1、【】安全建设项目【】阶段项目测试方案XXXX公司目 录1.项目需求描述21.1.【】项目安全建设背景概述21.2.有关政策根据22 项目测试方案33 测试工具61. 项目需求描述1.1. 【】项目安全建设背景概述随着互联网迅速发展,【】单位需要在公司内部进行【】安全建设项目,同步,也要加强自身信息安全保障工作,建立完善安全机制来抵抗外来和内在信息安全威胁。为提高国内重要信息系统整体信息安全管理水平和抗风险能力。 国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室联合颁布关于开展全国重要信息系统安全级别保护定级工作告知和信息安全级别保护管理办法,规定涉及国计民生信息系统应达到一定安全
2、级别,依照文献精神和级别划分原则,本项目中涉及到【】等核心信息,构筑至少应达到X级或以上防护规定。1.2. 有关政策根据国家有关部门对级别保护安全规定高度注重,相继出台各种信息安全有关指引意见与法规,重要有:中华人民共和国计算机信息系统安全级别保护条例(国务院147号令)关于推动信息安全级别保护测评体系建设和开展级别测评工作告知(公信安303)GB/T 22239- 信息安全技术 信息系统安全级别保护基本规定GB/T20984 信息安全技术 信息安全风险评估规范GB17859-1999 信息系统安全级别保护测评准则其中,当前级别保护等保重要安全根据,重要参照GB17859-1999 信息系统安
3、全级别保护测评准则和GB/T 22239- 信息安全技术信息系统安全级别保护基本规定,本项目中需求分析根据重要依照这两个原则,以其她规定为辅。2 项目测试方案序号阶段名称测试内容详细阐明核心工作测试成果1物理安全建设机房需要建立在具备防震、防风、防雨建筑内,机房场地避免设在建筑物高层或地下室,以及用水设备下层或隔壁检查机房位置测试者签名2机房出入口安排专人值守,控制鉴别并记录出入人员。对机房划分区域,区域间实现物理隔离。确认机房隔离状况3预留足够空间进行维护操作,房间材料使用阻燃材料,耐火性级别符合国家有关原则规定。确认机房建设4安装防静电地板,安装防雷击接地线,安装火灾报警和自动消防装置。确
4、认机房建设5配备空调系统,保证机房内恒温恒湿。确认机房配备6网络安全建设满足公司业务高峰时数据互换,网络测速峰值与均值满足需求。7防火墙测试数据过滤测试8网关测试9WAF防火墙测试网络威胁测试10IDS/IPS设备测试网络威胁监控11UTM设备测试网络威胁测试12主机安全建设主机密码复杂度合规。密码复杂度检查13双因素认证支持。确认登录因素14登录失败解决,超过指定失败次数进行顾客锁定,同步生成告警。确认解决成果15剩余信息解决,用数据恢复工具进行数据恢复,确认成果。确认无法恢复16应用安全建设检查应用安装状况,对照项目应用清单核对名称、版本号。确认与清单一致17对系统应用进行正向测试。符合设计需求18对系统应用进行安全测试,输入错误登录信息、进行越权操作、关闭和重启系统应用。符合设计需求19数据安全建设对数据库顾客密码符合规范。确认成果20对数据库进行定期备份。检查备份记录21数据库恢复测试确认恢复成功22数据库安全测试,使用安全工具进行扫描等测试。确认数据库安全3 测试工具序号工具名称工具阐明备注1木马检测工具检查目的系统中与否存在木马2病毒检测工具检查目的系统中与否存在病毒3系统漏洞扫描工具扫描系统漏洞4弱口令扫描工具检测与否存在弱口令
浙ICP备2021020529号-1 | 浙B2-20240490 
