网络和信息安全测评　课件.ppt

第一测评实验室能力介绍 实验室 能力 质量管 理能力 规范性 保证能力 组织管 理能力 测评实 施能力 设施和设备能力 4.1 组织管理能力 ◆第一测评实验室拥有员工33人，技术人员25人，其中高级技术职称 人员8人，拥有博士学位的高层次技术人员8人。 ◆管理人员掌握国家等级保护政策文件，参与电力行业信息安全等级 保护政策及标准的制定工作。 组织架构 4.1 组织管理能力 一、质量手册 Q/EISE-QM9000-2009 质量手册 二、程序文件清单 编号 名称 Q/EISE-QP401-2009 文件控制程序 Q/EISE-QP402-2009 质量记录的控制程序 Q/EISE-QP501-2009 管理评审控制程序 Q/EISE-QP601-2009 人力资源控制程序 Q/EISE-QP701-2009 信息安全服务控制程序 Q/EISE-QP801-2009 内部审核控制程序 Q/EISE-QP802-2009 不合格品控制程序 Q/EISE-QP803-2009 改进控制程序 三、管理制度清单 编号 名称 RL001-2009 保密管理制度 RL002-2009 独立性、公正性和诚实性声明 RL003-2009 人员管理制度 RL004-2009 培训管理制度 RL005-2009 设备管理制度 RL006-2009 档案管理制度 XM001-2009 项目管理制度 规章制度 4.2 测评实施能力 技术负责人 总工程师连一峰现任信息安全共性技术国家工程研究中心常务副主任，公安部等级保护高级测评师评审专家，全面负责第一测评实验室在安全测评方面的技术工作。 测评人员能力 理解和掌握国家及电力行业信息安全政策、相关技术标准、熟悉等级测评方法、流程和工作规范等，具有依据测评结果做出专业判断以及出具等级测评报告的能力。 取得公安部等级测评师证书 11个（张春明、张海霞、李涵、吴秋新、李子龙、宋坤、马闽、李宁、高宏亮、刘韧、王柏林） 人员能力 4.2 测评实施能力 ◆ 安全技术测评实施能力 ◆ 安全管理测评实施能力 ◆ 安全测试与分析能力 ◆ 整体测评实施能力 ◆ 风险分析能力 测评能力 4.2 测评实施能力 测评工作流程 提供面向实际业务系统的模拟验证环境 模拟各种真实的攻击行为 验证业务系统的安全风险 演示安全防护效果 面向IT产品的测试业务区 开展产品的安全功能测试、性能测试及逆向测试 面向信息系统的测试业务区 主要开展信息系统的标准符合性测试、安全功能验证和整体安全性评估 面向测评环境的网络管理区 提供网络接入和信息服务 针对测评网络环境进行配置、监控与管理 面向IT产品的在线测试区 主要提供产品上线测试环境，为IT产品的性能测试、逆向分析等测试业务提供支持 面向信息系统的测试业务区 主要开展信息系统的渗透性测试、逆向分析和安全隐患深度挖掘 4.3 设施和设备能力 4.3 设施和设备能力 测评机房 4.3 设施和设备能力－工具平台 中科网威风险评估扫描工具 安氏领信漏洞扫描工具 NERCIS漏洞扫描系统 NERCIS风险评估系统 NERCIS等级保护功能检测工具 IXIA 400T网络测试仪 Metasploit渗透测试工具包 superscan, Appscan等扫描工具 Wireshark, SnifferPro协议分析工具 4.3 设施和设备能力－工具平台 面向2/3/4级信息系统的等级保护测评检查 4.3 设施和设备能力－工具平台 面向信息系统的信息安全风险评估 4.4 质量管理能力 质量保证 配置管理 项目风险管理 技术活动监控 项目技术活动规划 系统工程支持环境管理 知识技能持续发展 管理制度体系 调研时间安排 测评时间安排 测评工作任务安排 项目进度日报 任务跟踪 项目工作联系单 文档管理 文件编写要求 测评项目管理制度 变更控制单 子项目确认单 待办事宜工作表 项目问题反馈记录 项目遗留问题 验收报告 管理体系