文档介绍:信息系统安全测试指南
    
    1)希望在信息系统安全工程实施后进行测试验收,可以申请信息系统安全测试。
    2)希望了解运行中的信息系统当前的安全技术实现情况,可以申请信息系统安全测试。
    注:可以申请对一个完整的信息系统或一个比较独立的子系统进行测试。
    
    
    
    信息产业部计算机安全技术检测中心作为业界权威机构,对外提供信息系统安全测试服务,旨在以第三方立场,通过测试手段对信息系统安全要求、安全策略、安全机制、安全措施等制定、选择、实施的正确性进行整体验证,协助申请者发现技术层面的漏洞和缺陷。
    
    
    
    信息系统安全测试的测试内容包括:
    a)信息系统安全体系架构合理性分析
    b)渗透性测试;
    c)脆弱性评估;
    d)安全配置检测;
    e)源代码审查(可选)。
    以上五项测试内容从逻辑层次上覆盖了网络基础设施,应用支撑平台和业务应用系统层次。其中源代码审查为可选项。
    
    
    
    ISO/IEC15408信息技术安全评估准则idtGB/T18336-2001信息技术安全性评估准则;
    《信息系统安全保障通用评估准则》。
    
    
    
    信息系统安全测试过程包括三阶段,分别是:文档审查阶段;现场测试阶段;测试记录分析阶段。在正式受理之后,信息产业部计算机安全技术检测中心将确立测试项目,成立测试小组,按照严格规定的标准工作流程开展测试工作。
    1)文档审查阶段
    系统安全测试人员对申请方提交的申请材料进行技术审查,如在审查过程中,发现明显的重大问题,将对申请方提出整改意见。
    2)现场测试阶段
    本阶段,系统安全测试人员将到信息系统运行现场进行各项安全测试工作。在开始测试前,系统安全测试人员将联合申请方信息安全高层管理人员、系统安全管理员等召开一次项目启动会议。在会议中,向申请方介绍测试小组成员,落实申请方信息系统安全测试项目的配合与协调人员,确认申请方信息系统的安全测试需求及安全测试目标,信息系统测试小组将据此制订《信息系统安全测试计划》。