北京信息安全测评中心系统测评业务（非密）包括：

n         信息系统安全等级测评

n         信息系统安全风险评估

n         信息系统安全验收测评

n         信息系统渗透性测试

n         政务外网接入测评

一、信息系统安全等级测评

1、测评依据：

²        《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发［2003］27号）

²        《北京市政务与公共服务信息化工程建设管理办法》（市政府第67号令）

²        《北京市公共服务网络与信息系统安全管理规定》（市政府第163号令）

²        《北京市信息化促进条例》（市人大常委第63号令）

²        《北京市信息化工作领导小组关于加强信息安全保障工作的实施意见》（京办发［2004］3号）

²        北京市信息化工作领导小组关于印发《关于加强北京市重要政务信息系统信息安全管理的意见》的通知(京信发[2007]7号)

²        《关于本市各级党政机关网络与信息系统开展安全等级保护工作的通知》(京信息办函[2004]72号)

²        《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号)

²        《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）

²        《信息安全等级保护管理办法》（公通字[2007]43号）

²        《北京市关于开展信息安全等级保护工作的实施方案》 京公网监字〔2007〕788号

²        《北京市党政机关计算机网络与信息安全管理办法》

²        《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239）

²        《信息系统安全等级保护测评准则（送审稿）》

²        《电子政务信息安全保障技术框架》

²         定级报告

²         安全方案

2、测评内容

安全等级测评是根据等级保护的管理规范和技术要求，对已经实施了安全等级保护的网络与信息系统进行符合性测评，检测信息系统在安全技术、安全管理等方面是否符合已确定的安全等级的要求；对于尚未符合要求的网络和信息系统，分析和评估潜在威胁、薄弱环节以及现有安全防护措施，综合考虑信息系统的重要性和面临的安全威胁等因素，出具核查测试报告，提出不符合项，并在系统整改后进行复测确认，出具安全等级测评报告，以确保信息系统的安全保护措施符合相应安全等级的基本安全要求。

等级测评内容包括：技术安全测评、管理安全测评、综合测评。其中技术安全测评包括：物理安全、网络安全、主机安全、应用安全、数据安全。管理安全测评包括：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。综合测评包括：安全控制间安全测评、层面间安全测评、区域间安全测评、系统结构安全测评。

3、从2002年至今共完成的等级测评共40个

       北京市委组织部

       北京市环保局

       北京市安监局

       北京市文化局

       宣武区信息办

       …

二、    信息系统安全风险评估（安全测评）

1、测评依据：

²        《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）

²         北京市信息化工作办公室关于印发《首都之窗网站群安全管理暂行规定》的通知（京 信息办发[2007]26号）

²         GB/T 20984-2007《信息安全技术  信息安全风险评估规范》

²        《信息系统安全等级保护基本要求》（GB/T 22239-2008）

²        《党政机关信息系统安全测评规范》(DB11/T 171-2002)

²         北京市《电子政务信息安全保障技术框架》

²        《信息系统安全风险评估实施指南》

2、测评内容

信息安全风险评估是从风险管理角度，评估系统面临的威胁以及脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生系统造成的影响。并提出有针对性的抵御威胁的防范措施，将风险控制在可接受的范围内，达到系统稳定运行的目的。为保障信息系统的安全建设、稳定运行提供技术参考。在信息系统规划设计阶段，风险评估为信息系统的安全建设提供依据；在信息系统运行维护阶段，定期的风险评估是保证信息系统安全的动态措施，可以在信息系统动态变化过程中及时了解、掌握安全状态，将安全风险控制在可接受范围内。

风险评估主要内容包括：从技术和管理两方面进行，主要有系统调查、资产分析、威胁分析、脆弱性测试（网络、系统、应用）、安全功能测试、安全管理检查，体系结构分析、脆弱性分析、安全功能与措施分析、风险分析等。

3、从2002年至今共完成的风险评估99个

       北京市首都之窗

       北京市地税局

       北京市住房公积金管理中心

       北京市民政局

       中国人民银行清算总中心

       …

三、信息系统安全验收测评

1、测评依据：

²      《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发［2003］27号）

²      《北京市政务与公共服务信息化工程建设管理办法》（市政府第67号令）

²      《北京市公共服务网络与信息系统安全管理规定》（市政府第163号令）

²      《北京市信息化促进条例》（市人大常委第63号令）

²       关于印发《“北京市政务与公共信息化工程建设管理办法”实施细则》的通知（京信息办[2002]65号）

²      《北京市市级信息系统升级改造项目验收管理办法(试行)》

²       用户提交的《安全验收测评委托书》

²       委托方提供的相关建设方案、设计方案、使用手册、运维管理制度、运行报告等。

²      《信息系统安全等级保护基本要求》GB/T 22239-2008

²      《党政机关信息系统安全测评规范》DB11/T 171-2002

2、测评内容：

以第三方立场，通过对信息系统的网络基础设施、应用支撑平台和业务应用系统层面上的安全要求、安全策略、安全机制、安全措施等制定、选择、实施的正确性进行检测和评估，发现该系统在技术层面的漏洞和缺陷。分析系统所面临的安全威胁、存在的安全风险，并提出相应解决方法，为系统进行下一步的安全建设提供依据。

安全验收测评，以客户提交的验收目标为主，验收内容包括：信息系统安全体系架构合理性分析、 安全配置检测、 源代码安全审查。信息系统安全体系架构合理性分析是根据网络系统架构分析原则，对系统安全体系架构合理性进行全面分析，并指出不合理的地方，阐述不合理性的根据。 安全配置检测是根据安全配置原则，对网络、系统、数据库、应用的安全性、稳定性进行测试，分析系统配置存在的安全隐患。源代码安全审查是对应用系统源代码进行审查，识别出会导致安全问题和事故的不安全编码技术和漏洞。

3、从2002年至今共完成的安全验收测评共36个

       北京市审计局

       北京市卫生局

       国家广电总局

       北京市统计局

       北京市高法

       …

四、信息系统渗透性测试

1、测试内容：

通过模拟黑客对目标系统进行渗透测试，发现并分析其存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、跨站脚本漏洞及弱口令等安全隐患，评估系统抗攻击能力，提出安全加固建议。

渗透测试的基本方法主要包括工具扫描和人工分析两种方法，如成功获得目标系统本地权限，还可进行一定程度的本地分析工作。

渗透测试的主要内容包括：跨站脚本、主机远程安全、残留信息、SQL注入、系统信息泄漏、弱口令

2、从2006年至今共完成了459个/次的网站及重要信息系统进行了渗透测试工作

       北京市人大常委会

       北京市政协

       北京市人民检察院

       北京市高级人民法院

       北京市发展改革委

       …

五、政务外网接入测评

1、测评依据：

²        《北京市接入政务外网的局域网建设实施指南》

²        《北京市信息化工作领导小组关于推进北京市电子政务网络建设的意见》（京信发[2007]1号）

²        《北京市政务外网管理办法》

2、测评内容

局域网或计算机在接入政务外网前，需采取必要的安全措施并经安全测评。测评内容主要包括：边界访问控制、病毒防护、安全监控等三部分

3、从2009年1月年至今共进行了2个政务外网接入测评

       北京农业信息技术研究中心

       北京市保健品行业协会

联系方式：

北京信息安全测评中心

地址：北京市朝阳区北辰西桥北500米路东数字北京大厦A座七层

邮编：100105

电话：84371783

传真：84371799

网址：http://www.bjtec.org.cn  

      http://www.beijingit.gov.cn