安全建设综合项目综合项目测试专项方案模板.doc

【】安全建设项目 【】阶段项目测试方案 XXXX公司 目 录 1. 项目需求描述 2 1.1. 【】项目安全建设背景概述 2 1.2. 有关政策根据 2 2 项目测试方案 3 3 测试工具 6 1. 项目需求描述 1.1. 【】项目安全建设背景概述 随着互联网迅速发展，【】单位需要在公司内部进行【】安全建设项目，同步，也要加强自身信息安全保障工作，建立完善安全机制来抵抗外来和内在信息安全威胁。 为提高国内重要信息系统整体信息安全管理水平和抗风险能力。 国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室联合颁布《关于开展全国重要信息系统安全级别保护定级工作告知》和《信息安全级别保护管理办法》，规定涉及国计民生信息系统应达到一定安全级别，依照文献精神和级别划分原则，本项目中涉及到【】等核心信息，构筑至少应达到X级或以上防护规定。 1.2. 有关政策根据 国家有关部门对级别保护安全规定高度注重，相继出台各种信息安全有关指引意见与法规，重要有： 《中华人民共和国计算机信息系统安全级别保护条例》（国务院147号令） 《关于推动信息安全级别保护测评体系建设和开展级别测评工作告知》（公信安〔〕303） 《GB/T 22239- 信息安全技术 信息系统安全级别保护基本规定》 《GB/T20984— 信息安全技术 信息安全风险评估规范》 《GB17859-1999 信息系统安全级别保护测评准则》 其中，当前级别保护等保重要安全根据，重要参照《GB17859-1999 信息系统安全级别保护测评准则》和《GB/T 22239- 信息安全技术信息系统安全级别保护基本规定》，本项目中需求分析根据重要依照这两个原则，以其她规定为辅。 2 项目测试方案 序号 阶段名称 测试内容详细阐明 核心工作 测试成果 1 物理安全建设 机房需要建立在具备防震、防风、防雨建筑内，机房场地避免设在建筑物高层或地下室，以及用水设备下层或隔壁 检查机房位置 测试者签名 2 机房出入口安排专人值守，控制鉴别并记录出入人员。对机房划分区域，区域间实现物理隔离。 确认机房隔离状况 3 预留足够空间进行维护操作，房间材料使用阻燃材料，耐火性级别符合国家有关原则规定。 确认机房建设 4 安装防静电地板，安装防雷击接地线，安装火灾报警和自动消防装置。 确认机房建设 5 配备空调系统，保证机房内恒温恒湿。 确认机房配备 6 网络安全建设 满足公司业务高峰时数据互换，网络测速峰值与均值满足需求。 7 防火墙测试 数据过滤测试 8 网关测试 9 WAF防火墙测试 网络威胁测试 10 IDS/IPS设备测试 网络威胁监控 11 UTM设备测试 网络威胁测试 12 主机安全建设 主机密码复杂度合规。 密码复杂度检查 13 双因素认证支持。 确认登录因素 14 登录失败解决，超过指定失败次数进行顾客锁定，同步生成告警。 确认解决成果 15 剩余信息解决，用数据恢复工具进行数据恢复，确认成果。 确认无法恢复 16 应用安全建设 检查应用安装状况，对照项目应用清单核对名称、版本号。 确认与清单一致 17 对系统应用进行正向测试。 符合设计需求 18 对系统应用进行安全测试，输入错误登录信息、进行越权操作、关闭和重启系统应用。 符合设计需求 19 数据安全建设 对数据库顾客密码符合规范。 确认成果 20 对数据库进行定期备份。 检查备份记录 21 数据库恢复测试 确认恢复成功 22 数据库安全测试，使用安全工具进行扫描等测试。 确认数据库安全 3 测试工具 序号 工具名称 工具阐明 备注 1 木马检测工具 检查目的系统中与否存在木马 2 病毒检测工具 检查目的系统中与否存在病毒 3 系统漏洞扫描工具 扫描系统漏洞 4 弱口令扫描工具 检测与否存在弱口令