1、【】安全建設(shè)項(xiàng)目【】階段項(xiàng)目測試方案XXXX公司目 錄1.項(xiàng)目需求描述21.1.【】項(xiàng)目安全建設(shè)背景概述21.2.相關(guān)政策依據(jù)22 項(xiàng)目測試方案33 測試工具61. 項(xiàng)目需求描述1.1. 【】項(xiàng)目安全建設(shè)背景概述隨著互聯(lián)網(wǎng)的快速發(fā)展，【】單位需要在企業(yè)內(nèi)部進(jìn)行【】安全建設(shè)項(xiàng)目，同時(shí)，也要加強(qiáng)自身的信息安全保障工作，建立完善的安全機(jī)制來抵御外來和內(nèi)在的信息安全威脅。為提升我國重要信息系統(tǒng)整體信息安全管理水平和抗風(fēng)險(xiǎn)能力。 國家公安部、保密局、國家密碼管理局、國務(wù)院信息化領(lǐng)導(dǎo)小組辦公室聯(lián)合頒布關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知和信息安全等級(jí)保護(hù)管理辦法，要求涉及國計(jì)民生的信息系統(tǒng)應(yīng)

2、達(dá)到一定的安全等級(jí)，根據(jù)文件精神和等級(jí)劃分的原則，本項(xiàng)目中涉及到【】等核心信息，構(gòu)筑至少應(yīng)達(dá)到X級(jí)或以上防護(hù)要求。1.2. 相關(guān)政策依據(jù)國家相關(guān)部門對等級(jí)保護(hù)安全要求高度重視，相繼出臺(tái)多個(gè)信息安全相關(guān)指導(dǎo)意見與法規(guī)，主要有：中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)條例（國務(wù)院147號(hào)令）關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測評(píng)體系建設(shè)和開展等級(jí)測評(píng)工作的通知（公信安2010303）GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T209842007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB17859-1999 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)準(zhǔn)則其中，目前等級(jí)保護(hù)等保主要安全依據(jù)，主

3、要參照GB17859-1999 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)準(zhǔn)則和GB/T 22239-2008 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求，本項(xiàng)目中的需求分析依據(jù)主要根據(jù)這兩個(gè)標(biāo)準(zhǔn)，以其他要求為輔。2 項(xiàng)目測試方案序號(hào)階段名稱測試內(nèi)容詳細(xì)說明關(guān)鍵工作測試結(jié)果1物理安全建設(shè)機(jī)房需要建立在具有防震、防風(fēng)、防雨的建筑內(nèi)，機(jī)房場地避免設(shè)在建筑物高層或地下室，以及用水設(shè)備的下層或隔壁檢查機(jī)房位置測試者簽名2機(jī)房出入口安排專人值守，控制鑒別并記錄出入人員。對機(jī)房劃分區(qū)域，區(qū)域間實(shí)現(xiàn)物理隔離。確認(rèn)機(jī)房隔離情況3預(yù)留足夠空間進(jìn)行維護(hù)操作，房間材料使用阻燃材料，耐火性等級(jí)符合國家相關(guān)標(biāo)準(zhǔn)規(guī)定。確認(rèn)機(jī)房建設(shè)4安裝防靜

4、電地板，安裝防雷擊接地線，安裝火災(zāi)報(bào)警和自動(dòng)消防裝置。確認(rèn)機(jī)房建設(shè)5配備空調(diào)系統(tǒng)，保證機(jī)房內(nèi)恒溫恒濕。確認(rèn)機(jī)房配置6網(wǎng)絡(luò)安全建設(shè)滿足企業(yè)業(yè)務(wù)高峰時(shí)的數(shù)據(jù)交換，網(wǎng)絡(luò)測速峰值與均值滿足需求。7防火墻測試數(shù)據(jù)過濾測試8網(wǎng)關(guān)測試9WAF防火墻測試網(wǎng)絡(luò)威脅測試10IDS/IPS設(shè)備測試網(wǎng)絡(luò)威脅監(jiān)控11UTM設(shè)備測試網(wǎng)絡(luò)威脅測試12主機(jī)安全建設(shè)主機(jī)密碼復(fù)雜度合規(guī)。密碼復(fù)雜度檢查13雙因素認(rèn)證支持。確認(rèn)登錄因素14登錄失敗處理，超過指定失敗次數(shù)進(jìn)行用戶鎖定，同時(shí)生成告警。確認(rèn)處理結(jié)果15剩余信息處理，用數(shù)據(jù)恢復(fù)工具進(jìn)行數(shù)據(jù)恢復(fù)，確認(rèn)結(jié)果。確認(rèn)無法恢復(fù)16應(yīng)用安全建設(shè)檢查應(yīng)用安裝情況，對照項(xiàng)目應(yīng)用清單核對名稱、版本號(hào)。確認(rèn)與清單一致17對系統(tǒng)應(yīng)用進(jìn)行正向測試。符合設(shè)計(jì)需求18對系統(tǒng)應(yīng)用進(jìn)行安全測試，輸入錯(cuò)誤的登錄信息、進(jìn)行越權(quán)操作、關(guān)閉和重啟系統(tǒng)應(yīng)用。符合設(shè)計(jì)需求19數(shù)據(jù)安全建設(shè)對數(shù)據(jù)庫用戶密碼符合規(guī)范。確認(rèn)結(jié)果20對數(shù)據(jù)庫進(jìn)行定期備份。檢查備份記錄21數(shù)據(jù)庫恢復(fù)測試確認(rèn)恢復(fù)成功22數(shù)據(jù)庫安全測試，使用安全工具進(jìn)行掃描等測試。確認(rèn)數(shù)據(jù)庫安全3 測試工具序號(hào)工具名稱工具說明備注1木馬檢測工具檢查目標(biāo)系統(tǒng)中是否存在木馬2病毒檢測工具檢查目標(biāo)系統(tǒng)中是否存在病毒3系統(tǒng)漏洞掃描工具掃描系