测试验收管理制度

安全测试验收安全管理规定第一章总则第一条目的。为进一步加强*******有限公司网络安全防护项目安全验收的管理，更好地规范项目验收工作，为项目验收工作提供依据，确保信息系统项目建设的质量和安全性，制定本管理制度。第二条对象。本制度的对象是指*******有限公司网络安全防护项目，包括单位统一建设项目和各部自行建设项目。第三条范围。本制度规定了信息化建设项目的验收流程和方法，适用于在信息化建设项目实施完毕后的验收和交付工作。第四条要求。*******有限公司网络安全防护项目的测试验收安全管理要求统一遵循《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》。第二章验收组织第五条验收组组成系统负责人负责成立专门的系统验收委员会，作为系统验收的组织机构。委员会设主任一人委员若干人，委员会成员由建设方人员、监理方人员、特邀专家组人和承建方人员组成，其中特邀专家必须是行业信息领域的权威，熟悉国内外该领域技术发展的状况。第六条验收委员会的任务（一） 资料审查工作资料评审工作主要对项目的相关资料进行评审，检查资料是否齐全、完整、正确。评审的资料包括以下内容：项目施工资料：项目开工报告、项目实施报告、项目竣工报告、材料与设备清单、项目实施质量与安全检查记录、项目竣工图纸、售后服务保证文件、项目自检报告；项目试运行资料：用户试用报告或用户意见书；非信息应用系统相关文档：系统设计说明书、项目详细实施方案、系统结构图、用户手册、用户培训计划、培训文档；项目监理报告。（二）项目验收评审项目评审的工作主要包括：听取建设单位、承建单位、监理单位对项目建设情况的介绍；组织现场验收和复查验收；听取资料审查的情况汇报，用户试运行情况的汇报。评审的内容包括：技术文档是否齐全，是否符合国家或有关部门的技术要求；根据技术标准、建设规范，检查各项技术指标是否达到要求；建设项目的设计、施工是否符合国家或有关部门的标准和规范；运行管理人员和操作使用人员的技术培训是否达到熟练操作的程度；相关管理规章制度是否建立和健全。（三）安全测试验收委托公正的第三方测评机构对系统进行安全性测试，并出具安全性测试报告。第三章验收内容第七条设备检验（一）设备到货检查在开箱前，检查设备的外包装是否有明显的包装破损、野蛮装卸、设备倒置等迹象；在开箱后，检查设备是否有明显的外观问题，如划痕、变形等；检查到货设备的厂商、型号、硬件配置、配件、数量是否与合同中的设备清单的参数相符（部分配置需要上电进行检查）；检查设备的相关附件是否齐全，如网络跳线、产品说明书、安装光盘、保修卡、说明书、合格证等。（二）设备上电检查将设备开机上电，检查设备是否能够正常开启运行；对于通过外观检查无法确定的相关硬件参数，通过上电检查是否与合同设备清单的参数相符；以上检查结果均满足要求，则设备检验通过，否则由承建方进行纠正处理。第八条设备安装检验检查设备安装到机柜的位置是否合理，是否考虑到后续其他设备的安装；设备的上下位置与机柜单元（Unit）标识线是否齐平，设备是否安装牢固；设备与设备之间是否留出相应的空余位置以便于散热；设备安装完毕后是否通过标签标识相应的用途和类型；在具备冗余连接的环境下，设备的连接线缆是否连接正确；设备的连接线缆是否整理整齐并进行相应的标识。以上检查结果均满足要求，则设备安装检验通过，否则由承建方进行纠正处理。第九条安全功能测试（一） 检测说明网络安全和管理平台主要包括防火墙、入侵检测系统、漏洞扫描系统、防病毒、安全审计、身份认证系统、安全网关、网络隔离与交换系统、内容过滤系统等网络安全防护设备和网络管理软件等网管设备。网络安全和管理平台必须得到有效配置，网络系统安全策略得到满足，确保网络信息系统安全、高效运行。网络安全和管理平台的验收检测：对系统中的网络安全防护设备和网络管理设备进行功能复核测试，确保设备的安全策略配置满足网络安全和管理平台设计要求，并可以有效运行；检测网络安全防护设备、网络管理设备本身是否弱点、漏洞或误配置，得到有效管理，不会引入新的威胁点。测试所需要的文档主要有：系统设计文档，包含安全策略、安全技术方案等。按照网络系统设计要求和安全策略，对网络安全防护和管理功能复核测试，按照安全功能组件进行测试。（二） 检测内容和符合标准以下列举了常见安全系统的检测类别和符合标准，在实际验收工作中应依据合同中具体的设备功能参数要求对相应安全设备进行检测。检测类别符合标准检测单位

产品要求信息系统安全专用产品必须具有“计算机信息系统安全专用产品销售许可证”；密码产品符合《商用密码管理条例》的要求；特殊行业有其他规定时，还应遵守行业的相关规疋。承建单位防火墙测试防火墙系统应具有根据不同身份或角色进行访问控制，支持网络地址转换、日志统计分析等功能，检测防火墙设置是否符合安全设计要求，符合设计要求的判为合格。承建单位防病毒系统测试防病毒软件应具有实时扫描、立即扫描、病毒代码更新、日志管理、集中管理等功能；检测防病毒系统是否符合设计要求，符合设计要求判为合格。承建单位入侵检测系统测试对入侵检测系统，使用流行的攻击手段进行模拟攻击（如DOS拒绝服务攻击），这些攻击应被入侵检测系统发现和阻断；符合设计要求判为合格。承建单位内容过滤系统测试如果安装了内容过滤系统，则尝试访问若干受限网址或者访问受限内容，这些尝试应该被阻断；然后，访问若干未受限的网址或者内容，应该可以正常访问；符合设计要求判为合格。承建单位审计系统测试对一些非法的侵入尝试必须有记录；模拟非法尝试；符合设计要求判为合格。承建单位漏洞扫描系统测试检测漏洞扫描系统漏洞信息数据库是否更新及时，符合设计要求的判为合格。承建单位网络管理系统测试检测能够对网络资源的情况进行全面信息采集和自动预警。符合设计要求判为合格。承建单位第十条系统安全测试在安全系统建设完毕后，应根据项目建设的安全目标对整体系统进行安全测试，测试分为安全自检测试和委托第三方进行安全测试。安全自检测试由承建方来完成，第三方安全测试由经中国信息安全测评中心或公安部信息安全等级保护评估中心认证的信息安全测评机构来完成。测试内容:

安全分类安全子类检测内容检测单位网络安全结构安全主要核查：主要网络设备的处理能力、网络带宽是否满足业务需求情况、网络拓扑结构图是否一致、子网划分和隔离情况、重要业务的带宽优先分配情况。承建方自检/第三方安全测评机构复检访问控制主要核查：边界网络设备访问控制功能、系统及拨号访问限制、进出网络的信息内容过滤、网络最大流量数和连接数、防止地址欺骗措施。承建方自检/第三方安全测评机构复检安全审计主要核查：网络设备日志收集、审计记录详细记载情况、审计报表生成以及对审计记录的保护措施。承建方自检/第三方安全测评机构复检边界完整性检杳主要核查：是否能够对非授权设备私自联到内部网络的行为进行检查、定位和阻断；对内部用户私自外联的行为进行检杳、定位和阻断。承建方自检/第三方安全测评机构复检入侵防范主要核查：部署IDS以及使用情况。承建方自检/第三方安全测评机构复检恶意代码防范主要检测：网络边界处对恶意代码的检测和清除情况。承建方自检/第三方安全测评机构复检网络设备防护主要核查：用户身份鉴别、管理员登录地址限制、用户标识唯一性、口令策略、登录策略、远程管理策略以及用户权限分离情况。承建方自检/第三方安全测评机构复检主机安全身份鉴别主要核查：用户身份认证方式、账号与用户对应关系，账户和口令长度设置情况，口令更改周期等；登录失败处理功能设置情况。承建方自检/第三方安全测评机构复检安全标记主要核查：主体和客体安全标记设置情况承建方自检/第三方安全测评机构复检访问控制主要核查：特权用户的权限分离情况；默认账户的访问权限；多余和过期的账户的处理情况。承建方自检/第三方安全测评机构复检

安全审计主要核查：安全审计的覆盖范围；记录内容完整性；防止审计记录被删除、覆盖。承建方自检/第三方安全测评机构复检剩余信息保护主要检查：用户鉴别信息、系统内文件、目录和数据在存储空间的清除情况。承建方自检/第三方安全测评机构复检入侵防范主要核查：操作系统组件安装和补丁升级情况、入侵行为记录和报警，以及受破坏后恢复措施。承建方自检/第三方安全测评机构复检恶意代码防范主要核查：防病毒和恶意代码产品的使用情况及升级情况、支持防恶意代码软件的统一管理、与网络防恶意代码产品不同的恶意代码库。承建方自检/第三方安全测评机构复检资源控制主要核查：终端登录限制方式及安全策略、监视服务器资源使用情况与达到最小值报警措施承建方自检/第三方安全测评机构复检数据安全及备份恢复数据元整性主要核查：用户账户信息和重要业务数据在传输过程中的完整性。承建方自检/第三方安全测评机构复检数据保密性主要核查：采用加密或其它保护措施用户账户信息和重要业务数据的存储保密性。承建方自检/第三方安全测评机构复检备份和恢复主要核查：对重要信息备份和恢复；网络设备硬件冗余情况。承建方自检/第三方安全测评机构复检通过以上检测不存在高、中等级风险，则安全测试通过，否则由承建方进行纠正处理。第^一条文档交付序号文档名称检杳内容1项目开工报告应包括实施的实施周期、人员和工作内容、阶段工作目标2设备到货检查表应包括设备到货情况，硬件配置检查确认结果3项目实施报告应包括项目实施的过程，包括实施日志、实施中出现的冋题，解决冋题的方法，产品相关配置信息、网络拓扑图等4系统功能测试报告应包括系统功能测试采取的方法和结果，以及与合同要求是否存在偏差5系统安全测试报告应包括系统的整体安全状况，存在的漏洞和风险以及整改建议6项目竣工报告应包括对项目的实施、测试、试运行、质量控制情况进行总结7系统操作和维护手册应包括产品的操作说明书、产品配置简明手册、日常维护手册8产品质保说明或服务承诺应包括产品附带的质保卡、其他证明保修期限的证明以及承建方提供其他服务的承诺以上检查结果均满足要求，则文档验收通过，否则由承建方进行纠正处理第四章总结验收会第十二条验收会准备（一） 承建单位按照合同或合同附件的要求，完成各种技术文档；（二） 各种设备经加电试运行，状态正常，稳定试运行达到3个月，承建单位编制项目试运行报告；（三） 承建单位整理所有技术文档和工程实施管理资料等项目文档，提交给建设单位。第十三条召开验收会验收会议的主要步骤包括：（一） 建设单位作关于项目情况的报告；（二） 承建单位作关于项目建设情况、自检情况及竣工情况的报告；（