信息系统安全测试指南

《信息系统安全测试指南》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、信息系统安全测试指南1．测试对象        1)希望在信息系统安全工程实施后进行测试验收，可以申请信息系统安全测试。    2)希望了解运行中的信息系统当前的安全技术实现情况，可以申请信息系统安全测试。    注：可以申请对一个完整的信息系统或一个比较独立的子系统进行测试。        2．测试目的        信息产业部计算机安全技术检测中心作为业界权威机构，对外提供信息系统安全测试服务，旨在以第三方立场，通过测试手段对信息系统安全要求、安全策略、安全机制、安全措施等制定、选择、实施的正确性进行整体验证，协助申请者发现

2、技术层面的漏洞和缺陷。        3．测试内容        信息系统安全测试的测试内容包括：    a)信息系统安全体系架构合理性分析    b)渗透性测试；    c)脆弱性评估；    d)安全配置检测；    e)源代码审查(可选)。    以上五项测试内容从逻辑层次上覆盖了网络基础设施，应用支撑平台和业务应用系统层次。其中源代码审查为可选项。        4．测试依据        ISO/IEC15408信息技术安全评估准则idtGB/T18336-2001信息技术安全性评估准则；    《信息系统安全保障通用

3、评估准则》。        5.测试程序        信息系统安全测试过程包括三阶段，分别是：文档审查阶段；现场测试阶段；测试记录分析阶段。在正式受理之后，信息产业部计算机安全技术检测中心将确立测试项目，成立测试小组，按照严格规定的标准工作流程开展测试工作。    1)文档审查阶段    系统安全测试人员对申请方提交的申请材料进行技术审查，如在审查过程中，发现明显的重大问题，将对申请方提出整改意见。    2)现场测试阶段    本阶段，系统安全测试人员将到信息系统运行现场进行各项安全测试工作。在开始测试前，系统安全测试人员将

4、联合申请方信息安全高层管理人员、系统安全管理员等召开一次项目启动会议。在会议中，向申请方介绍测试小组成员，落实申请方信息系统安全测试项目的配合与协调人员，确认申请方信息系统的安全测试需求及安全测试目标，信息系统测试小组将据此制订《信息系统安全测试计划》。    3)测试记录分析阶段    信息系统测试小组将汇总所有测试过程的记录进行分析评估，完成信息系统安全测试报告》。        6.测试结果    检测中心向申请方提交《信息系统安全测试报告》。        7.申请步骤        步骤1：申请方登录中心网站（www.

5、ctec.com.cn）下载《信息系统安全测试申请书》和《信息系统安全测试申请材料说明》    步骤2：申请方按《信息系统安全测试申请书》中的要求填写申请书并按照《信息系统安全测试申请材料说明》中的要求准备申请材料。    步骤3：申请方将申请书和申请材料交至信息产业部计算机安全技术检测中心。    步骤4：实验室测试人员对申请书和申请材料进行形式化审查，审查通过后向申请方发出受理通知。    步骤5：申请方接到受理通知后，与中心签订《委托协议》，并缴纳测试费用。    步骤6：进入测试过程。    信息系统安全测试申请步骤示意

6、图