《信息系统安全评测解决方案》由会员分享,可在线阅读,更多相关《信息系统安全评测解决方案(40页珍藏版)》请在金锄头文库上搜索。
1、信息系统统安全评测测实验室室建设方案案20100年03月目 录第一章概概述41.1 建设背背景41.2 建设现现状41.2.信息系系统安全全评测实实验室建建设现状状:41.2.2 XXXXXX企业信信息系统统安全评评测实验验室建设设现状:41.3 建设意意义51.4 建设目目标51.5 建设原原则61.5.1 科科学性661.5.2 规规范性661.5.3 先先进性661.5.4 效效率性771.5.5 实实用性77第二章信信息系统统安全评评测实验验室82.1 检测业业务范围围82.2 建设内内容82.2.1建设设内容88第三章评评测实验验室解决决方案1103.1 信息系系统安全全评测实实验室
2、框框架1003.2信信息系统统安全评评测实验验室建设设方案1113.2.1 信信息系统统安全评评测实验验室网络络部署图图113.2.2 安安全性检检测业务务建设1123.2.3 功功能性检检测业务务建设1143.2.4 性性能检测测业务建建设1443.2.5 SSG1886业务务应用运运维测试试业务建建设1553.2.6 信信息系统统安全评评测实验验室扩展展业务建建设1553.3 信息系系统安全全评测实实验室及及人员建建设1773.4 信息系系统安全全评测实实验室场场地建设设183.5 信息系系统安全全评测实实验室制制度建设设183.6 信息系系统安全全评测实实验室流流程建设设193.7 信息
3、系系统安全全评测实实验室解解决方案案的优势势223.7.1 检检测模块块的多样样化/多层次次223.7.2 检检测模块块自动化化/定制化化223.7.3 优优异的兼兼容性与与扩展性性223.8 领信安安全沙盘盘系统检检测模块块介绍2233.8.1 “安全性性”检测模模块2333.8.2 “功能性性”检测模模块2443.8.3 “性能”检测模模块2553.8.4 “评估性性”检测模模块255第四章信信息系统统安全评评测实验验室实施施方案2274.1 部署示示意图2274.2 部署实实施建议议274.2.1 信信息系统统安全评评测实验验室基本本实施2284.2.2 评评测工具具区实施施284.2.
4、3 评评测工作作区实施施284.2.4 评评测接入入区实施施284.2.5 采采购设备备清单2294.3 实施计计划3004.3.1 项项目实施施说明3304.3.2 实实施时间间表300附录参考考标准331第一章 概述1.1 建设背背景随着企业业各种大大型信息息化工程程的建设设竣工,大大部分的的大集中中信息系系统在陆陆续进入入运维阶阶段。在在运维过过程中,系系统存在在隐藏的的缺陷或或导致一一些隐藏藏的缺陷陷积累。由由于报警警数量巨巨大,运运维人员员无法及及时对系系统整体体运行状状况做出出客观评评估。而而一个专专业的信信息系统统安全评评测实验验室,通通过配备备专门的的检测工工具、检检测手段段及
5、检测测方法,定定期对各各大集中中系统的的网络、防防火墙、操操作系统统、数据据库、中中间件、应应用等多多个层面面的健康康状态进进行监控控和分析析,可及及时发现现系统运运行中的的缺陷及及安全隐隐患,实实现系统统运行的的可视、可可控、可可预测和和可维护护的目的的。1.2 建设现现状1.2.信息系系统安全全评测实实验室建建设现状状:信息系统统安全评评测实验验室建设设还处于于初期阶阶段,随随着企业业对信息息系统上上线前的的安全评评测的不不断重视视,大型型企业将将会越来来越重视视信息系系统安全全评测实实验室。1.2.2XXXXX企企业信息息系统安安全评测测实验室室建设现现状:随着信息息安全成成为当今今电力
6、企企业信息息化发展展过程中中最为重重视的问问题,在在国家电电网公司司的积极极倡导下下,XXXXX企企业已经经开始了了信息系系统安全全评测实实验室筹筹建工作作,而XXXXXX企业的的技术部部门则成成为建设设信息系系统安全全评测实实验室的的主导单单位。XXXXX省电力力科学研研究院早早在20007年年,就已已经开始始了信息息软件测测试实验验室建设设,目前前与软件件测试工工作有关关的员工工有100余人,其其中有高高级工程程师4人人、硕士士3名,实实验室人人员的平平均年龄龄为288岁。实实验室于于20008年通通过了IISO990000体系认认证;220099年8月月顺利通通过国家家实验室室认可委委的
7、实验验室扩项项外审。在在全国电电力系统统内率先先取得了了CNAAS资质质。在取取得CNNAS资资质后,XXXX电力实验研究院软件测试实验室所出具的测试报告就可以获得50多个国家和地区的认可;2009年12月通过XXXX省省直计量认证评审组的扩项评审,同样在全国电力系统内第一个取得了CMA计量认证资质。XXXXX企业信信息系统统安全评评测实验验室将在在已有的的软件测测试实验验室的基基础上建建立,充充分利用用现有实实验室资资源,以以实现业业务上、技技术上、规规格上向向更高的的层次迈迈进。1.3 建设意意义在企业信信息化的的建设和和发展过过程中,信信息化将将贯穿整整个过程程,大量量的信息息系统建建设
8、将是是必然的的。如何何保证越越来越多多的新上上线信息息系统的的质量,如如何在心心信息系系统上线线前进行行综合,快快捷的检检测,评评估,是是信息化化发展过过程中待待解决的的问题。通通过建设设一个专专业的信信息系统统安全评评测实验验室,对对即将上上线的信信息系统统进行严严格的测测试,安安全评估估,加强强对信息息系统的的质量把把关,进进而可以以充分保保证信息息系统的的可用性性、可靠靠性,保保证系统统各种性性能的达达标。另外,在在信息系系统的运运维过程程中,系系统会面面临需求求变化、数数据结构构变化、数数据量变变化、基基础平台台升级等等复杂情情况,这这将带来来很多隐隐藏的缺缺陷。系系统运维维平台所所提
9、供的的异常报报警、异异常处理理提示、故故障追踪踪等技术术手段,由由于报警警数量巨巨大,运运维人员员无法及及时对系系统整体体运行状状况做出出客观评评估。通通过建设设一个专专业的信信息系统统安全评评测实验验室,使使用专门门的检测测工具与与检测手手段,定定期对各各大集中中系统的的网络、防防火墙、操操作系统统、数据据库、中中间件、应应用等多多个层面面的健康康状态进进行检测测和评估分析析,及时时发现系系统运行行中的缺缺陷及安安全隐患患,实现现系统运运行的可可视、可可控、可可预测和和可维护护的目的的。再者,企企业生产产、管理理、营销销等经营营活动越越来越依依赖计算算机信息息系统,如如果这些些系统遭遭到破坏
10、坏,造成成数据损损坏,信信息泄露露,不能能提供服服务等问问题,则则将对电电网的安安全运行行、公司司的生产产管理以以及经济济效益造造成不可可估量的的损失。信信息化发发展在带带来便利利和高效效率的同同时,也也带来了了新的安安全风险险和问题题。通过过建设一一个专业业的信息息系统安安全评测测实验室室,对信信息系统统进行安安全性测测试,主主要内容容包括服服务器安安全、网网络安全全、应用用安全、数数据安全全以及安安全信息息措施检检测,保保证公司司的信息息系统安安全稳定定的运行行。1.4 建设目目标XXXXX企业信信息系统统安全评评测实验验室建设设的初期期目标是是在现阶阶段,以以现有软软件测试试实验室室为基
11、础础,通过过人员、场场地、设设备、测测试工具具、制度度规范的的建设和和完善,顺顺利的完完成从软软件测试试研究实实验室到到XXXXX企业业信息系系统安全全评测实实验室的的建设。信息系统安全评测实验室在开展常规的功能性软件测试工作的同时,还可以开展软件的性能测试、易用性测试、可靠性测试、维护性测试、可移植性测试和安全性测试等等,同时根据信息系统安全评测实验室的特点,还可以进行各种信息安全技术的培训,演练,进一步的满足信息化建设工作的需要。信息系统统安全评评测实验验室建设设的中长长期目标标是开展展全方面面的、高高技术、高高层次的的信息系系统检测测工作,能能够满足足XXXXX企业业的信息息系统测测试需
12、要要。1.5 建设原原则1.5.1 科科学性建设信息息系统安安全评测测实验室室是为了了给信息息化建设设提供安安全可靠靠的质量量保证,而而实现质质量保证证的前提提则是检检测工作作的科学学性。只只有实现现了检测测工作中中测试技技术、测测试方法法、测试试过程等等各领域域工作的的科学性性、合理理性,才才能保证证检测结结果的科科学性、合合理性,才才能为信信息系统统的开发发、运行行提供真真实、有有效的帮帮助。1.5.2 规规范性信息系统统安全评评测实验验室的人员配配置、场场地建设设、软硬硬件设备备工具的的配备、信信息系统统检测标标准制度度的编制制完善、人人员的培培训、资资质的获获取、管管理体系系及作业业指
13、导书书的建立立完善是是一项复复杂、细细致的工工作。一一个良好好的、规规范的过过程管理理是实现现信息系系统安全全评测实实验室建建设目标标的一个个必要前前提。只只有实现现规范化化、标准准化的管管理,才才能保证证信息信信息系统统安全评评测实验验室的建建设工作作顺利开开展。同样,信信息系统统的检测测过程也也是一项项需要规规范化、标标准化的的工作流流程。IISO990000、CMMMI(软软件能力力成熟度度模型)都都是目前前软件领领域内通通用的管管理标准准,对于于软件工工程中的的开发过过程、测测试过程程的控制制与管理理都有严严格的定定义。GGB/TT162260-20006 软软件工程程 产品品质量、G
14、GB/TT175544-19998 信信息技术术 软件件包 质质量要求求和测试试、GBB/T1155332-220088计算机机软件测测试规范范等是目目前国内内发布的的,与国国际通行行的计算算机软件件测试标标准相衔衔接的,计计算机软软件生存存周期内内各类软软件产品品的基本本测试方方法、过过程和准准则。信信息系统统安全评评测实验验室将借借鉴这些些先进的的管理标标准、技技术标准准以及“运维期期测试”科研项项目的研研究成果果,建立立一套规规范化、标标准化、适适合我们们自己的的信息系系统检测测管理体体系,将将检测工工作中的的样品接接收、测测试准备备、测试试设计、测测试实施施、结果果分析、测测试总结结等
15、全过过程纳入入到管理理体系中中,使得得信息系系统安全全评测实实验室自自身也有有一个良良好质量量保证。1.5.3 先先进性当今信息息技术发发展迅速速,新技技术、新新产品层层出不穷穷,要对对各种信信息系统统都能进进行检测测,信息息系统安安全评测测实验室室建设时时要将技技术的先先进性放放在重要要位置。技术的先先进性首首先体现现在设备备的先进进性上。设设备的先先进是整整个信息息系统安安全评测测实验室室先进的的基础。采采用当今今最先进进的设备备,选择择最前沿沿的技术术,才能能有力地地保障信信息系统统安全评评测实验验室高质质量、高高标准地地完成各各项工作作。技术的先先进性更更加体现现在人员员的高素素质上。人人员的高高素质是是整个信信息系统统安全评评测实验验室先进进的根本本。设备备的先进进性是信信息系统统安全评评测实验验室先进进的基础础,但再再先进的的设备得得不到合合理地利利用也只只能成为为摆设。信息系统安全评测实验室建设需要一批高素质专业化的信息检测人才,这也是信息系统安全评测实验室建设的基础。1.5.4 效效率性建设信息息系统安安全评测测实验室室,需要要建设场场地,购购买大量量的硬件件、软件件设备。建建设时要要遵循节节约性原原则,争争取做到到少花钱钱多办事事
