信息系统安全评测实验室--解决方案

信息系统安全评测实验室建设方案2010年03月目录第一章概述......................................................................41.1建设背景.................................................................41.2建设现状.................................................................41.2.信息系统安全评测实验室建设现状：....................................41.2.2XXXX企业信息系统安全评测实验室建设现状：..........................41.3建设意义.................................................................51.4建设目标.................................................................51.5建设原则.................................................................61.5.1科学性............................................................61.5.2规范性............................................................61.5.3先进性............................................................61.5.4效率性............................................................71.5.5实用性............................................................7第二章信息系统安全评测实验室....................................................82.1检测业务范围.............................................................82.2建设内容.................................................................82.2.1建设内容...........................................................9第三章评测实验室解决方案.......................................................103.1信息系统安全评测实验室框架..............................................103.2信息系统安全评测实验室建设方案..........................................113.2.1信息系统安全评测实验室网络部署图..................................113.2.2安全性检测业务建设...............................................123.2.3功能性检测业务建设...............................................143.2.4性能检测业务建设.................................................143.2.5SG186业务应用运维测试业务建设....................................153.2.6信息系统安全评测实验室扩展业务建设................................153.3信息系统安全评测实验室及人员建设........................................173.4信息系统安全评测实验室场地建设..........................................183.5信息系统安全评测实验室制度建设..........................................183.6信息系统安全评测实验室流程建设..........................................193.7信息系统安全评测实验室解决方案的优势....................................223.7.1检测模块的多样化/多层次..........................................223.7.2检测模块自动化/定制化............................................223.7.3优异的兼容性与扩展性.............................................223.8领信安全沙盘系统检测模块介绍............................................233.8.1“安全性”检测模块...............................................233.8.2“功能性”检测模块...............................................243.8.3“性能”检测模块.................................................253.8.4“评估性”检测模块...............................................25第四章信息系统安全评测实验室实施方案...........................................274.1部署示意图..............................................................274.2部署实施建议............................................................274.2.1信息系统安全评测实验室基本实施...................................284.2.2评测工具区实施...................................................284.2.3评测工作区实施...................................................284.2.4评测接入区实施...................................................284.2.5采购设备清单.....................................................294.3实施计划................................................................304.3.1项目实施说明.....................................................304.3.2实施时间表.......................................................30附录参考标准...................................................................31第一章概述1.1建设背景随着企业各种大型信息化工程的建设竣工，大部分的大集中信息系统在陆续进入运维阶段。在运维过程中，系统存在隐藏的缺陷或导致一些隐藏的缺陷积累。由于报警数量巨大，运维人员无法及时对系统整体运行状况做出客观评估。而一个专业的信息系统安全评测实验室，通过配备专门的检测工具、检测手段及检测方法，定期对各大集中系统的网络、防火墙、操作系统、数据库、中间件、应用等多个层面的健康状态进行监控和分析，可及时发现系统运行中的缺陷及安全隐患，实现系统运行的可视、可控、可预测和可维护的目的。1.2建设现状1.2.信息系统安全评测实验室建设现状：信息系统安全评测实验室建设还处于初期阶段，随着企业对信息系统上线前的安全评测的不断重视，大型企业将会越来越重视信息系统安全评测实验室。1.2.2XXXX企业信息系统安全评测实验室建设现状：随着信息安全成为当今电力企业信息化发展过程中最为重视的问题，在国家电网公司的积极倡导下，XXXX企业已经开始了信息系统安全评测实验室筹建工作，而XXXX企业的技术部门则成为建设信息系统安全评测实验室的主导单位。XXXX省电力科学研究院早在2007年，就已经开始了信息软件测试实验室建设，目前与软件测试工作有关的员工有10余人，其中有高级工程师4人、硕士3名，实验室人员的平均年龄为28岁。实验室于2008年通过了ISO9000体系认证；2009年8月顺利通过国家实验室认可委的实验室扩项外审。在全国电力系统内率先取得了CNAS资质。在取得CNAS资质后，XXXX电力实验研究院软件测试实验室所出具的测试报告就可以获得50多个国家和地区的认可；2009年12月通过XXXX省省直计量认证评审组的扩项评审，同样在全国电力系统内第一个取得了CMA计量认证资质。XXXX企业信息系统安全评测实验室将在已有的软件测试实验室的基础上建立，充分利用现有实验室资源，以实现业务上、技术上、规格上向更高的层次迈进。1.3建设意义在企业信息化的建设和发展过程中，信息化将贯穿整个过程，大量的信息系统建设将是必然的。如何保证越来越多的新上线信息系统的质量，如何在心信息系统上线前进行综合，快捷的检测，评估，是信息化发展过程中待解决的问题。通过建设一个专业的信息系统安全评测实验室，对即将上线的信息系统进行严格的测试，安全评估，加强对信息系统的质量把关，进而可以充分保证信息系统的可用性、可靠性，保证系统各种性能的达标。另外，在信息系统的运维过程中，系统会面临需求变化、数据结构变化、数据量变化、基础平台升级等复杂情况，这将带来很多隐藏的缺陷。系统运维平台所提供的异常报警、异常处理提示、故障追踪等技术手段，由于报警数量巨大，运维人员无法及时对系统整体运行状况做出客观评估。通过建设一个专业的信息系统安全评测实验室，使用专门的检测工具与检测手段，定期对各大集中系统的网络、防火墙、操作系统、数据库、中间件、应用等多个层面的健康状态进行检测和评估分析，及时发现系统运行中的缺陷及安全隐患，实现系统运行的可视、可控、可预测和可维护的目的。再者，企业生产、管理、营销等经营活动越来越依赖计算机信息系统，如果这些系统遭到破坏，造成数据损坏，信息泄露，不能提供服务等问题，则将对电网的安全运行、公司的生产管理以及经济效益造成不可估量的损失。信息化发展在带来便利和高效率的同时，也带来了新的安全风险和问题。通过建设一个专业的信息系统安全评测实验室，对信息系统进行安全性测试，主要内容包括服务器安全、网络安全、应用安全、数据安全以及安全信息措施检测，保证公司的信息系统安全稳定的运行。1.4建设目标XXXX企业信息系统安全评测实验室建设的初期目标是在现阶段，以现有软件测试实验室为基础，通过人员、场地、设备、测试工具、制度规范的建设和完善，顺利的完成从软件测试研究实验室到XXXX企业信息系统安全评测实验室的建设。信息系统安全评测实验室在开展常规的功能性软件