安全及应急系统测试项目技术方案张光.pdfVIP

安全与应急系统测试项目技术方案 2015 年10 月28 日 目 录 目 录I 第 1 章 项目背景1 1.1 项目需求1 1.2 工作内容1 第 2 章 项目实施方法2 2.1 参考标准2 2.2 项目原则2 第 3 章 安全与应急系统安全测评内容3 3.1 源代码安全检测测评内容3 3.1.1 输入验证和表示3 3.1.2 API 误用 3 3.1.3 安全特征4 3.1.4 时间和状态错误4 3.1.5 错误处理4 3.1.6 代码质量5 3.1.7 封装5 3.1.8 环境6 3.1.9 后门6 3.2 应用软件安全测试7 3.3 系统等级保护测评8 3.3.1 单元测评8 3.3.2 整体测评 18 3.3.3 评估方法和步骤 19 3.4 测评方式20 3.5 测评工具20 第 4 章 组织机构和人员安排22 4.1 项目组织结构22 4.2 项目经理22 4.3 职责和分工 22 第 5 章 项目时间安排24 5.1 安全测评时间安排24 第 6 章 项目交付物清单25 第 7 章 偏差表26 第 8 章 项目经理简历表27 - I - 第 9 章 主要服务人员表28 第 10 章 拟投入技术骨干概况表29 第 11 章 拟投入主要技术装备表30 - II - Microsoft 安全与应急系统测试项目技术方案 第1 章 项目背景 1.1 项目需求 为保障国网智能电网研究院安全与应急系统的安全性，我单位愿意承担安全与 应急系统测试项目安全测评项目，该项目将依据相关国家相关信息安全标准对安全 与应急系统测试项目进行安全性评估，该项目通过系统源代码测试、应用软件安全 测试、系统等级保护测评三部分的测评对系统安全性进行测评，并出具测评报告， 并对发现的问题提出整改意见。 1.2 工作内容 安全与应急系统安全测评包括系统源代码测试、应用软件安全测试和系统等级 保护测评，工作内容如下：  系统源代码测试：采用整体分析与模块分析相结合，人工分析和工具分析 相互补充的方法对源代码安全性进行全面测试，查找源代码中存在的安全 缺陷，并对这些安全缺陷进行深入分析和确认，综合评估其可能造成的安 全风险，最终提出安全缺陷修复建议，并出具测试报告。  应用软件安全测试：包括软件安全性测试和网站漏洞测试。  系统等级保护测评：包括安全技术测评和安全管理测评。 第1 页 /共 25 页 Microsoft 安全与应急系统测试项目技术方案 第2 章 项目实施方法 2.1 参考标准  公通字[2004]66 号《信息安全等级保护工作的实施意见》  公通字[2007]43 号《信息安全等级保护管理办法》  GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求  GB/T22240-2008 信息安全技术 信息系统安全等级保护定级指南  GB/T 18336 信息技