工作治理流程图3.7 信息系统平安评测实验室处理方案的优势3.7.1 检测模块的多样化/多层次² 检测模块平安沙盘系统的检测模块【检测模块即携带各种对信息系统进展测评时需要使用工具软件以及相应的环境，开启的检查模块能够通过本身携带的软件工具对信息系统进展指定内容的评测】涵盖整个信息系统测评需要的软件测试类工具与平安检测类工具以及各种工具需要运转的系统环境，按照检测模块应用能够分类平安性检测模块，功能性检测模块，功能检测模块与扩展业务需要使用的风险评估模块四类；² 可定制开发的检测模块平安沙盘系统能够携带各种平安性，功能性，功能的检测工具软件模块，是能够依照用户测评的需要进展定制开发，每个用户能够依照本身的需要进展各种评测模块的定制开发，同时平安沙盘系统本身会自带一些通用的测评工具模块件供用户选择；3.7.2 检测模块自动化/定制化² 检测模块即时加载/卸载评测工程师能够通过治理平台即时开启各种计测试需要的检查模块，搭建各种系统的评测环境，还能够依照需要将各种需要使用的检测模块一次开启，利用每个检测模块对信息系统进展相应的评测，关于不需要使用的检测模块，能够立即停顿关闭，为新需要的检测模块开启提供资源。² 检测模块定制加载/卸载评测工程师能够通过治理平台为不同的信息系统测试开启不同的检测模块，能够同时进展多个一样检测模块以及不同的检查模块的开启，为同时进展多个信息系统的评测提供条件；不需要使用的检测模块能够立即关闭，不会妨碍其他开启的检查模块的使用。3.7.3 优良的兼容性与扩展性² 优良的兼容性与可扩展性：通过平安沙盘系统搭建的信息系统平安评测实验室，具备良好的兼容性欲可扩展性，能够与其他检测，评测设备一同使用，也能够与各种平安设备一同使用，同时能够不断的通过扩大检测模块，以及相应的技术人员的培训，使得信息系统平安评测实验室能够不断扩展业务范围。3.8 领信平安沙盘系统检测模块介绍安氏领信平安沙盘系统的检测模块共分为四大类，其中以平安性检测模块，功能性检测模块，功能检测模块为一般通用性检测模块，而提供针对网络，平安设备，数据库，中间件等的评估性检测模块 (此部分检测模块需要依照用户的实际情况定制，确定需要检测的内容后，定制各种对应的检测模块) 则为高级定制型检测模块。3.8.1 “平安性”检测模块平安性检测模块主要是对需要评测的系统进展各种平安性的评测，如被评测系统的主机平安，操作系统平安，账户平安，破绽风险评测，特定应用平安性评测等几个方面，如被评测系统属于特别平台架构，可能需要定制专用的平安性检测模块；类检测模块1、SuperScan检测模块：图形化的端口器。2、nmap-2.54BETA1检测模块：最经典的端口器。支持多种协议的如UDP，TCP connect(),TCP SYN (half open), ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep, 和Null。3、Nessus检测模块：Web平安类检测模块1、pangolin检测模块：最著名的sql注入利用工具。2、Acunetix Vulnerability检测模块：通过该软件能够发觉SQL注入、跨站脚本、web应用效劳器配置错误等破绽。 3、AppScan 检测模块：IBM商业化web类平安工具口令检测类检测模块1、LC工具检测模块： 针对 windows系统口令检测工具，能够对Windows系统进展口令破解检测；2、John工具检测模块：最常用的unix系统口令检测工具，能够对Unix系统进展口令破解检测；3、Cain Abel 工具检测模块：比拟常用的口令检测工具，能够进展口令破解检测，能够通过arp欺骗进展嗅探。4、orabf-v工具检测模块：针对oracle数据库连接帐号口令检测工具，能够对Oracle数据库的连接口令进展破解检测；5、Apache Tomcat Scan工具检测模块 ：针对Tomcat 治理页面弱口令检测；6、Acunetix Vulnerability工具检测模块：针对web网站的跨站、注入等破绽检测；入侵检查类检测模块下面是对入侵检测类工具的介绍，这些工具都会提供在此类检测模块中；1、Unlocker（能够查看什么进程锁定了选定的文件和强迫删除文件）2、Filemon704.zip：文件打开的监控程序。3、procexp.exe：综合性的平安检测工具。4、IceSword120_cn.zip：综合性的平安检测工具。5、Tcpview.exe：综合性的平安检测工具。6、ProcessExplorer：综合性的平安检测工具。7、Autoruns：检查系统自启动项的工具。主机平安配置类检测模块1、iislockd.exe IIS自动化的平安配置工具，在实际环境中一般建议通过手工方式来配置。2、MBSA.exe Microsoft的平安基线工具3.8.2 “功能性”检测模块功能性检测模块主要提供对被评测系统在功能测试时需要使用的测试环境，以及针对功能性测试的测试流程 ，测试方法；提供标准的操作系统测试环境，便于用户对信息系统进展各种功能性测试，验证部署；Windows 类操作系统提供标准的Windows 2000，Windows XP，Windows 2003 的操作系统；Unix类操作系统提供常见的Free版的Unix操作系统；如FreeSB；Linux类操作系统提供常见的Linux操作系统；关于功能性测试需要的特定操作系统环境，能够在信息系统平安评测实验室特定采购专属效劳器上进展功能性测试；3.8.3 “功能”检测模块针对信息系统进展功能检测模块，主要是各种比拟常见的功能测评工具，以及自动化功能测试，依照用户的需要，能够定制带有各种标准化的自动化功能测试工具的检查模块，以满足用户在专属信息系统上进展的特定功能测试；3.8.4 “评估性”检测模块评估性检测模块是针对特定的需要才进展定制的检查模块，是信息系统平安评测实验室在二期进展业务扩展时，才使用的检测模块，此部分检测模块是针对网络，网络设备，数据库，Web应用，中间件等专属业务提供的平安评估性检测，是信息系统平安评测实验室二期业务扩展的内容；评测工程师需要进展此部分业务的专属培训；并获得相应的资质；网络架构评估对物理网络构造，逻辑网络构造及网络的关键设备进展评估，发觉存在的平安性，合理性，使用效率等方面的咨询题；网络设备评估网络设备是保障一个系统边界平安的有利工具，但是过分的依赖于网络设备理论上提供的功能，将会导致无法正确推断系统的威胁情况，和信任过度的咨询题。我们有必要为网络设备本身的平安性和是否有效保护了被保护系统，做一个评估，以到达真正起到保护的目的。数据库评估能够完好，全面发觉本工程范围内系统数据库的破绽和平安隐患；Web应用评估通过对WEB应用进展评估，发觉应用软件中存在的平安隐患（包括平安功能设计、平安弱点、以及平安部署中的弱点等）通用中间件评估通过评估发觉通用软件的平安咨询题.主要是指针对IIS、apache、ftp、weblogic等相关通用的应用软件进展平安评估。评估主要包含补丁治理、最大平安性原则、用户治理、权限治理、日志平安治理等进展分析。第四章 信息系统平安评测实验室施行方案信息系统平安评测实验室的施行需要有完善的施行方案，依照设计提供的网络部署图，按照每个区域进展网络，设备的部署调试，安装；4.1 部署示意图部署示意拓扑图4.2 部署施行建议信息系统平安评测实验室是针对上线前信息系统的评测为建立的，因而在信息实验室的施行过程中，必须考虑今后信息实验室的业务开展，以及新业务的扩展需求，将信息系统平安评测实验室区域化，组件化，使得信息系统平安评测实验室具备优良的扩展性。4.2.1 信息系统平安评测实验室根本施行信息系统平安评测实验室根本施行内容主要包括实验室场地施行，根本网络布线施行，以及实验室设备摆放等等。需要留意根本施行中的场地选择与网络布线，针对实验室网络平安防护的各种防护设备的策略设置。1、 实验室场地建立2、 实验室网络设备部署，主要是交换机，网线架设；3、 实验室平安设备部署，主要是领信防火墙设备的施行；4、 存储系统的部署施行；4.2.2 评测工具区施行评测工具区的施行主要是领信平安沙盘系统的部署以及入侵检测设备，器设备的部署以及配置；1、 领信平安沙盘系统操纵效劳器部署施行；2、 领信平安沙盘系统实验台部署施行；3、 领信入侵检测IDS设备的部署施行；4、 领信网络器部署施行；4.2.3 评测工作区施行评测工作区是评测工程师进展对上线前的信息系统进展评测的操作工作区，需要在此区部署各种评测操作终端；1、 评测终端机部署施行，包含操作系统的安装，以及各种平安防护软件的部署；4.2.4 评测接入区施行评测接入区是需要被评测信息系统的接入位置，在此区域中，需要部署施行各种特定应用效劳器，如小型机等等；此区域能够部署各种需要被评测的信息系统，也能够将被评测的设备接入此区域；1、 典型应用效劳器部署；2、 典型使用的品牌小型机部署；3、 被评测设备接入网络的部署，同意被测评设备的接入位置；4.2.5 采购设备清单整个信息系统平安评测实验室的施行需要的采购硬件设备清单序号设备名称用处数量参考型号1小型机常规测试高端效劳器、系统平安测试高端效劳器、系统运维测试高端效劳器2台IBM 与 AIX2效劳器常规测试效劳器、系统平安测试效劳器、系统运维测试效劳器、备用效劳器2台IBM 3850与HP 3803存储系统数据存储1台EMC CX3-20F4路由器搭建信息系统平安评测实验室根本网络，办公网络环境；2台CISCO SRP532W与H3C ER51005交换机搭建信息系统平安评测实验室根本网络，办公网络环境；4台H3C 和Cisco6防火墙信息系统平安评测实验室网络平安防备设备；2台LTSG-F5087入侵检测IDS信息系统平安评测实验室网络平安防备设备；1台LTIDS-P2108器信息系统平安评测实验室网络平安防备设备；1台LTScanner-400A9应用效劳器部署安装领信平安沙盘系统治理操纵台与IDS-EC操纵台；2台双核2.0G CPU , 2G DDR ，160GB硬盘10领信平安沙盘系统实验台提供各种评测工具，评测软件模