 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
| 案例分析 |
中国人民财产保险股份有限公司2005年省级分公司网络信息安全项目 |
| 近几年,中国人民财产保险股份有限公司正逐步加强信息系统建设,但随着新业务的不断推出和网络应用的不断普及,网络安全成为影响人保信息系统进一步发展的重要问题。特别是最近两年各种安全事件的发生,更加坚定了人保把网络安全建设提到与信息化建设同等重要地位的决心。2005年,硬件与网络测试中心承担了人保信息安全项目,以信息安全评测为基础,涉及信息安全调研与评估、安全解决方案评审与规划、模拟仿真平台测试、标书技术部分撰写、标前选型测试、验收测试等各个环节,通过第三方测试机构公平、公正、公开的测试和咨询服务,为人保信息系统建设提供了科学客观的依据。 第一阶段:信息安全调研、安全评估 为了对人保信息系统的安全现状进行全面的考察评估,自2005年3月起,硬件与网络测试中心受人保方面委托对北京、河北两家人保省级分公司进行信息安全调研,从物理安全、网络安全、系统安全、应用安全和安全管理五个层面对信息系统安全现状进行了详细的分析。 第二阶段:方案评审、规划与模拟平台验证性测试 对人保省级分公司的信息安全调研、评估后,八家国内外一流的安全厂商(包括Cisco、联想等)为中国人民财产保险股份有限公司2005年省级分公司网络信息安全项目提供了安全解决方案。 硬件与网络测试中心以定性与定量相结合的思想为指导,采用面向用户的设计思想,为人保信息系统安全建设问题提供了一个人机紧密结合的综合集成决策支持环境。把系统存在的问题通过专家的知识同系统中的数据库、模型库等有关信息结合起来,通过搭建模拟仿真实验环境,以不同的量化结果对系统建设的意见进行评价,对项目实施的决策后果进行评价或判断。 硬件与网络测试中心利用自身的专业团队和外围专家对八家厂商的安全解决方案进行评审,整合出两套安全解决方案,并根据三种规模的人保省级分公司网络状况搭建模拟仿真平台,将整合的两套安全解决方案在模拟仿真平台进行验证性测试。在模拟平台测试中,我们分别模拟了三种规模的人保省级分公司现阶段与五年后的流量峰值与人员数量,以保证方案至少能够适应人保省级公司五年后对信息安全的需求,测试结果表明,整合的两套安全解决方案通过了模拟仿真平台验收性测试。 第三阶段:标书技术部分撰写 硬件与网络测试中心凭借对安全设备丰富的测试经验与对国内、外主流安全产品技术特点的把握,结合人保的实际需求与项目预算,完成了本次项目招标的安全设备(防火墙、IDS)技术指标描述、产品集成与技术服务、产品培训等内容的撰写,完成本次项目招标的安全服务(安全评估服务、安全加固服务、紧急响应服务、安全通告服务)内容的撰写。 第四阶段:标前测试 在完成标书技术部分撰写后,硬件与网络测试中心根据GB/T 18019-1999 《信息技术包过滤防火墙安全技术要求》、GB/T 18020-1999 《信息技术应用级防火墙安全技术要求》国家标准、CSTCQBYAJB016 《信息安全产品(防火墙)测试规范》、《GA/T 403.1-2002 信息技术侵检测产品技术要求第1部分:网络型产品》、CSTCQBAYJB015《入侵检测产品测试规范》与技术规范对本次投标产品的安全功能和性能方面进行严格、规范的测试。 本次投标产品含盖了几乎国内、外所有主流安全厂商的51款安全产品,在短短20天的测试时间里,测试工程师以高度的责任心和较高的效率,对所有51款产品进行了全面、严格的测试。提交的测试报告得到了人保方面的高度评价和认可。 第五阶段:评标 完成标前产品验证性测试之后,硬件与网络测试中心以评审专家身份参与、组织成立了评标委会员,对本次招投标项目进行评标。整个评标过程分初审和终审,初审即是对投标文件的合格性进行审查,终审即确定了此次项目的承建集成商,为人保项目的顺利完成提供了强有力的技术支持。 通过对人保安全信息系统项目的全程跟进,硬件与网络测试中心积累了安全信息系统评估、选型的丰富经验,并与各安全产品厂商建立了良好的合作关系。作为国内权威的第三方评测、认证机构,硬件与网络测试中心承担本次项目,具有广泛的社会效益和良好的经济效益。 |
地址:北京市海淀区紫竹院路66号赛迪大厦13层 邮编:100044 |