信息系统安全评测解决方案.docx
《信息系统安全评测解决方案.docx》由会员分享,可在线阅读,更多相关《信息系统安全评测解决方案.docx(31页珍藏版)》请在冰点文库上搜索。
信息系统安全评测解决方案
信息系统平安评测实验室
建设方案
2021年03月
第一章概述
1.1建设背景
随着企业各种大型信息化工程的建设竣工,大局部的大集中信息系统在陆续进入运维阶段。
在运维过程中,系统存在隐藏的缺陷或导致一些隐藏的缺陷积累。
由于报警数量巨大,运维人员无法及时对系统整体运行状况做出客观评估。
而一个专业的信息系统平安评测实验室,通过配备专门的检测工具、检测手段及检测方法,定期对各大集中系统的网络、防火墙、操作系统、数据库、中间件、应用等多个层面的健康状态进行监控和分析,可及时发现系统运行中的缺陷及平安隐患,实现系统运行的可视、可控、可预测和可维护的目的。
1.2建设现状
1.2.信息系统平安评测实验室建设现状:
信息系统平安评测实验室建设还处于初期阶段,随着企业对信息系统上线前的平安评测的不断重视,大型企业将会越来越重视信息系统平安评测实验室。
XXXX企业信息系统平安评测实验室建设现状:
随着信息平安成为当今电力企业信息化开展过程中最为重视的问题,在国家电网公司的积极倡导下,XXXX企业已经开始了信息系统平安评测实验室筹建工作,而XXXX企业的技术部门那么成为建设信息系统平安评测实验室的主导单位。
XXXX省电力科学研究院早在2007年,就已经开始了信息软件测试实验室建设,目前与软件测试工作有关的员工有10余人,其中有高级工程师4人、硕士3名,实验室人员的平均年龄为28岁。
实验室于2021年通过了ISO9000体系认证;2021年8月顺利通过国家实验室认可委的实验室扩项外审。
在全国电力系统内率先取得了CNAS资质。
在取得CNAS资质后,XXXX电力实验研究院软件测试实验室所出具的测试报告就可以获得50多个国家和地区的认可;2021年12月通过XXXX省省直计量认证评审组的扩项评审,同样在全国电力系统内第一个取得了CMA计量认证资质。
XXXX企业信息系统平安评测实验室将在已有的软件测试实验室的根底上建立,充分利用现有实验室资源,以实现业务上、技术上、规格上向更高的层次迈进。
1.3建设意义
在企业信息化的建设和开展过程中,信息化将贯穿整个过程,大量的信息系统建设将是必然的。
如何保证越来越多的新上线信息系统的质量,如何在心信息系统上线前进行综合,快捷的检测,评估,是信息化开展过程中待解决的问题。
通过建设一个专业的信息系统平安评测实验室,对即将上线的信息系统进行严格的测试,平安评估,加强对信息系统的质量把关,进而可以充分保证信息系统的可用性、可靠性,保证系统各种性能的达标。
另外,在信息系统的运维过程中,系统会面临需求变化、数据结构变化、数据量变化、根底平台升级等复杂情况,这将带来很多隐藏的缺陷。
系统运维平台所提供的异常报警、异常处理提示、故障追踪等技术手段,由于报警数量巨大,运维人员无法及时对系统整体运行状况做出客观评估。
通过建设一个专业的信息系统平安评测实验室,使用专门的检测工具与检测手段,定期对各大集中系统的网络、防火墙、操作系统、数据库、中间件、应用等多个层面的健康状态进行检测和评估分析,及时发现系统运行中的缺陷及平安隐患,实现系统运行的可视、可控、可预测和可维护的目的。
再者,企业生产、管理、营销等经营活动越来越依赖计算机信息系统,如果这些系统遭到破坏,造成数据损坏,信息泄露,不能提供效劳等问题,那么将对电网的平安运行、公司的生产管理以及经济效益造成不可估量的损失。
信息化开展在带来便利和高效率的同时,也带来了新的平安风险和问题。
通过建设一个专业的信息系统平安评测实验室,对信息系统进行平安性测试,主要内容包括效劳器平安、网络平安、应用平安、数据平安以及平安信息措施检测,保证公司的信息系统平安稳定的运行。
1.4建设目标
XXXX企业信息系统平安评测实验室建设的初期目标是在现阶段,以现有软件测试实验室为根底,通过人员、场地、设备、测试工具、制度标准的建设和完善,顺利的完成从软件测试研究实验室到XXXX企业信息系统平安评测实验室的建设。
信息系统平安评测实验室在开展常规的功能性软件测试工作的同时,还可以开展软件的性能测试、易用性测试、可靠性测试、维护性测试、可移植性测试和平安性测试等等,同时根据信息系统平安评测实验室的特点,还可以进行各种信息平安技术的培训,演练,进一步的满足信息化建设工作的需要。
信息系统平安评测实验室建设的中长期目标是开展全方面的、高技术、高层次的信息系统检测工作,能够满足XXXX企业的信息系统测试需要。
1.5建设原那么
1.5.1科学性
建设信息系统平安评测实验室是为了给信息化建设提供平安可靠的质量保证,而实现质量保证的前提那么是检测工作的科学性。
只有实现了检测工作中测试技术、测试方法、测试过程等各领域工作的科学性、合理性,才能保证检测结果的科学性、合理性,才能为信息系统的开发、运行提供真实、有效的帮助。
1.5.2标准性
信息系统平安评测实验室的人员配置、场地建设、软硬件设备工具的配备、信息系统检测标准制度的编制完善、人员的培训、资质的获取、管理体系及作业指导书的建立完善是一项复杂、细致的工作。
一个良好的、标准的过程管理是实现信息系统平安评测实验室建设目标的一个必要前提。
只有实现标准化、标准化的管理,才能保证信息信息系统平安评测实验室的建设工作顺利开展。
同样,信息系统的检测过程也是一项需要标准化、标准化的工作流程。
ISO9000、CMMI〔软件能力成熟度模型〕都是目前软件领域内通用的管理标准,对于软件工程中的开发过程、测试过程的控制与管理都有严格的定义。
GB/T16260-2006软件工程产品质量、GB/T17544-1998信息技术软件包质量要求和测试、GB/T15532-2021计算机软件测试标准等是目前国内发布的,与国际通行的计算机软件测试标准相衔接的,计算机软件生存周期内各类软件产品的根本测试方法、过程和准那么。
信息系统平安评测实验室将借鉴这些先进的管理标准、技术标准以及“运维期测试〞科研工程的研究成果,建立一套标准化、标准化、适合我们自己的信息系统检测管理体系,将检测工作中的样品接收、测试准备、测试设计、测试实施、结果分析、测试总结等全过程纳入到管理体系中,使得信息系统平安评测实验室自身也有一个良好质量保证。
1.5.3先进性
当今信息技术开展迅速,新技术、新产品层出不穷,要对各种信息系统都能进行检测,信息系统平安评测实验室建设时要将技术的先进性放在重要位置。
技术的先进性首先表达在设备的先进性上。
设备的先进是整个信息系统平安评测实验室先进的根底。
采用当今最先进的设备,选择最前沿的技术,才能有力地保障信息系统平安评测实验室高质量、高标准地完成各项工作。
技术的先进性更加表达在人员的高素质上。
人员的高素质是整个信息系统平安评测实验室先进的根本。
设备的先进性是信息系统平安评测实验室先进的根底,但再先进的设备得不到合理地利用也只能成为摆设。
信息系统平安评测实验室建设需要一批高素质专业化的信息检测人才,这也是信息系统平安评测实验室建设的根底。
1.5.4效率性
建设信息系统平安评测实验室,需要建设场地,购置大量的硬件、软件设备。
建设时要遵循节约性原那么,争取做到少花钱多办事。
要根据信息系统平安评测实验室近期的业务范围,根据实际工作需要,要综合分析采购产品的“必要性〞,追求设备最合理的配置和尽可能高的性价比。
此外,由于信息化建设的规模越来越大,需要检测的信息系统工程也越来越多,因此信息系统平安评测实验室建设要讲就效率,合理规划业务工作流程,提高人员工作效率和资源利用效率。
1.5.5实用性
实用性是信息系统平安评测实验室的根本特征,更是内在要求。
建设信息系统平安评测实验室,首要是为了对公司自行开发实施的信息系统进行测试把关。
建设要遵循实用性原那么,要在学术性和实用性之间找到一个平衡点。
要根据公司的实际需要确定信息系统平安评测实验室的主要业务,推动公司信息化工作健康有序地开展。
第二章信息系统平安评测实验室
信息系统平安评测实验室主要为提供对XXXX企业内部新上线各种信息系统的检测,通过在信息系统平安评测实验室内对信息系统的各种评测,特别是信息平安评估,检测,确保信息系统在上线后,能够很好的运行,为企业提供更好的效劳。
2.1检测业务范围
1、信息系统平安性检测
为企业范围内新上线或者准备上线的信息系统提供平安性检测的技术效劳,信息系统的平安性测试内容较多,需要很多特定检测工具软件,平安性检测是信息系统上线前最为重要的检测内容,确保信息系统本身的平安性,是信息系统能够真正上线的前提;
2、信息系统性能检测:
为企业范围内新上线或准备上线的信息系统提供信息系统的性能测试、易用性测试、可靠性测试等相关技术效劳。
通过对信息系统的各种性能进行检测,确保新上线的信息系统能够满足当前各种业务需求,特别是各种极端的性能检测,提升信息系统的适用性,防止因信息系统性能的不满足,而不断的更新。
3、信息系统功能性检测:
为企业范围内新上线或准备上线的信息系统提供信息系统的功能性测试、维护性测试、可移植性测试等相关技术效劳。
在信息系统上线前提前对信息系统的业务功能,维护管理,可移植进行检测,提供信息系统的上线质量。
2.2建设内容
XXXX企业信息系统平安评测实验室建设目前主要工作是以软件测试实验室为根底,通过人员配置、场地建设、测试软硬件设备的配备、信息系统检测标准制度的编制完善、人员的培训和资质的获取等工作,完成从早期的软件测试实验室到XXXX企业信息系统平安评测实验室的建设。
1、信息系统平安评测实验室的场地建设;
2、信息系统平安评测实验室的硬件设备选型、采购;
3、信息系统平安评测实验室测试工具软件及监控分析软件选型、采购;
4、信息系统平安评测实验室的人员配备、培训及资质获取;
5、信息系统平安评测实验室管理制度、工作流程建立;
6、信息系统平安评测实验室各种工作开展:
提供对省电力系统内的信息系统上线前的评测,主要的评测内容是对信息系统的平安性,功能性与性能进行评测。
第三章评测实验室解决方案
信息系统平安评测实验室建设是通过在早期已有的软件测试实验室的根底上进行,通过增加各种平安设备,检测设备,以及相应的硬件设备,软件检测模块,实现信息系统平安评测实验室的初期检测,能够让信息系统平安评测实验室的各种业务,并通过后期的不断完善,扩建,最终完成XXXX企业的信息系统平安评测实验室建设,实现信息系统平安评测实验室所有的建设内容,以及长远规划。
安氏领信科技开展〔简称:
安氏领信〕作为有着雄厚研发实力的资深平安产品提供商,从1998年开始便组建专门的团队进行着网络信息平安技术的探索与研究,综合多年来在信息平安技术研究领域的成果,在信息系统平安评测实验室的建设方面,推出了安氏领信平安沙盘系统LinkTrustSecuritySandBox产品,用于改善,加强现有信息系统平安评测实验室的建设;
安氏领信平安沙盘系统〔简称:
沙盘系统〕主要用于信息系统平安评测实验室建设,提供信息系统平安评测实验室建设中需要的各种虚拟化功能组件,特别是针对信息系统平安评测实验室中进行各种评测时需要使用的软件测试类工具,平安评测类工具以及各种工具的运行环境;为信息系统平安评测实验室进行各种信息系统的测评提供所需要的环境组件;
3.1信息系统平安评测实验室框架
信息系统平安评测实验室的整体框架供分为四个局部,其中检测区是实验室的核心局部,可以提供针对信息系统进行检测的各种检测软件工具,平安工具,并以模块化的方式存在,方便实验室快速,便捷的进行各种信息系统的检测;
检测区中的所有检测模块都是由安氏领信平安沙盘系统提供,安氏领信平安沙盘系统可以根据设定的检查模块,自动虚拟搭建各种检测需要的环境,在此环境中提供相应的测评使用的软件测试类工具,平安测评类工具,以及工具需要运行的系统环境;
安氏领信公司还可以根据信息系统平安评测实验室的需求,定制开发各种检测模块,按照用户实验室的需要,定制开发检测模块,并且可以提供多样化,灵活性的检测模块;方便信息系统平安评测实验室对各种上线信息系统进行评测;
安氏信息系统平安评测实验室框架如下列图所示:
信息系统平安评测实验室框架图
信息系统平安评测实验室建设方案
信息系统平安评测实验室建设分为一期和二期两个建设阶段,其中一期的主要业务是提供对新上线信息系统的平安性,信息系统的性能和信息系统的功能进行检测;二期主要对对信息系统平安评测实验室业务的扩展,信息系统平安评测实验室建设主要分为以下几个方面:
✧平安性检测业务建设
✧功能性检测业务建设
✧性能检测业务建设
3.2.1信息系统平安评测实验室网络部署图
信息系统平安评测实验室拓扑图
3.2.2平安性检测业务建设
在信息系统平安评测实验室建设中,对信息系统的平安性检测业务的建设需要考虑的平安性检测的特殊性,以及便捷性,在信息系统平安评测实验室内,能够提供各种平安性检测机制,检测工具模块,能够提供快速,便捷的启动各种检测工具模块对“被检测的信息系统〞进行平安性检测,并且随着信息系统平安性检测业务的扩展能够不断提供对各个平安性检测工具模块进行扩展,更新;
通过在信息系统平安评测实验室内,对信息系统的初期平安性检测业务主要内容如下:
1、信息系统主机平安性检测:
领信平安沙盘系统将提供快速的虚拟评测需要的“检测模块&检测工具〞,可以提供针对信息系统的主机平安性检测需要的各种操作系统环境,主机平安性检测需要的软件工具,无需检测工程师手动安装,寻找检测工具;能够提供针对主机平安性检测需要的所有常见工具软件,以及工具软件运行的环境。
2、针对信息系统渗透性的平安性检测
领信平安沙盘系统可以提供虚拟化“渗透检测模块&检测工具〞,提供对上线信息系统的渗透性测试是在允许和可控的范围内,采取可控的,不造成不可弥补损失的黑客入侵手法,对信息系统发起真正攻击。
目的是检测是否可以侵入信息系统并获取机密信息,进而完善信息系统的平安性检测。
通过直观的结果来反映出新上线的信息系统存在的最脆弱点。
渗透检测模块能够快速提供需要的各种渗透方式使用的操作系统环境,以及渗透工具,便于检测工程师能够快速队信息系统进行各种渗透的平安性检测。
3、针对信息系统漏扫的平安性检测
在信息系统平安评测实验室中,部署了领信网络扫描器产品,使用领信网络扫描器Scanner对新上线信息系统进行全面的漏洞扫面检测,并提供全面的漏洞扫描检测报告,确保新上线的信息系统不存在漏洞性的平安隐患;
.3功能性检测业务建设
在信息系统平安评测实验室建设中,需要对新上线的信息系统进行严格的功能测试,确保新信息系统的完全满足业务需要,并且在功能指标上符合设计要求;
对信息系统进行功能性检测时,需要信息系统平安评测实验室能够快速提供信息系统需要的各种功能测试环境,测试信息系统在各种业务环境中功能使用情况,根据信息系统的测试标准,严格测试信息系统的各个功能模块;
功能性测试的重点是快速准备各种需要的测试环境,要求实验室中的测试环境模块能够根据测试标准的要求,提供需要的测试环境,包含功能测试用的操作系统,功能性测试用工具软件
.4性能检测业务建设
在信息系统平安评测实验室建设中,需要对新上线的信息系统进行性能指标检测的业务建设,能够对上线信息系统进行标准化的性能检测,评定;
性能检测模块可以提供针对上线信息系统的各种性能指标的检测,提供各种性能测试工具,以及自动化测试环境,根据信息系统设定的各种性能指标进行检测。
3.2.5SG186业务应用运维测试业务建设
在信息系统平安评测实验室建设中,可以对SG186业务应用运维进行模拟测试,为SG186业务的正常维护,管理提供参考;
测试模块针对SG186业务的测试需要提供各种模拟的测试工具,测试环境,能够对SG186业务提供全面的测试,评估;
.6信息系统平安评测实验室扩展业务建设
在信息系统平安评测实验室建设中,在满足初期建设业务的需求后,还需要信息系统平安评测实验室能够开展信息系统平安性测试的深入研究,逐步掌握针对网络、防火墙、Web应用系统、数据库、中间件、操作系统等多个应用层面的平安性评测技术。
1、网络架构的平安性评测
发现网络结构存在的平安性、网络负载问题,网络设备存在的平安性,抗攻击的问题。
检查网络管理员是否有清晰的网络拓扑图,网络管理员是否熟悉网络设备的部署情况,分析网络拓扑图与实际的网络结构的是否存在差异情况,检查网络拓扑变更的控制程序,网络拓扑图的维护管理情况等。
检查网络根据业务和平安需求的分段情况,是否采用了防火墙和网关来加强不同网段间的访问控制,了解网络的地址管理和IP地址规划的原那么和方法,了解网络中出口的情况,每个出口的保护方式等。
通过对上述内容的检查了解,对网络拓扑结构合理性进行分析。
2、网络平安设备的平安性评测
网络设备是保障一个系统边界平安的有利工具,但是过分的依赖于网络设备理论上提供的功能,将会导致无法正确判断系统的威胁情况,和信任过度的问题。
我们有必要为网络设备自身的平安性和是否有效保护了被保护系统,做一个评测以到达真正起到保护的目的。
另外,网络设备由于被保护系统的复杂性和管理员的自身面对的系统较为复杂,配置未必合理,容易为入侵者提供入侵通道。
有必要为网络设备存在的这些问题提供一种平安解决方案,而针对网络设备的平安评测将是一种有效的手段。
网络设备平安包含:
Ø交换机;
Ø路由器;
Ø防火墙;
Ø其它网络设备。
3、Web应用平安的弱点评测
通过对WEB应用的弱点进行评测,发现应用软件中存在的平安隐患〔包括平安功能设计、平安弱点、以及平安部署中的弱点等〕
4、数据库的平安性评测
完整,全面发现业务系统中数据库的漏洞和平安隐患,主要评测的内容如下:
Ø数据库用户名和密码管理
✧用户权限设置
✧密码策略设置
✧冗余账号的管理
Ø数据库访问控制
✧访问IP地址的控制
✧通讯平安配置
Ø登录认证方式
Ø数据的平安
✧敏感信息的存储方式
✧数据库备份
✧数据库存储介质平安
✧传输加密
Ø平安漏洞检查
Ø补丁管理
Ø数据库的平安审计
✧登录日志审计
✧操作日志审计
5、通用应用〔中间件〕效劳的弱点评测
通用应用中间件的平安关乎整个业务系统的平安,通过评测发现通用中间件的平安问题.主要是指针对IIS、apache、ftp、weblogic等相关通用的应用软件进行平安评测。
评测主要包含补丁管理、最大平安性原那么、用户管理、权限管理、日志平安管理等进行分析。
6、操作系统主机的平安性评测
操作系统主机的平安评测的对象包含计算机硬件系统、操作系统;操作系统的平安性评测不包含非附属于操作系统的软件产品〔如微软的SQLSERVER〕的平安评测。
操作系统的平安性评测范围:
Ø应用效劳器;
Ø客户机〔用户终端机〕。
3.3信息系统平安评测实验室及人员建设
信息系统平安评测实验室作为一个专业性很强的技术评测实验室,需要一支专业化高素质的信息人才队伍,同时也需要一个健全的组织机构,明确各岗位的职责。
信息系统平安评测实验室在省公司科技信息部的领导下开展检测工作。
信息系统平安评测实验室按照初期开展的业务不同,暂分为网络平安组和系统评测组两个工作组,其中信息系统评测组又分为功能、性能、平安和扩展业务等4个小组,其中扩展业务组是为准备信息系统平安评测实验室二期建设提前设置的小组,此小组能够提供信息系统平安评测实验室二期业务的建设,拓展。
信息系统平安评测实验室的组织结构如图下列图所示:
信息系统平安评测实验室组织结构图
3.4信息系统平安评测实验室场地建设
信息系统平安评测实验室场地拟定在XXXX机房,根据机房搬迁方案,定于XXXX年XX月底完成信息系统平安评测实验室的机房搬迁。
结合实际情况,准备实验室场地的建设方案:
3.5信息系统平安评测实验室制度建设
针对信息系统平安评测实验室的实际情况,制定一套标准的管理制度,确保信息系统平安评测实验室的各项工作有条不紊的开展。
主要管理制度如表所示:
序号
主要管理制度
管理制度内容
1
岗位责任制度
岗位责任制度内容是每个岗位的职责、任务、目标等内容具体化;作用是明确责任,提高效率,保证工作质量,奖罚有据。
2
员工培训制度
员工培训制度主要包括员工入职培训和员工的技能培训。
作用是引导新员工熟知工作流程、根本业务,确定自身工作职责,初步掌握根本技能;促使老员工技能不断提升。
3
设备管理制度
设备管理制度包括设备运行管理制度、设备缺陷管理制度和设备检修管理制度;作用是科学地管理好中心的设备,使设备的维护管理工作有组织、有方案、有标准地进行。
4
资料管理制度
资料管理制度包括机房档案资料管理,日常工作记录、报表、报告管理,技术资料管理。
作用是方便对各种资料进行收集、统计、整理、分类、归档、保管、使用。
5
平安管理制度
平安管理制度包括实验室的防火防盗、电源平安、设备平安管理、核心资料的保密。
作用是加强中心的平安管理,明确各部门和人员的平安工作责任,将平安工作落到实处。
6
质量管理制度
质量管理制度包括质量管理体系,质量标准法规,质量管理和监控的流程。
作用是加强检测工作的管理,提高工作的质量和水平。
7
办公室管理制度
办公室管理制度包括办公用品管理、管理、卫生管理、打印复印管理等。
作用是标准办公室管理,使办公室的各项日常事务有章可循。
8
作业管理制度
作业管理制度包括检测工作流程中各种测试标准、测试标准、考前须知、作业指导书等。
作用是标准信息系统检测工作,使检测工作有章可循。
信息系统平安评测实验室管理制度表
3.6信息系统平安评测实验室流程建设
信息系统平安评测实验室建成后,在开展各项常规信息系统评测工作的同时,将根据需要逐步开展系统的平安性测试、运维期测试等,最终建成一个完备的信息系统平安评测实验室中心。
信息系统平安评测实验室对信息系统评测流程与对软件测试流程相似,
测试流程如下列图所示:
测试工作流程图
质量管理的流程图如下列图所示:
质量管理流程图
日常工作管理的流程图如下列图所示:
日常工作管理流程图
3.7信息系统平安评测实验室解决方案的优势
3.7.1检测模块的多样化/多层次
✧检测模块
平安沙盘系统的检测模块【检测模块即携带各种对信息系统进行测评时需要使用工具软件以及相应的环境,开启的检查模块可以通过自身携带的软件工具对信息系统进行指定内容的评测】涵盖整个信息系统测评需要的软件测试类工具与平安检测类工具以及各种工具需要运行的系统环境,按照检测模块应用可以分类平安性检测模块,功能性检测模块,性能检测模块与扩展业务需要使用的风险评估模块四类;
✧可定制开发的检测模块
平安沙盘系统可以携带各种平安性,功能性,性能的检测工具软件模块,是可以根据用户测评的需要进行定制开发,每个用户可以根据自身的需要进行各种评测模块的定制开发,同时平安沙盘系统本身会自带一些通用的测评工具模块件供用户选择;
3.7.2检测模块自动化/定制化
✧检测模块即时加载/卸载
评测工程师可以通过管理平台即时开启各种计测试需要的检查模块,搭建各种系统的评测环境,还可以根据需要将各种需要使用的检测模块一次开启,利用每个检测模块对信息系统进行相应的评测,对于不需要使用的检测模块,可以立即停止关闭,为新需要的检测模块开启提供资源。
✧检测模块定制加载/卸载
评测工程师可以通过管理平台为不同的信息系统测试开启不同的检测模块,可以同时进行多个相同检测模块以及不同的检查模块的开启,为同时进行多个信息系统的评测提供条件;不需要使用的检测模块可以立即关闭,不会影响其他开启的检查模块的使用。
3.7
升级会员 