信息系统安全评测实验室解决方案完整篇doc.docx
- 文档编号:17702606
- 上传时间:2023-08-03
- 格式:DOCX
- 页数:9
- 大小:19.57KB
信息系统安全评测实验室解决方案完整篇doc.docx
《信息系统安全评测实验室解决方案完整篇doc.docx》由会员分享,可在线阅读,更多相关《信息系统安全评测实验室解决方案完整篇doc.docx(9页珍藏版)》请在冰点文库上搜索。
信息系统安全评测实验室解决方案完整篇doc
信息系统安全评测实验室--解决方案1
信息系统安全评测实验室
建设方案
2010年03月
第一章概述(4)
1.1建设背景(4)
1.2建设现状(4)
1.2.信息系统安全评测实验室建设现状:
(4)
1.2.2XXXX企业信息系统安全评测实验室建设现状:
(4)
1.3建设意义(5)
1.4建设目标(5)
1.5建设原则(6)
1.5.1科学性(6)
1.5.2规范性(6)
1.5.3先进性(6)
1.5.4效率性(7)
1.5.5实用性(7)
第二章信息系统安全评测实验室(8)
2.1检测业务范围(8)
2.2建设内容(8)
2.2.1建设内容(9)
第三章评测实验室解决方案(10)
3.1信息系统安全评测实验室框架(10)
3.2信息系统安全评测实验室建设方案(11)
3.2.1信息系统安全评测实验室网络部署图(12)
3.2.2安全性检测业务建设(12)
3.2.3功能性检测业务建设(14)
3.2.4性能检测业务建设(14)
3.2.5SG186业务应用运维测试业务建设(15)
3.2.6信息系统安全评测实验室扩展业务建设(15)
3.3信息系统安全评测实验室及人员建设(17)
3.4信息系统安全评测实验室场地建设(18)
3.5信息系统安全评测实验室制度建设(18)
3.6信息系统安全评测实验室流程建设(19)
3.7信息系统安全评测实验室解决方案的优势(22)
3.7.1检测模块的多样化/多层次(22)
3.7.2检测模块自动化/定制化(22)
3.7.3优异的兼容性与扩展性(22)
3.8领信安全沙盘系统检测模块介绍(23)
3.8.1“安全性”检测模块(23)
3.8.2“功能性”检测模块(25)
3.8.3“性能”检测模块(25)
3.8.4“评估性”检测模块(25)
第四章信息系统安全评测实验室实施方案(27)
4.1部署示意图(27)
4.2部署实施建议(27)
4.2.1信息系统安全评测实验室基本实施(28)
4.2.2评测工具区实施(28)
4.2.3评测工作区实施(28)
4.2.4评测接入区实施(28)
4.2.5采购设备清单(29)
4.3实施计划(30)
4.3.1项目实施说明(30)
4.3.2实施时间表(30)
附录参考标准(31)
第一章概述
1.1建设背景
随着企业各种大型信息化工程的建设竣工,大部分的大集中信息系统在陆续进入运维阶段。
在运维过程中,系统存在隐藏的缺陷或导致一些隐藏的缺陷积累。
由于报警数量巨大,运维人员无法及时对系统整体运行状况做出客观评估。
而一个专业的信息系统安全评测实验室,通过配备专门的检测工具、检测手段及检测方法,定期对各大集中系统的网络、防火墙、操作系统、数据库、中间件、应用等多个层面的健康状态进行监控和分析,可及时发现系统运行中的缺陷及安全隐患,实现系统运行的可视、可控、可预测和可维护的目的。
1.2建设现状
1.2.信息系统安全评测实验室建设现状:
信息系统安全评测实验室建设还处于初期阶段,随着企业对信息系统上线前的安全评测的不断重视,大型企业将会越来越重视信息系统安全评测实验室。
1.2.2XXXX企业信息系统安全评测实验室建设现状:
随着信息安全成为当今电力企业信息化发展过程中最为重视的问题,在国家电网公司的积极倡导下,XXXX企业已经开始了信息系统安全评测实验室筹建工作,而XXXX企业的技术部门则成为建设信息系统安全评测实验室的主导单位。
XXXX省电力科学研究院早在2007年,就已经开始了信息软件测试实验室建设,目前与软件测试工作有关的员工有10余人,其中有高级工程师4人、硕士3名,实验室人员的平均年龄为28岁。
实验室于2008年通过了ISO9000体系认证;2009年8月顺利通过国家实验室认可委的实验室扩项外审。
在全国电力系统内率先取得了CNAS资质。
在取得CNAS资质后,XXXX电力实验研究院软件测试实验室所出具的测试报告就可以获得50多个国家和地区的认可;2009年12月通过XXXX省省直计量认证评审组的扩项评审,同样在全国电力系统内第一个取得了CMA计量认证资质。
XXXX企业信息系统安全评测实验室将在已有的软件测试实验室的基础上建立,充分利用现有实验室资源,以实现业务上、技术上、规格上向更高的层次迈进。
1.3建设意义
在企业信息化的建设和发展过程中,信息化将贯穿整个过程,大量的信息系统建设将是必然的。
如何保证越来越多的新上线信息系统的质量,如何在心信息系统上线前进行综合,快捷的检测,评估,是信息化发展过程中待解决的问题。
通过建设一个专业的信息系统安全评测实验室,对即将上线的信息系统进行严格的测试,安全评估,加强对信息系统的质量把关,进而可以充分保证信息系统的可用性、可靠性,保证系统各种性能的达标。
另外,在信息系统的运维过程中,系统会面临需求变化、数据结构变化、数据量变化、基础平台升级等复杂情况,这将带来很多隐藏的缺陷。
系统运维平台所提供的异常报警、异常处理提示、故障追踪等技术手段,由于报警数量巨大,运维人员无法及时对系统整体运行状况做出客观评估。
通过建设一个专业的信息系统安全评测实验室,使用专门的检测工具与检测手段,定期对各大集中系统的网络、防火墙、操作系统、数据库、中间件、应用等多个层面的健康状态进行检测和评估分析,及时发现系统运行中的缺陷及安全隐患,实现系统运行的可视、可控、可预测和可维护的目的。
再者,企业生产、管理、营销等经营活动越来越依赖计算机信息系统,如果这些系统遭到破坏,造成数据损坏,信息泄露,不能提供服务等问题,则将对电网的安全运行、公司的生产管理以及经济效益造成不可估量的损失。
信息化发展在带来便利和高效率的同时,也带来了新的安全风险和问题。
通过建设一个专业的信息系统安全评测实验室,对信息系统进行安全性测试,主要内容包括服务器安全、网络安全、应用安全、数据安全以及安全信息措施检测,保证公司的信息系统安全稳定的运行。
1.4建设目标
XXXX企业信息系统安全评测实验室建设的初期目标是在现阶段,以现有软件测试实验室为基础,通过人员、场地、设备、测试工具、制度规范的建设和完善,顺利的完成从软件测试研究实验室到XXXX企业信息系统安全评测实验室的建设。
信息系统安全评测实验室在开展常规的功能性软件测试工作的同时,还可以开展软件的性能测试、易用性测试、可靠性测试、维护性测试、可移植性测试和安全性测试等等,同时根据信息系统安全评测实验室的特点,还可以进行各种信息安全技术的培训,演练,进一步的满足信息化建设工作的需要。
信息系统安全评测实验室--解决方案1第2页
信息系统安全评测实验室建设的中长期目标是开展全方面的、高技术、高层次的信息系统检测工作,能够满足XXXX企业的信息系统测试需要。
1.5建设原则
1.5.1科学性
建设信息系统安全评测实验室是为了给信息化建设提供安全可靠的质量保证,而实现质量保证的前提则是检测工作的科学性。
只有实现了检测工作中测试技术、测试方法、测试过程等各领域工作的科学性、合理性,才能保证检测结果的科学性、合理性,才能为信息系统的开发、运行提供真实、有效的帮助。
1.5.2规范性
信息系统安全评测实验室的人员配置、场地建设、软硬件设备工具的配备、信息系统检测标准制度的编制完善、人员的培训、资质的获取、管理体系及作业指导书的建立完善是一项复杂、细致的工作。
一个良好的、规范的过程管理是实现信息系统安全评测实验室建设目标的一个必要前提。
只有实现规范化、标准化的管理,才能保证信息信息系统安全评测实验室的建设工作顺利开展。
同样,信息系统的检测过程也是一项需要规范化、标准化的工作流程。
ISO9000、CMMI(软件能力成熟度模型)都是目前软件领域内通用的管理标准,对于软件工程中的开发过程、测试过程的控制与管理都有严格的定义。
GB/T16260-2006软件工程产品质量、GB/T17544-1998信息技术软件包质量要求和测试、GB/T15532-2008计算机软件测试规范等是目前国内发布的,与国际通行的计算机软件测试标准相衔接的,计算机软件生存周期内各类软件产品的基本测试方法、过程和准则。
信息系统安全评测实验室将借鉴这些先进的管理标准、技术标准以及“运维期测试”科研项目的研究成果,建立一套规范化、标准化、适合我们自己的信息系统检测管理体系,将检测工作中的样品接收、测试准备、测试设计、测试实施、结果分析、测试总结等全过程纳入到管理体系中,使得信息系统安全评测实验室自身也有一个良好质量保证。
1.5.3先进性
当今信息技术发展迅速,新技术、新产品层出不穷,要对各种信息系统都能进行检测,信息系统安全评测实验室建设时要将技术的先进性放在重要位置。
技术的先进性首先体现在设备的先进性上。
设备的先进是整个信息系统安全评测实验室先进的基础。
采用当今最先进的设备,选择最前沿的技术,才能有力地保障信息系统安全评测实验室高质量、高标准地完成各项工作。
技术的先进性更加体现在人员的高素质上。
人员的高素质是整个信息系统安全评测实验室先进的根本。
设备的先进性是信息系统安全评测实验室先进的基础,但再先进的设备得不到合理地利用也只能成为摆设。
信息系统安全评测实验室建设需要一批高素质专业化的信息检测人才,这也是信息系统安全评测实验室建设的基础。
1.5.4效率性
建设信息系统安全评测实验室,需要建设场地,购买大量的硬件、软件设备。
建设时要遵循节约性原则,争取做到少花钱多办事。
要根据信息系统安全评测实验室近期的业务范围,根据实际工作需要,要综合分析采购产品的“必要性”,追求设备最合理的配置和尽可能高的性价比。
此外,由于信息化建设的规模越来越大,需要检测的信息系统项目也越来越多,因此信息系统安全评测实验室建设要讲就效率,合理规划业务工作流程,提高人员工作效率和资源利用效率。
1.5.5实用性
实用性是信息系统安全评测实验室的基本特征,更是内在要求。
建设信息系统安全评测实验室,首要是为了对公司自行开发实施的信息系统进行测试把关。
建设要遵循实用性原则,要在学术性和实用性之间找到一个平衡点。
要根据公司的实际需要确定信息系统安全评测实验室的主要业务,推动公司信息化工作健康有序地发展。
第二章信息系统安全评测实验室
信息系统安全评测实验室主要为提供对XXXX企业内部新上线各种信息系统的检测,通过在信息系统安全评测实验室内对信息系统的各种评测,特别是信息安全评估,检测,确保信息系统在上线后,能够很好的运行,为企业提供更好的服务。
2.1检测业务范围
1、信息系统安全性检测
为企业范围内新上线或者准备上线的信息系统提供安全性检测的技术服务,信息系统的安全性测试内容较多,需要很多特定检测工具软件,安全性检测是信息系统上线前最为重要的检测内容,确保信息系统本身的安全性,是信息系统能够真正上线的前提;
2、信息系统性能检测:
为企业范围内新上线或准备上线的信息系统提供信息系统的性能测试、易用性测试、可靠性测试等相关技术服务。
通过对信息系统的各种性能进行检测,确保新上线的信息系统能够满足当前各种业务需求,特别是各种极端的性能检测,提升信息系统的适用性,避免因信息系统性能的不满足,而不断的更新。
3、信息系统功能性检测:
为企业范围内新上线或准备上线的信息系统提供信息系统的功能性测试、维护性测试、可移植性测试等相关技术服务。
在信息系统上线前提前对信息系统的业务功能,维护管理,可移植进行检测,提供信息系统的上线质量。
2.2建设内容
XXXX企业信息系统安全评测实验室建设目前主要工作是以软件测试实验室为基础,通过人员配置、场地建设、测试软硬件设备的配备、信息系统检测标准制度的编制完善、人员的培训和
资质的获取等工作,完成从早期的软件测试实验室到XXXX企业信息系统安全评测实验室的建设。
2.2.1建设内容
1、信息系统安全评测实验室的场地建设;
2、信息系统安全评测实验室的硬件设备选型、采购;
3、信息系统安全评测实验室测试工具软件及监控分析软件选型、采购;
4、信息系统安全评测实验室的人员配备、培训及资质获取;
5、信息系统安全评测实验室管理制度、工作流程建立;
6、信息系统安全评测实验室各种工作开展:
提供对省电力系统内的信息系统上线前的评
测,主要的评测内容是对信息系统的安全性,功能性与性能进行评测。
第三章评测实验室解决方案
信息系统安全评测实验室建设是通过在早期已有的软件测试实验室的基础上进行,通过增加各种安全设备,检测设备,以及相应的硬件设备,软件检测模块,实现信息系统安全评测实验室的初期检测,能够让信息系统安全评测实验室的各种业务,并通过后期的不断完善,扩建,最终完成XXXX企业的信息系统安全评测实验室建设,实现信息系统安全评测实验室所有的建设内容,以及长远规划。
安氏领信科技发展有限公司(简称:
安氏领信)作为有着雄厚研发实力的资深安全产品提供商,从1998年开始便组建专门的团队进行着网络信息安全技术的探索与研究,综合多年来在信息安全技术研究领域的成果,在信息系统安全评测实验室的建设方面,推出了安氏领信安全沙盘系统LinkTrustSecuritySandBox产品,用于改善,加强现有信息系统安全评测实验室的建设;
安氏领信安全沙盘系统(简称:
沙盘系统)主要用于信息系统安全评测实验室建设,提供信息系统安全评测实验室建设中需要的各种虚拟化功能组件,特别是针对信息系统安全评测实验室中进行各种评测时需要使用的软件测试类工具,安全评测类工具以及各种工具的运行环境;为信息系统安全评测实验室进行各种信息系统的测评提供所需要的环境组件;
3.1信息系统安全评测实验室框架
信息系统安全评测实验室的整体框架供分为四个部分,其中检测区是实验室的核心部分,可以提供针对信息系统进行检测的各种检测软件工具,安全工具,并以模块化的方式存在,方便实验室快速,便捷的进行各种信息系统的检测;
检测区中的所有检测模块都是由安氏领信安全沙盘系统提供,安氏领信安全沙盘系统可以根据设定的检查模块,自动虚拟搭建各种检测需要的环境,在此环境中提供相应的测评使用的软件测试类工具,安全测评类工具,以及工具需要运行的系统环境;
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全 评测 实验室 解决方案 完整 doc