信息系统安全评测解决方案17193.docx

《信息系统安全评测解决方案17193.docx》由会员分享，可在线阅读，更多相关《信息系统安全评测解决方案17193.docx（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息系统统安全评测测实验室室建设方案案20100年03月目 录第一章概概述41.1 建设背背景41.2 建设现现状41.2.信息系系统安全全评测实实验室建建设现状状：41.2.2 XXXXXX企业信信息系统统安全评评测实验验室建设设现状：41.3 建设意意义51.4 建设目目标51.5 建设原原则61.5.1 科科学性661.5.2 规规范性661.5.3 先先进性661.5.4 效效率性771.5.5 实实用性77第二章信信息系统统安全评评测实验验室82.1 检测业业务范围围82.2 建设内内容82.2.1建设设内容88第三章评评测实验验室解决决方案1103.1 信息系系统安全全评测实实验室

2、框框架1003.2信信息系统统安全评评测实验验室建设设方案1113.2.1 信信息系统统安全评评测实验验室网络络部署图图113.2.2 安安全性检检测业务务建设1123.2.3 功功能性检检测业务务建设1143.2.4 性性能检测测业务建建设1443.2.5 SSG1886业务务应用运运维测试试业务建建设1553.2.6 信信息系统统安全评评测实验验室扩展展业务建建设1553.3 信息系系统安全全评测实实验室及及人员建建设1773.4 信息系系统安全全评测实实验室场场地建设设183.5 信息系系统安全全评测实实验室制制度建设设183.6 信息系系统安全全评测实实验室流流程建设设193.7 信息

3、系系统安全全评测实实验室解解决方案案的优势势223.7.1 检检测模块块的多样样化/多层次次223.7.2 检检测模块块自动化化/定制化化223.7.3 优优异的兼兼容性与与扩展性性223.8 领信安安全沙盘盘系统检检测模块块介绍2233.8.1 “安全性性”检测模模块2333.8.2 “功能性性”检测模模块2443.8.3 “性能”检测模模块2553.8.4 “评估性性”检测模模块255第四章信信息系统统安全评评测实验验室实施施方案2274.1 部署示示意图2274.2 部署实实施建议议274.2.1 信信息系统统安全评评测实验验室基本本实施2284.2.2 评评测工具具区实施施284.2.

4、3 评评测工作作区实施施284.2.4 评评测接入入区实施施284.2.5 采采购设备备清单2294.3 实施计计划3004.3.1 项项目实施施说明3304.3.2 实实施时间间表300附录参考考标准331第一章 概述1.1 建设背背景随着企业业各种大大型信息息化工程程的建设设竣工，大大部分的的大集中中信息系系统在陆陆续进入入运维阶阶段。在在运维过过程中，系系统存在在隐藏的的缺陷或或导致一一些隐藏藏的缺陷陷积累。由由于报警警数量巨巨大，运运维人员员无法及及时对系系统整体体运行状状况做出出客观评评估。而而一个专专业的信信息系统统安全评评测实验验室，通通过配备备专门的的检测工工具、检检测手段段及

5、检测测方法，定定期对各各大集中中系统的的网络、防防火墙、操操作系统统、数据据库、中中间件、应应用等多多个层面面的健康康状态进进行监控控和分析析，可及及时发现现系统运运行中的的缺陷及及安全隐隐患，实实现系统统运行的的可视、可可控、可可预测和和可维护护的目的的。1.2 建设现现状1.2.信息系系统安全全评测实实验室建建设现状状：信息系统统安全评评测实验验室建设设还处于于初期阶阶段，随随着企业业对信息息系统上上线前的的安全评评测的不不断重视视，大型型企业将将会越来来越重视视信息系系统安全全评测实实验室。1.2.2XXXXX企企业信息息系统安安全评测测实验室室建设现现状：随着信息息安全成成为当今今电力

6、企企业信息息化发展展过程中中最为重重视的问问题，在在国家电电网公司司的积极极倡导下下，XXXXX企企业已经经开始了了信息系系统安全全评测实实验室筹筹建工作作，而XXXXXX企业的的技术部部门则成成为建设设信息系系统安全全评测实实验室的的主导单单位。XXXXX省电力力科学研研究院早早在20007年年，就已已经开始始了信息息软件测测试实验验室建设设，目前前与软件件测试工工作有关关的员工工有100余人，其其中有高高级工程程师4人人、硕士士3名，实实验室人人员的平平均年龄龄为288岁。实实验室于于20008年通通过了IISO990000体系认认证；220099年8月月顺利通通过国家家实验室室认可委委的

7、实验验室扩项项外审。在在全国电电力系统统内率先先取得了了CNAAS资质质。在取取得CNNAS资资质后，XXXX电力实验研究院软件测试实验室所出具的测试报告就可以获得50多个国家和地区的认可；2009年12月通过XXXX省省直计量认证评审组的扩项评审，同样在全国电力系统内第一个取得了CMA计量认证资质。XXXXX企业信信息系统统安全评评测实验验室将在在已有的的软件测测试实验验室的基基础上建建立，充充分利用用现有实实验室资资源，以以实现业业务上、技技术上、规规格上向向更高的的层次迈迈进。1.3 建设意意义在企业信信息化的的建设和和发展过过程中，信信息化将将贯穿整整个过程程，大量量的信息息系统建建设

8、将是是必然的的。如何何保证越越来越多多的新上上线信息息系统的的质量，如如何在心心信息系系统上线线前进行行综合，快快捷的检检测，评评估，是是信息化化发展过过程中待待解决的的问题。通通过建设设一个专专业的信信息系统统安全评评测实验验室，对对即将上上线的信信息系统统进行严严格的测测试，安安全评估估，加强强对信息息系统的的质量把把关，进进而可以以充分保保证信息息系统的的可用性性、可靠靠性，保保证系统统各种性性能的达达标。另外，在在信息系系统的运运维过程程中，系系统会面面临需求求变化、数数据结构构变化、数数据量变变化、基基础平台台升级等等复杂情情况，这这将带来来很多隐隐藏的缺缺陷。系系统运维维平台所所提

9、供的的异常报报警、异异常处理理提示、故故障追踪踪等技术术手段，由由于报警警数量巨巨大，运运维人员员无法及及时对系系统整体体运行状状况做出出客观评评估。通通过建设设一个专专业的信信息系统统安全评评测实验验室，使使用专门门的检测测工具与与检测手手段，定定期对各各大集中中系统的的网络、防防火墙、操操作系统统、数据据库、中中间件、应应用等多多个层面面的健康康状态进进行检测测和评估分析析，及时时发现系系统运行行中的缺缺陷及安安全隐患患，实现现系统运运行的可可视、可可控、可可预测和和可维护护的目的的。再者，企企业生产产、管理理、营销销等经营营活动越越来越依依赖计算算机信息息系统，如如果这些些系统遭遭到破坏

10、坏，造成成数据损损坏，信信息泄露露，不能能提供服服务等问问题，则则将对电电网的安安全运行行、公司司的生产产管理以以及经济济效益造造成不可可估量的的损失。信信息化发发展在带带来便利利和高效效率的同同时，也也带来了了新的安安全风险险和问题题。通过过建设一一个专业业的信息息系统安安全评测测实验室室，对信信息系统统进行安安全性测测试，主主要内容容包括服服务器安安全、网网络安全全、应用用安全、数数据安全全以及安安全信息息措施检检测，保保证公司司的信息息系统安安全稳定定的运行行。1.4 建设目目标XXXXX企业信信息系统统安全评评测实验验室建设设的初期期目标是是在现阶阶段，以以现有软软件测试试实验室室为基

11、础础，通过过人员、场场地、设设备、测测试工具具、制度度规范的的建设和和完善，顺顺利的完完成从软软件测试试研究实实验室到到XXXXX企业业信息系系统安全全评测实实验室的的建设。信息系统安全评测实验室在开展常规的功能性软件测试工作的同时，还可以开展软件的性能测试、易用性测试、可靠性测试、维护性测试、可移植性测试和安全性测试等等，同时根据信息系统安全评测实验室的特点，还可以进行各种信息安全技术的培训，演练，进一步的满足信息化建设工作的需要。信息系统统安全评评测实验验室建设设的中长长期目标标是开展展全方面面的、高高技术、高高层次的的信息系系统检测测工作，能能够满足足XXXXX企业业的信息息系统测测试需

12、要要。1.5 建设原原则1.5.1 科科学性建设信息息系统安安全评测测实验室室是为了了给信息息化建设设提供安安全可靠靠的质量量保证，而而实现质质量保证证的前提提则是检检测工作作的科学学性。只只有实现现了检测测工作中中测试技技术、测测试方法法、测试试过程等等各领域域工作的的科学性性、合理理性，才才能保证证检测结结果的科科学性、合合理性，才才能为信信息系统统的开发发、运行行提供真真实、有有效的帮帮助。1.5.2 规规范性信息系统统安全评评测实验验室的人员配配置、场场地建设设、软硬硬件设备备工具的的配备、信信息系统统检测标标准制度度的编制制完善、人人员的培培训、资资质的获获取、管管理体系系及作业业指

13、导书书的建立立完善是是一项复复杂、细细致的工工作。一一个良好好的、规规范的过过程管理理是实现现信息系系统安全全评测实实验室建建设目标标的一个个必要前前提。只只有实现现规范化化、标准准化的管管理，才才能保证证信息信信息系统统安全评评测实验验室的建建设工作作顺利开开展。同样，信信息系统统的检测测过程也也是一项项需要规规范化、标标准化的的工作流流程。IISO990000、CMMMI（软软件能力力成熟度度模型）都都是目前前软件领领域内通通用的管管理标准准，对于于软件工工程中的的开发过过程、测测试过程程的控制制与管理理都有严严格的定定义。GGB/TT162260-20006 软软件工程程 产品品质量、G

14、GB/TT175544-19998 信信息技术术 软件件包 质质量要求求和测试试、GBB/T1155332-220088计算机机软件测测试规范范等是目目前国内内发布的的，与国国际通行行的计算算机软件件测试标标准相衔衔接的，计计算机软软件生存存周期内内各类软软件产品品的基本本测试方方法、过过程和准准则。信信息系统统安全评评测实验验室将借借鉴这些些先进的的管理标标准、技技术标准准以及“运维期期测试”科研项项目的研研究成果果，建立立一套规规范化、标标准化、适适合我们们自己的的信息系系统检测测管理体体系，将将检测工工作中的的样品接接收、测测试准备备、测试试设计、测测试实施施、结果果分析、测测试总结结等

15、全过过程纳入入到管理理体系中中，使得得信息系系统安全全评测实实验室自自身也有有一个良良好质量量保证。1.5.3 先先进性当今信息息技术发发展迅速速，新技技术、新新产品层层出不穷穷，要对对各种信信息系统统都能进进行检测测，信息息系统安安全评测测实验室室建设时时要将技技术的先先进性放放在重要要位置。技术的先先进性首首先体现现在设备备的先进进性上。设设备的先先进是整整个信息息系统安安全评测测实验室室先进的的基础。采采用当今今最先进进的设备备，选择择最前沿沿的技术术，才能能有力地地保障信信息系统统安全评评测实验验室高质质量、高高标准地地完成各各项工作作。技术的先先进性更更加体现现在人员员的高素素质上。

16、人人员的高高素质是是整个信信息系统统安全评评测实验验室先进进的根本本。设备备的先进进性是信信息系统统安全评评测实验验室先进进的基础础，但再再先进的的设备得得不到合合理地利利用也只只能成为为摆设。信息系统安全评测实验室建设需要一批高素质专业化的信息检测人才，这也是信息系统安全评测实验室建设的基础。1.5.4 效效率性建设信息息系统安安全评测测实验室室，需要要建设场场地，购购买大量量的硬件件、软件件设备。建建设时要要遵循节节约性原原则，争争取做到到少花钱钱多办事事。要根根据信息息系统安安全评测测实验室室近期的的业务范范围，根根据实际际工作需需要，要要综合分分析采购购产品的的“必要性性”，追求求设备

17、最最合理的的配置和和尽可能能高的性性价比。此外，由由于信息息化建设设的规模模越来越越大，需需要检测测的信息息系统项项目也越越来越多多，因此此信息系系统安全全评测实实验室建建设要讲讲就效率率，合理理规划业业务工作作流程，提提高人员员工作效效率和资资源利用用效率。1.5.5 实实用性实用性是是信息系系统安全全评测实实验室的的基本特特征，更更是内在在要求。建建设信息息系统安安全评测测实验室室，首要要是为了了对公司司自行开开发实施施的信息息系统进进行测试试把关。建建设要遵遵循实用用性原则则，要在在学术性性和实用用性之间间找到一一个平衡衡点。要要根据公公司的实实际需要要确定信信息系统统安全评评测实验验室

18、的主主要业务务，推动动公司信信息化工工作健康康有序地地发展。第二章 信息系系统安全全评测实验验室信息系统统安全评评测实验验室主要要为提供供对XXXXX企企业内部部新上线线各种信信息系统统的检测测，通过过在信息息系统安安全评测测实验室室内对信信息系统统的各种种评测，特特别是信信息安全全评估，检检测，确确保信息息系统在在上线后后，能够够很好的的运行，为为企业提提供更好好的服务务。2.1 检测业业务范围围1、信息息系统安安全性检检测为企业范范围内新新上线或或者准备备上线的的信息系系统提供供安全性性检测的的技术服服务，信信息系统统的安全全性测试试内容较较多，需需要很多多特定检检测工具具软件，安全性检测

19、是信息系统上线前最为重要的检测内容，确保信息系统本身的安全性，是信息系统能够真正上线的前提；2、信息息系统性性能检测：为企业范范围内新新上线或或准备上上线的信信息系统统提供信信息系统统的性能测试、易易用性测测试、可可靠性测测试等相相关技术术服务。通通过对信信息系统统的各种种性能进进行检测测，确保保新上线线的信息息系统能能够满足足当前各各种业务务需求，特特别是各各种极端端的性能能检测，提提升信息息系统的的适用性性，避免免因信息息系统性性能的不不满足，而而不断的的更新。3、信息息系统功功能性检检测：为企业范范围内新新上线或或准备上上线的信信息系统统提供信信息系统统的功能能性测试试、维护护性测试试、

20、可移移植性测测试等相相关技术术服务。在在信息系系统上线线前提前前对信息息系统的的业务功功能，维维护管理理，可移移植进行行检测，提提供信息息系统的的上线质质量。2.2 建设内内容XXXXX企业信信息系统统安全评评测实验验室建设设目前主主要工作作是以软软件测试试实验室室为基础础，通过过人员配配置、场场地建设设、测试试软硬件件设备的的配备、信信息系统统检测标标准制度度的编制制完善、人人员的培培训和资资质的获获取等工工作，完完成从早早期的软软件测试试实验室室到XXXXX企企业信息息系统安安全评测测实验室室的建设设。2.2.1建设设内容1、 信息系统统安全评评测实验验室的场地建建设；2、 信息系统统安全

21、评评测实验验室的硬硬件设备备选型、采采购；3、 信息系统统安全评评测实验验室测试试工具软软件及监监控分析析软件选选型、采采购；4、 信息系统统安全评评测实验验室的人员配配备、培培训及资资质获取取；5、 信息系统统安全评评测实验验室管理理制度、工工作流程程建立；6、 信息系统统安全评评测实验验室各种种工作开开展：提提供对省省电力系系统内的的信息系系统上线线前的评评测，主主要的评评测内容容是对信信息系统统的安全全性，功功能性与与性能进进行评测测。第三章 评测实验验室解决决方案信息系统统安全评评测实验验室建设设是通过过在早期期已有的的软件测测试实验验室的基基础上进进行，通通过增加加各种安安全设备备，

22、检测测设备，以以及相应应的硬件件设备，软软件检测测模块，实实现信息息系统安安全评测测实验室室的初期期检测，能能够让信信息系统统安全评评测实验验室的各各种业务务，并通通过后期期的不断断完善，扩扩建，最最终完成成XXXXX企业业的信息系系统安全全评测实实验室建建设，实实现信息息系统安安全评测测实验室室所有的的建设内内容，以以及长远远规划。安氏领信信科技发发展有限限公司（简简称：安安氏领信信）作为为有着雄雄厚研发发实力的的资深安安全产品品提供商商，从119988年开始始便组建建专门的的团队进进行着网网络信息息安全技技术的探探索与研研究，综综合多年年来在信信息安全全技术研研究领域域的成果果，在信信息系

23、统统安全评评测实验验室的建建设方面面，推出出了安氏氏领信安安全沙盘盘系统LLinkkTruust Seecurrityy SSanddBoxx 产品品，用于于改善，加加强现有有信息系系统安全全评测实实验室的的建设；安氏领信信安全沙沙盘系统统（简称称：沙盘盘系统）主主要用于于信息系系统安全全评测实实验室建建设，提提供信息息系统安安全评测测实验室室建设中中需要的的各种虚虚拟化功功能组件件，特别别是针对对信息系系统安全全评测实实验室中中进行各各种评测测时需要要使用的的软件测测试类工工具，安安全评测测类工具具以及各各种工具具的运行行环境；为信息息系统安安全评测测实验室室进行各各种信息息系统的的测评提提

24、供所需需要的环环境组件件；3.1 信息系统统安全评测测实验室室框架信息系统统安全评评测实验验室的整整体框架架供分为为四个部部分，其其中检测测区是实实验室的的核心部部分，可可以提供供针对信信息系统统进行检检测的各各种检测测软件工工具，安安全工具具，并以以模块化化的方式式存在，方方便实验验室快速速，便捷捷的进行行各种信信息系统统的检测测；检测区中中的所有有检测模模块都是是由安氏氏领信安安全沙盘盘系统提提供，安安氏领信信安全沙沙盘系统统可以根根据设定定的检查查模块，自自动虚拟拟搭建各种种检测需需要的环环境，在在此环境境中提供供相应的的测评使使用的软软件测试试类工具具，安全全测评类类工具，以以及工具具

25、需要运运行的系系统环境境；安氏领信信公司还还可以根根据信息息系统安安全评测测实验室室的需求求，定制制开发各各种检测测模块，按按照用户户实验室室的需要要，定制制开发检检测模块块，并且且可以提提供多样样化，灵灵活性的的检测模模块；方方便信息息系统安安全评测测实验室室对各种种上线信信息系统统进行评评测；安氏信息息系统安安全评测测实验室室框架如如下图所所示：信息系统统安全评评测实验验室框架架图3.2信信息系统统安全评评测实验验室建设设方案信息系统统安全评评测实验验室建设设分为一一期和二二期两个个建设阶阶段，其其中一期期的主要要业务是是提供对对新上线线信息系系统的安安全性，信信息系统统的性能能和信息息系

26、统的的功能进进行检测测；二期期主要对对对信息息系统安安全评测测实验室室业务的的扩展，信息系统安全评测实验室建设主要分为以下几个方面： 安全性检检测业务务建设 功能性检检测业务务建设 性能检测测业务建建设3.2.1信息息系统安安全评测测实验室室网络部部署图信息系统统安全评评测实验验室拓扑扑图3.2.2 安安全性检检测业务务建设在信息系系统安全全评测实实验室建建设中，对对信息系系统的安安全性检检测业务务的建设设需要考考虑的安安全性检检测的特特殊性，以以及便捷捷性，在在信息系系统安全全评测实实验室内内，能够够提供各各种安全全性检测测机制，检检测工具具模块，能能够提供供快速，便便捷的启启动各种种检测工

27、工具模块块对“被检测测的信息息系统”进行安安全性检检测，并并且随着着信息系系统安全全性检测测业务的的扩展 能够不不断提供供对各个个安全性性检测工工具模块块进行扩扩展，更更新；通过在信信息系统统安全评评测实验验室内，对信信息系统统的初期期安全性性检测业业务主要要内容如如下：1、 信息系统统主机安安全性检检测：领信安全全沙盘系系统将提提供快速速的虚拟拟评测需需要的“检测模模块&检检测工具具”，可以提提供针对对信息系系统的主主机安全全性检测测需要的的各种操操作系统统环境，主主机安全全性检测测需要的的软件工工具，无无需检测测工程师师手动安安装，寻寻找检测测工具；能够提提供针对对主机安安全性检检测需要要

28、的所有有常见工工具软件件，以及及工具软软件运行行的环境境。2、 针对信息息系统渗渗透性的的安全性性检测领信安全全沙盘系系统可以以提供虚虚拟化“渗透检检测模块块&检测测工具”，提供供对上线线信息系系统的渗渗透性测测试是在在允许和和可控的的范围内内，采取取可控的的，不造造成不可可弥补损损失的黑黑客入侵侵手法，对对信息系系统发起起真正攻攻击。目目的是检检测是否否可以侵侵入信息息系统并并获取机机密信息息，进而而完善信信息系统统的安全全性检测测。通过过直观的的结果来来反映出出新上线线的信息息系统存存在的最最脆弱点点。渗透检测测模块能能够快速速提供需需要的各各种渗透透方式使使用的操操作系统统环境，以以及渗

29、透透工具，便便于检测测工程师师能够快快速队信信息系统统进行各各种渗透透的安全全性检测测。3、 针对信息息系统漏漏扫的安安全性检检测在信息系系统安全全评测实实验室中中，部署署了领信信网络扫扫描器产产品，使使用领信信网络扫描描器Sccannner对对新上线线信息系系统进行行全面的的漏洞扫面面检测，并并提供全全面的漏漏洞扫描描检测报报告，确确保新上上线的信信息系统统不存在在漏洞性性的安全全隐患；3.2.3 功能能性检测测业务建建设在信息系系统安全全评测实实验室建建设中，需需要对新新上线的的信息系系统进行行严格的的功能测测试，确确保新信信息系统统的完全全满足业业务需要要，并且且在功能能指标上上符合设设

30、计要求求；对信息系系统进行行功能性性检测时时，需要要信息系系统安全全评测实实验室能能够快速速提供信信息系统统需要的的各种功功能测试试环境，测测试信息息系统在在各种业业务环境境中功能能使用情情况，根根据信息息系统的的测试规规范，严严格测试试信息系系统的各各个功能能模块；功能性测测试的重重点是快快速准备备各种需需要的测测试环境境，要求求实验室室中的测测试环境境模块能能够根据据测试规规范的要要求，提提供需要要的测试试环境，包包含功能能测试用用的操作作系统，功功能性测测试用工工具软件件3.2.4 性能能检测业业务建设设在信息系系统安全全评测实实验室建建设中，需需要对新新上线的的信息系系统进行行性能指指

31、标检测测的业务务建设，能能够对上上线信息息系统进进行标准准化的性性能检测测，评定定；性能检测测模块可可以提供供针对上上线信息息系统的的各种性性能指标标的检测测，提供供各种性性能测试试工具，以以及自动动化测试试环境，根根据信息息系统设设定的各各种性能能指标进进行检测测。3.2.5 SGG1866业务应应用运维维测试业业务建设设在信息系系统安全全评测实实验室建建设中，可可以对SSG1886业务务应用运运维进行行模拟测测试，为为SG1186业业务的正正常维护护，管理理提供参参考；测试模块块针对SSG1886业务务的测试试需要提提供各种种模拟的的测试工工具，测测试环境境，能够够对SGG1866业务提提

32、供全面面的测试试，评估估；3.2.6信息系系统安全全评测实实验室扩扩展业务务建设在信息系系统安全全评测实实验室建建设中，在在满足初初期建设设业务的的需求后后，还需需要信息息系统安安全评测测实验室室能够开展展信息系系统安全全性测试试的深入入研究，逐逐步掌握握针对网网络、防防火墙、Web应用系统、数据库、中间件、操作系统等多个应用层面的安全性评测技术。1、 网络架构构的安全全性评测测发现网络络结构存存在的安安全性、网网络负载载问题，网网络设备备存在的的安全性性，抗攻攻击的问问题。检检查网络络管理员员是否有有清晰的的网络拓拓扑图，网网络管理理员是否否熟悉网网络设备备的部署署情况，分分析网络络拓扑图图

33、与实际际的网络络结构的的是否存存在差异异情况，检检查网络络拓扑变变更的控控制程序序，网络络拓扑图图的维护护管理情情况等。检查网络络根据业业务和安安全需求求的分段段情况，是是否采用用了防火火墙和网网关来加加强不同同网段间间的访问问控制，了了解网络络的地址址管理和和IP地地址规划划的原则则和方法法，了解解网络中中出口的的情况，每每个出口口的保护护方式等等。通过过对上述述内容的的检查了了解，对对网络拓拓扑结构构合理性性进行分分析。2、 网络安全全设备的的安全性性评测网络设备备是保障障一个系系统边界界安全的的有利工工具，但但是过分分的依赖赖于网络络设备理理论上提提供的功功能，将将会导致致无法正正确判断

34、断系统的的威胁情情况，和和信任过过度的问问题。我我们有必必要为网网络设备备自身的的安全性性和是否否有效保保护了被被保护系系统，做做一个评评测以达达到真正正起到保保护的目目的。另另外，网网络设备备由于被被保护系系统的复复杂性和和管理员员的自身身面对的的系统较较为复杂杂，配置置未必合合理，容容易为入入侵者提提供入侵侵通道。有有必要为为网络设设备存在在的这些些问题提提供一种种安全解解决方案案，而针针对网络络设备的的安全评评测将是是一种有有效的手手段。网络设备备安全包包含： 交换机； 路由器； 防火墙； 其它网络络设备。3、 Web 应用安安全的弱弱点评测测通过对WWEB应应用的弱弱点进行行评测，发发

35、现应用用软件中中存在的的安全隐隐患（包包括安全全功能设设计、安安全弱点点、以及及安全部部署中的的弱点等等）4、 数据库的的安全性性评测完整，全全面发现现业务系统统中数据库库的漏洞洞和安全全隐患，主主要评测测的内容容如下： 数据库用用户名和和密码管管理 用户权限限设置 密码策略略设置 冗余账号号的管理理 数据库访访问控制制 访问IPP地址的的控制 通讯安全全配置 登录认证证方式 数据的安安全 敏感信息息的存储储方式 数据库备备份 数据库存存储介质质安全 传输加密密 安全漏洞洞检查 补丁管理理 数据库的的安全审审计 登录日志志审计 操作日志志审计5、 通用应用用（中间间件）服服务的弱弱点评测测通用

36、应用用中间件件的安全全关乎整整个业务务系统的的安全,通过评评测发现现通用中中间件的的安全问问题.主主要是指指针对IIIS、aapacche、fftp、wwebllogiic等相相关通用用的应用用软件进进行安全全评测。评评测主要要包含补补丁管理理、最大大安全性性原则、用用户管理理、权限限管理、日日志安全全管理等等进行分分析。6、 操作系统统主机的的安全性性评测操作系统统主机的的安全评评测的对对象包含含计算机机硬件系系统、操操作系统统；操作作系统的的安全性性评测不不包含非非附属于于操作系系统的软软件产品品（如微微软的SSQL SERRVERR）的安安全评测测。操作系统统的安全全性评测测范围： 应用

37、服务务器； 客户机（用用户终端端机）。3.3信信息系统统安全评评测实验验室及人人员建设设信息系统统安全评评测实验验室作为为一个专专业性很很强的技技术评测测实验室室，需要要一支专专业化高高素质的的信息人人才队伍伍，同时时也需要要一个健健全的组组织机构构，明确确各岗位位的职责责。信息息系统安安全评测测实验室室在省公公司科技技信息部部的领导导下开展展检测工工作。信息系统统安全评评测实验验室按照照初期开开展的业业务不同同，暂分分为网络络安全组组和系统统评测组两两个工作作组，其其中信息息系统评评测组又又分为功功能、性性能、安安全和扩扩展业务务等4个小组组，其中中扩展业业务组是是为准备备信息系系统安全全评

38、测实实验室二二期建设设提前设设置的小小组，此此小组能能够提供供信息系系统安全全评测实实验室二二期业务务的建设设，拓展展。信息系统统安全评评测实验验室的组组织结构构如图下下图所示示：信息系统统安全评评测实验验室组织织结构图图3.4信信息系统统安全评评测实验验室场地地建设信息系统统安全评评测实验验室场地地拟定在在XXXXX机房房，根据据机房搬搬迁计划划，定于于XXXXX年XXX月底底完成信信息系统统安全评评测实验验室的机机房搬迁迁。结合合实际情情况，准准备实验验室场地地的建设设方案：3.5信信息系统统安全评评测实验验室制度度建设针对信息息系统安安全评测测实验室室的实际际情况，制制定一套套规范的的管

39、理制制度，确确保信息息系统安安全评测测实验室室的各项项工作有有条不紊紊的开展展。主要管理理制度如如表所示示：序号主要管理理制度管理制度度内容1岗位责任任制度岗位责任任制度内内容是每每个岗位位的职责责、任务务、目标标等内容容具体化化；作用用是明确确责任，提提高效率率，保证证工作质质量，奖奖罚有据据。2员工培训训制度员工培训训制度主主要包括括员工入入职培训训和员工工的技能能培训。作作用是引引导新员员工熟知知工作流流程、基基本业务务，确定定自身工工作职责责，初步步掌握基基本技能能；促使使老员工工技能不不断提升升。3设备管理理制度设备管理理制度包包括设备备运行管管理制度度、设备备缺陷管管理制度度和设备

40、备检修管管理制度度；作用用是科学学地管理理好中心心的设备备，使设设备的维维护管理理工作有有组织、有有计划、有有标准地地进行。4资料管理理制度资料管理理制度包包括机房房档案资资料管理理，日常常工作记记录、报报表、报报告管理理，技术术资料管管理。作作用是方方便对各各种资料料进行收收集、统统计、整整理、分分类、归归档、保保管、使使用。5安全管理理制度安全管理理制度包包括实验验室的防防火防盗盗、电源源安全、设设备安全全管理、核核心资料料的保密密。作用用是加强强中心的的安全管管理，明明确各部部门和人人员的安安全工作作责任，将将安全工工作落到到实处。6质量管理理制度质量管理理制度包包括质量量管理体体系，质

41、质量标准准法规，质质量管理理和监控控的流程程。作用用是加强强检测工工作的管管理，提提高工作作的质量量和水平平。7办公室管管理制度度办公室管管理制度度包括办办公用品品管理、电电话管理理、卫生生管理、打打印复印印管理等等。作用用是规范范办公室室管理，使使办公室室的各项项日常事事务有章章可循。8作业管理理制度作业管理理制度包包括检测测工作流流程中各各种测试试标准、测测试规范范、注意意事项、作作业指导导书等。作作用是规规范信息息系统检检测工作作，使检检测工作作有章可可循。信息系统统安全评评测实验验室管理理制度表表3.6信信息系统统安全评评测实验验室流程程建设信息系统统安全评评测实验验室建成成后，在在开

42、展各各项常规规信息系系统评测测工作的的同时，将将根据需需要逐步步开展系系统的安安全性测测试、运运维期测测试等，最最终建成成一个完完备的信信息系统统安全评评测实验验室中心心。信息息系统安安全评测测实验室室对信息息系统评评测流程程与对软软件测试试流程相相似，测试流程程如下图图所示：测试工作作流程图图质量管理理的流程程图如下下图所示示：质量管理理流程图图日常工作作管理的的流程图图如下图图所示：日常工作作管理流流程图3.7信信息系统统安全评评测实验验室解决决方案的的优势3.7.1 检检测模块块的多样样化/多多层次 检测模块块安全沙盘盘系统的的检测模模块【检测模模块即携携带各种种对信息息系统进进行测评评

43、时需要要使用工工具软件件以及相相应的环环境，开开启的检检查模块块可以通通过自身身携带的的软件工工具对信信息系统统进行指指定内容容的评测测】涵盖盖整个信信息系统统测评需需要的软软件测试试类工具具与安全全检测类类工具以以及各种种工具需需要运行行的系统统环境，按按照检测测模块应应用可以以分类安安全性检检测模块块，功能能性检测测模块，性性能检测测模块与与扩展业业务需要要使用的的风险评评估模块块四类； 可定制开开发的检检测模块块安全沙盘盘系统可可以携带带各种安安全性，功功能性，性性能的检检测工具具软件模模块，是是可以根根据用户户测评的的需要进进行定制制开发，每每个用户户可以根根据自身身的需要要进行各各种

44、评测测模块的的定制开开发，同同时安全全沙盘系系统本身身会自带带一些通通用的测测评工具具模块件件供用户户选择；3.7.2 检检测模块块自动化化/定制制化 检测模块块即时加加载/卸卸载评测工程程师可以以通过管管理平台台即时开开启各种种计测试试需要的的检查模模块，搭搭建各种种系统的的评测环环境，还还可以根根据需要要将各种种需要使使用的检检测模块块一次开开启，利利用每个个检测模模块对信信息系统统进行相相应的评评测，对对于不需需要使用用的检测测模块，可可以立即即停止关关闭，为为新需要要的检测测模块开开启提供供资源。 检测模块块定制加加载/卸卸载评测工程程师可以以通过管理理平台为不不同的信信息系统统测试开

45、开启不同同的检测测模块，可以同同时进行行多个相相同检测测模块以以及不同同的检查查模块的的开启，为为同时进进行多个个信息系系统的评评测提供供条件；不需要要使用的的检测模模块可以以立即关关闭，不不会影响响其他开开启的检检查模块块的使用用。3.7.3 优优异的兼兼容性与与扩展性性 优异的兼兼容性与与可扩展展性：通过安全全沙盘系系统搭建建的信息息系统安安全评测测实验室室，具备备良好的的兼容性性欲可扩扩展性，可可以与其其他检测测，评测测设备一一同使用用，也可可以与各各种安全全设备一一同使用用，同时时可以不不断的通通过扩充充检测模模块，以以及相应应的技术术人员的的培训，使使得信息息系统安安全评测测实验室室

46、能够不不断扩展展业务范范围。3.8 领信安安全沙盘盘系统检检测模块块介绍安氏领信信安全沙沙盘系统统的检测模模块共分分为四大大类，其其中以安安全性检检测模块块，功能能性检测测模块，性性能检测测模块为为普通通通用性检检测模块块，而提供针针对网络络，安全全设备，数数据库，中中间件等等的评估估性检测模模块(此此部分检检测模块块需要根根据用户户的实际际情况定定制，确确定需要要检测的的内容后后，定制制各种对对应的检检测模块块)则为为高级定定制型检检测模块块。3.8.1 “安全性性”检测模模块安全性检检测模块块主要是是对需要要评测的的系统进进行各种种安全性性的评测测，如被被评测系系统的主主机安全全，操作作系

47、统安安全，账账户安全全，漏洞洞风险评评测，特特定应用用安全性性评测等等几个方方面，如如被评测测系统属属于特殊殊平台架架构，可可能需要要定制专专用的安安全性检检测模块块；扫描类检检测模块块1、SuuperrScaan扫描描检测模模块：图图形化的的端口扫扫描器。2、nmmap-2.554BEETA11扫描检检测模块块：最经经典的端端口扫描描器。支支持多种种协议的的扫描如如UDPP，TCCP cconnnectt(),TCPP SYYN (hallf oopenn), ftpp prroxyy (bbounnce atttackk),RReveersee-iddentt, IICMPP (ppingg swweepp), FINN, AACK sweeep,Xmaas TTreee, SSYN sweeep, 和NNulll扫描。3、Neessuus扫描描检测模模块：Web安安全类检检测模块块1、paangoolinn检测模模块：最最著名的的sqll注入利利用工具具。2、Accuneetixx Vuulneerabb