信息系统全评测实验室--解决方案.doc

信息系统安全评测实验室 建设方案 2010年03月 目 录 第一章 概述 4 1.1 建设背景 4 1.2 建设现状 4 1.2.信息系统安全评测实验室建设现状： 4 1.2.2 XXXX企业信息系统安全评测实验室建设现状： 4 1.3 建设意义 5 1.4 建设目标 5 1.5 建设原则 6 1.5.1 科学性 6 1.5.2 规范性 6 1.5.3 先进性 6 1.5.4 效率性 7 1.5.5 实用性 7 第二章 信息系统安全评测实验室 8 2.1 检测业务范围 8 2.2 建设内容 8 2.2.1建设内容 8 第三章 评测实验室解决方案 10 3.1 信息系统安全评测实验室框架 10 3.2信息系统安全评测实验室建设方案 11 3.2.1 信息系统安全评测实验室网络部署图 11 3.2.2 安全性检测业务建设 12 3.2.3 功能性检测业务建设 14 3.2.4 性能检测业务建设 14 3.2.5 SG186业务应用运维测试业务建设 15 3.2.6 信息系统安全评测实验室扩展业务建设 15 3.3 信息系统安全评测实验室及人员建设 17 3.4 信息系统安全评测实验室场地建设 18 3.5 信息系统安全评测实验室制度建设 18 3.6 信息系统安全评测实验室流程建设 19 3.7 信息系统安全评测实验室解决方案的优势 22 3.7.1 检测模块的多样化/多层次 22 3.7.2 检测模块自动化/定制化 22 3.7.3 优异的兼容性与扩展性 22 3.8 领信安全沙盘系统检测模块介绍 23 3.8.1 “安全性”检测模块 23 3.8.2 “功能性”检测模块 24 3.8.3 “性能”检测模块 25 3.8.4 “评估性”检测模块 25 第四章 信息系统安全评测实验室实施方案 27 4.1 部署示意图 27 4.2 部署实施建议 27 4.2.1 信息系统安全评测实验室基本实施 28 4.2.2 评测工具区实施 28 4.2.3 评测工作区实施 28 4.2.4 评测接入区实施 28 4.2.5 采购设备清单 29 4.3 实施计划 30 4.3.1 项目实施说明 30 4.3.2 实施时间表 30 附录 参考标准 31  第一章 概述 1.1 建设背景 随着企业各种大型信息化工程的建设竣工，大部分的大集中信息系统在陆续进入运维阶段。在运维过程中，系统存在隐藏的缺陷或导致一些隐藏的缺陷积累。由于报警数量巨大，运维人员无法及时对系统整体运行状况做出客观评估。而一个专业的信息系统安全评测实验室，通过配备专门的检测工具、检测手段及检测方法，定期对各大集中系统的网络、防火墙、操作系统、数据库、中间件、应用等多个层面的健康状态进行监控和分析，可及时发现系统运行中的缺陷及安全隐患，实现系统运行的可视、可控、可预测和可维护的目的。 1.2 建设现状 1.2.信息系统安全评测实验室建设现状： 信息系统安全评测实验室建设还处于初期阶段，随着企业对信息系统上线前的安全评测的不断重视，大型企业将会越来越重视信息系统安全评测实验室。 1.2.2 XXXX企业信息系统安全评测实验室建设现状： 随着信息安全成为当今电力企业信息化发展过程中最为重视的问题，在国家电网公司的积极倡导下，XXXX企业已经开始了信息系统安全评测实验室筹建工作，而XXXX企业的技术部门则成为建设信息系统安全评测实验室的主导单位。 XXXX省电力科学研究院早在2007年，就已经开始了信息软件测试实验室建设，目前与软件测试工作有关的员工有10余人，其中有高级工程师4人、硕士3名，实验室人员的平均年龄为28岁。实验室于2008年通过了ISO9000体系认证；2009年8月顺利通过国家实验室认可委的实验室扩项外审。在全国电力系统内率先取得了CNAS资质。在取得CNAS资质后，XXXX电力实验研究院软件测试实验室所出具的测试报告就可以获得50多个国家和地区的认可；2009年12月通过XXXX省省直计量认证评审组的扩项评审，同样在全国电力系统内第一个取得了CMA计量认证资质。 XXXX企业信息系统安全评测实验室将在已有的软件测试实验室的基础上建立，充分利用现有实验室资源，以实现业务上、技术上、规格上向更高的层次迈进。 1.3 建设意义 在企业信息化的建设和发展过程中，信息化将贯穿整个过程，大量的信息系统建设将是必然的。如何保证越来越多的新上线信息系统的质量，如何在心信息系统上线前进行综合，快捷的检测，评估，是信息化发展过程中待解决的问题。通过建设一个专业的信息系统安全评测实验室，对即将上线的信息系统进行严格的测试，安全评估，加强对信息系统的质量把关，进而可以充分保证信息系统的可用性、可靠性，保证系统各种性能的达标。 另外，在信息系统的运维过程中，系统会面临需求变化、数据结