《《精编》信息系统安全评测解决方案》由会员分享,可在线阅读,更多相关《《精编》信息系统安全评测解决方案(32页珍藏版)》请在金锄头文库上搜索。
1、信息系统安全评测实验室建设方案2010年03月目 录第一章 概述41.1 建设背景41.2 建设现状41.2.信息系统安全评测实验室建设现状:41.2.2 XXXX企业信息系统安全评测实验室建设现状:41.3 建设意义51.4 建设目标51.5 建设原则61.5.1 科学性61.5.2 规范性61.5.3 先进性61.5.4 效率性71.5.5 实用性7第二章 信息系统安全评测实验室82.1 检测业务范围82.2 建设内容82.2.1建设内容8第三章 评测实验室解决方案103.1 信息系统安全评测实验室框架103.2信息系统安全评测实验室建设方案113.2.1 信息系统安全评测实验室网络部署图
2、113.2.2 安全性检测业务建设123.2.3 功能性检测业务建设143.2.4 性能检测业务建设143.2.5 SG186业务应用运维测试业务建设153.2.6 信息系统安全评测实验室扩展业务建设153.3 信息系统安全评测实验室及人员建设173.4 信息系统安全评测实验室场地建设183.5 信息系统安全评测实验室制度建设183.6 信息系统安全评测实验室流程建设193.7 信息系统安全评测实验室解决方案的优势223.7.1 检测模块的多样化/多层次223.7.2 检测模块自动化/定制化223.7.3 优异的兼容性与扩展性223.8 领信安全沙盘系统检测模块介绍233.8.1 “安全性”检
3、测模块233.8.2 “功能性”检测模块243.8.3 “性能”检测模块253.8.4 “评估性”检测模块25第四章 信息系统安全评测实验室实施方案274.1 部署示意图274.2 部署实施建议274.2.1 信息系统安全评测实验室基本实施284.2.2 评测工具区实施284.2.3 评测工作区实施284.2.4 评测接入区实施284.2.5 采购设备清单294.3 实施计划304.3.1 项目实施说明304.3.2 实施时间表30附录 参考标准31第一章 概述1.1 建设背景随着企业各种大型信息化工程的建设竣工,大部分的大集中信息系统在陆续进入运维阶段。在运维过程中,系统存在隐藏的缺陷或导致
4、一些隐藏的缺陷积累。由于报警数量巨大,运维人员无法及时对系统整体运行状况做出客观评估。而一个专业的信息系统安全评测实验室,通过配备专门的检测工具、检测手段及检测方法,定期对各大集中系统的网络、防火墙、操作系统、数据库、中间件、应用等多个层面的健康状态进行监控和分析,可及时发现系统运行中的缺陷及安全隐患,实现系统运行的可视、可控、可预测和可维护的目的。1.2 建设现状1.2.信息系统安全评测实验室建设现状:信息系统安全评测实验室建设还处于初期阶段,随着企业对信息系统上线前的安全评测的不断重视,大型企业将会越来越重视信息系统安全评测实验室。1.2.2 XXXX企业信息系统安全评测实验室建设现状:随
5、着信息安全成为当今电力企业信息化发展过程中最为重视的问题,在国家电网公司的积极倡导下,XXXX企业已经开始了信息系统安全评测实验室筹建工作,而XXXX企业的技术部门则成为建设信息系统安全评测实验室的主导单位。XXXX省电力科学研究院早在2007年,就已经开始了信息软件测试实验室建设,目前与软件测试工作有关的员工有10余人,其中有高级工程师4人、硕士3名,实验室人员的平均年龄为28岁。实验室于2008年通过了ISO9000体系认证;2009年8月顺利通过国家实验室认可委的实验室扩项外审。在全国电力系统内率先取得了CNAS资质。在取得CNAS资质后,XXXX电力实验研究院软件测试实验室所出具的测试
6、报告就可以获得50多个国家和地区的认可;2009年12月通过XXXX省省直计量认证评审组的扩项评审,同样在全国电力系统内第一个取得了CMA计量认证资质。XXXX企业信息系统安全评测实验室将在已有的软件测试实验室的基础上建立,充分利用现有实验室资源,以实现业务上、技术上、规格上向更高的层次迈进。1.3 建设意义在企业信息化的建设和发展过程中,信息化将贯穿整个过程,大量的信息系统建设将是必然的。如何保证越来越多的新上线信息系统的质量,如何在心信息系统上线前进行综合,快捷的检测,评估,是信息化发展过程中待解决的问题。通过建设一个专业的信息系统安全评测实验室,对即将上线的信息系统进行严格的测试,安全评
7、估,加强对信息系统的质量把关,进而可以充分保证信息系统的可用性、可靠性,保证系统各种性能的达标。另外,在信息系统的运维过程中,系统会面临需求变化、数据结构变化、数据量变化、基础平台升级等复杂情况,这将带来很多隐藏的缺陷。系统运维平台所提供的异常报警、异常处理提示、故障追踪等技术手段,由于报警数量巨大,运维人员无法及时对系统整体运行状况做出客观评估。通过建设一个专业的信息系统安全评测实验室,使用专门的检测工具与检测手段,定期对各大集中系统的网络、防火墙、操作系统、数据库、中间件、应用等多个层面的健康状态进行检测和评估分析,及时发现系统运行中的缺陷及安全隐患,实现系统运行的可视、可控、可预测和可维
8、护的目的。再者,企业生产、管理、营销等经营活动越来越依赖计算机信息系统,如果这些系统遭到破坏,造成数据损坏,信息泄露,不能提供服务等问题,则将对电网的安全运行、公司的生产管理以及经济效益造成不可估量的损失。信息化发展在带来便利和高效率的同时,也带来了新的安全风险和问题。通过建设一个专业的信息系统安全评测实验室,对信息系统进行安全性测试,主要内容包括服务器安全、网络安全、应用安全、数据安全以及安全信息措施检测,保证公司的信息系统安全稳定的运行。1.4 建设目标XXXX企业信息系统安全评测实验室建设的初期目标是在现阶段,以现有软件测试实验室为基础,通过人员、场地、设备、测试工具、制度规范的建设和完
9、善,顺利的完成从软件测试研究实验室到XXXX企业信息系统安全评测实验室的建设。信息系统安全评测实验室在开展常规的功能性软件测试工作的同时,还可以开展软件的性能测试、易用性测试、可靠性测试、维护性测试、可移植性测试和安全性测试等等,同时根据信息系统安全评测实验室的特点,还可以进行各种信息安全技术的培训,演练,进一步的满足信息化建设工作的需要。信息系统安全评测实验室建设的中长期目标是开展全方面的、高技术、高层次的信息系统检测工作,能够满足XXXX企业的信息系统测试需要。1.5 建设原则1.5.1 科学性建设信息系统安全评测实验室是为了给信息化建设提供安全可靠的质量保证,而实现质量保证的前提则是检测
10、工作的科学性。只有实现了检测工作中测试技术、测试方法、测试过程等各领域工作的科学性、合理性,才能保证检测结果的科学性、合理性,才能为信息系统的开发、运行提供真实、有效的帮助。1.5.2 规范性信息系统安全评测实验室的人员配置、场地建设、软硬件设备工具的配备、信息系统检测标准制度的编制完善、人员的培训、资质的获取、管理体系及作业指导书的建立完善是一项复杂、细致的工作。一个良好的、规范的过程管理是实现信息系统安全评测实验室建设目标的一个必要前提。只有实现规范化、标准化的管理,才能保证信息信息系统安全评测实验室的建设工作顺利开展。同样,信息系统的检测过程也是一项需要规范化、标准化的工作流程。ISO9
11、000、CMMI(软件能力成熟度模型)都是目前软件领域内通用的管理标准,对于软件工程中的开发过程、测试过程的控制与管理都有严格的定义。GB/T16260-2006 软件工程 产品质量、GB/T17544-1998 信息技术 软件包 质量要求和测试、GB/T15532-2008计算机软件测试规范等是目前国内发布的,与国际通行的计算机软件测试标准相衔接的,计算机软件生存周期内各类软件产品的基本测试方法、过程和准则。信息系统安全评测实验室将借鉴这些先进的管理标准、技术标准以及“运维期测试”科研项目的研究成果,建立一套规范化、标准化、适合我们自己的信息系统检测管理体系,将检测工作中的样品接收、测试准备
12、、测试设计、测试实施、结果分析、测试总结等全过程纳入到管理体系中,使得信息系统安全评测实验室自身也有一个良好质量保证。1.5.3 先进性当今信息技术发展迅速,新技术、新产品层出不穷,要对各种信息系统都能进行检测,信息系统安全评测实验室建设时要将技术的先进性放在重要位置。技术的先进性首先体现在设备的先进性上。设备的先进是整个信息系统安全评测实验室先进的基础。采用当今最先进的设备,选择最前沿的技术,才能有力地保障信息系统安全评测实验室高质量、高标准地完成各项工作。技术的先进性更加体现在人员的高素质上。人员的高素质是整个信息系统安全评测实验室先进的根本。设备的先进性是信息系统安全评测实验室先进的基础
13、,但再先进的设备得不到合理地利用也只能成为摆设。信息系统安全评测实验室建设需要一批高素质专业化的信息检测人才,这也是信息系统安全评测实验室建设的基础。1.5.4 效率性建设信息系统安全评测实验室,需要建设场地,购买大量的硬件、软件设备。建设时要遵循节约性原则,争取做到少花钱多办事。要根据信息系统安全评测实验室近期的业务范围,根据实际工作需要,要综合分析采购产品的“必要性”,追求设备最合理的配置和尽可能高的性价比。此外,由于信息化建设的规模越来越大,需要检测的信息系统项目也越来越多,因此信息系统安全评测实验室建设要讲就效率,合理规划业务工作流程,提高人员工作效率和资源利用效率。1.5.5 实用性
14、实用性是信息系统安全评测实验室的基本特征,更是内在要求。建设信息系统安全评测实验室,首要是为了对公司自行开发实施的信息系统进行测试把关。建设要遵循实用性原则,要在学术性和实用性之间找到一个平衡点。要根据公司的实际需要确定信息系统安全评测实验室的主要业务,推动公司信息化工作健康有序地发展。 第二章 信息系统安全评测实验室信息系统安全评测实验室主要为提供对XXXX企业内部新上线各种信息系统的检测,通过在信息系统安全评测实验室内对信息系统的各种评测,特别是信息安全评估,检测,确保信息系统在上线后,能够很好的运行,为企业提供更好的服务。2.1 检测业务范围1、信息系统安全性检测为企业范围内新上线或者准
15、备上线的信息系统提供安全性检测的技术服务,信息系统的安全性测试内容较多,需要很多特定检测工具软件,安全性检测是信息系统上线前最为重要的检测内容,确保信息系统本身的安全性,是信息系统能够真正上线的前提;2、信息系统性能检测:为企业范围内新上线或准备上线的信息系统提供信息系统的性能测试、易用性测试、可靠性测试等相关技术服务。通过对信息系统的各种性能进行检测,确保新上线的信息系统能够满足当前各种业务需求,特别是各种极端的性能检测,提升信息系统的适用性,避免因信息系统性能的不满足,而不断的更新。3、信息系统功能性检测:为企业范围内新上线或准备上线的信息系统提供信息系统的功能性测试、维护性测试、可移植性测试等相关技术服务。在信息系统上线前提前对信息系统的业务功能,维护管理,可移植进行检测,提供信息系统的上线质量。2.2 建设内容XXXX企业信息系统安全评测实验室建设目前主要工作是以软件测试实验室为基础,通过人员配置、场地建设、测试软硬件设备的配备、信息系统检测标准制度的编制完善、人员的培训和资质的获取等工作,完成从早期的软件测试实验室到XXXX企业信息系统安全评测实验室的建设。2.2.1建设内容1、 信息系统安
