專(zhuān)利名稱(chēng)：：互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理的檢驗(yàn)方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及一種對(duì)互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所上網(wǎng)系統(tǒng)的檢驗(yàn)技術(shù)，特別涉及一種互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理的檢驗(yàn)方法。
背景技術(shù)：
：由于網(wǎng)路的盛行，互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所在不斷的增加，這些營(yíng)業(yè)場(chǎng)所對(duì)于各種信息安全管理存在很大的漏洞。目前還沒(méi)有一種對(duì)互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理進(jìn)行檢驗(yàn)方法能夠有效的針對(duì)公共安全行業(yè)標(biāo)準(zhǔn)GA557-2005互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理代碼、GA558-2005互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理系統(tǒng)數(shù)據(jù)交換格式和GA559-2005互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理系統(tǒng)營(yíng)業(yè)場(chǎng)所端功能要求中有關(guān)信息安全管理的內(nèi)容。
發(fā)明內(nèi)容本發(fā)明針對(duì)上述現(xiàn)有技術(shù)在互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理檢驗(yàn)方面所存在的問(wèn)題，而提供一種能夠?qū)ヂ?lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理功能進(jìn)行相關(guān)檢驗(yàn)的方法。為了達(dá)到上述目的，本發(fā)明采用的技術(shù)方案互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理的檢驗(yàn)方法，該方法主要是在檢測(cè)平臺(tái)下進(jìn)行的，其主要包括以下步驟(1)構(gòu)建檢測(cè)環(huán)境，根據(jù)《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理系統(tǒng)檢驗(yàn)實(shí)施細(xì)則》的要求，構(gòu)建測(cè)試環(huán)境，包括為測(cè)試所需的軟硬件配置及其網(wǎng)絡(luò)結(jié)構(gòu)和安裝互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理系統(tǒng)管理端接口測(cè)試模塊；(2)安裝被檢測(cè)系統(tǒng)，根據(jù)系統(tǒng)產(chǎn)品說(shuō)明書(shū)進(jìn)行安裝需要檢測(cè)的系統(tǒng)；(3)設(shè)計(jì)測(cè)試用例，根據(jù)對(duì)照每一條檢驗(yàn)依據(jù)設(shè)計(jì)與該待測(cè)系統(tǒng)相適應(yīng)4的測(cè)試用例，該測(cè)試用例必須包含用例序號(hào)、用例作者、設(shè)計(jì)日期與具體的輸入輸出信息，以便減少測(cè)試的不確定性，并在追溯錯(cuò)誤時(shí)能將其再現(xiàn)；(4)系統(tǒng)功能測(cè)試?yán)貌襟E(3)設(shè)計(jì)的測(cè)試用例對(duì)營(yíng)業(yè)場(chǎng)所信息安全管理功能進(jìn)行檢驗(yàn)。所述步驟(1)中構(gòu)建檢測(cè)環(huán)境時(shí)，由于接入機(jī)制的不同，被測(cè)系統(tǒng)營(yíng)業(yè)場(chǎng)所端設(shè)備一般有兩種接入系統(tǒng)的形式，方式一為串行形式，營(yíng)業(yè)場(chǎng)所端設(shè)備以網(wǎng)關(guān)/網(wǎng)橋的形式接于網(wǎng)絡(luò)出口處；方式二為并行形式，營(yíng)業(yè)場(chǎng)所端設(shè)備以監(jiān)聽(tīng)模式運(yùn)作于集線(xiàn)器/交換機(jī)。所述步驟(3)設(shè)計(jì)測(cè)試用例時(shí)采用等價(jià)類(lèi)劃分的方法以達(dá)到做較全面的覆蓋測(cè)試；同時(shí)對(duì)具有臨界值的測(cè)試應(yīng)盡可能采用邊界值的方法進(jìn)行測(cè)試。所述步驟(4)中信息安全管理功能的檢驗(yàn)包括有害信息過(guò)濾的檢驗(yàn)和上網(wǎng)日志管理的檢驗(yàn)。所述有害信息過(guò)濾的檢驗(yàn)方法包括以下步驟(11)在營(yíng)業(yè)場(chǎng)所端管理端設(shè)置過(guò)濾策略，并檢驗(yàn)是否能夠?qū)τ泻π畔⑦M(jìn)行過(guò)濾；該過(guò)濾策略包括過(guò)濾條件和過(guò)濾動(dòng)作；(12)檢驗(yàn)營(yíng)業(yè)場(chǎng)所端設(shè)置的過(guò)濾策略，即檢驗(yàn)營(yíng)業(yè)場(chǎng)所端能否設(shè)置相應(yīng)的過(guò)濾規(guī)則庫(kù)(過(guò)濾策略庫(kù))，且缺省規(guī)則條目不少于IO萬(wàn)條；(13)檢驗(yàn)營(yíng)業(yè)場(chǎng)所端過(guò)濾指標(biāo)，若規(guī)則條目為IO萬(wàn)條時(shí)，有害信息過(guò)濾率不得低于98%，合法網(wǎng)址誤濾率不得高于2%。所述過(guò)濾條件是指特定的URL或者特定的IP地址。所述上網(wǎng)日志管理的檢驗(yàn)方法包括以下步驟(21)檢驗(yàn)營(yíng)業(yè)場(chǎng)所端自動(dòng)生成的上網(wǎng)人員日志，檢驗(yàn)生成的日志信息是否存儲(chǔ)于本地掉電非遺失性存儲(chǔ)介質(zhì)中，日志敏感信息得到妥善保護(hù)，不得遺失、損壞；同時(shí)檢驗(yàn)日志記錄的內(nèi)容；(22)檢驗(yàn)營(yíng)業(yè)場(chǎng)所端是否能夠存儲(chǔ)60天內(nèi)上網(wǎng)人員日志信息；(23)檢驗(yàn)營(yíng)業(yè)場(chǎng)所端是否能夠防止日志信息被任何人修改、增加、刪除，以及是否能夠自動(dòng)進(jìn)行定期上網(wǎng)日志信息的備份、刪除等管理操作；(24)檢驗(yàn)營(yíng)業(yè)場(chǎng)所端是否能夠確保日志信息不被非法訪問(wèn)；(25)檢驗(yàn)營(yíng)業(yè)場(chǎng)所端是否支持授權(quán)用戶(hù)進(jìn)行端遠(yuǎn)程日志信息査詢(xún)，同時(shí)支持對(duì)日志信息的單項(xiàng)査詢(xún)、多項(xiàng)組合查詢(xún)、模糊査詢(xún)。所述查詢(xún)時(shí)的關(guān)鍵詞至少應(yīng)包括上網(wǎng)人員姓名、上網(wǎng)人員證件類(lèi)型及號(hào)碼、上網(wǎng)時(shí)間段、上網(wǎng)終端內(nèi)網(wǎng)IP地址、上網(wǎng)終端號(hào)、上網(wǎng)終端MAC地址、目的IP地址、服務(wù)類(lèi)型。根據(jù)上述技術(shù)方案得到的本方法能夠?qū)ヂ?lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理系統(tǒng)的功能和性能進(jìn)行評(píng)測(cè)和檢査。平臺(tái)緊密結(jié)合公安部整治互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所的需求，在技術(shù)上完全遵循公安部對(duì)互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理系統(tǒng)的功能和性能需求。本方法能夠保證的測(cè)試的高效性、一致性、可再現(xiàn)性和可比性。高效性由于詳細(xì)的規(guī)定了測(cè)試方法和測(cè)試用例，進(jìn)行測(cè)試的時(shí)間大大縮短，效率大大提高；一致性同一產(chǎn)品的每次測(cè)試結(jié)果一致；可再現(xiàn)性某產(chǎn)品的某測(cè)試結(jié)果可無(wú)障礙再現(xiàn)；可比性不同產(chǎn)品的測(cè)試要求與輸入相同，因此結(jié)果具有可比性。以下結(jié)合附圖和具體實(shí)施方式來(lái)進(jìn)一步說(shuō)明本發(fā)明。圖1為本發(fā)明的測(cè)試環(huán)境的拓?fù)鋱D。圖2為本發(fā)明方法的步驟流程圖。具體實(shí)施例方式為了使本發(fā)明實(shí)現(xiàn)的技術(shù)手段、創(chuàng)作特征、達(dá)成目的與功效易于明白了解，下面結(jié)合具體圖示，進(jìn)一步闡述本發(fā)明。本檢測(cè)方法是在檢測(cè)平臺(tái)上具體實(shí)施的，具體步驟如下(如圖2所示)第一步、平臺(tái)使用者根據(jù)《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理系統(tǒng)檢驗(yàn)實(shí)施細(xì)則》的要求，構(gòu)建測(cè)試環(huán)境(如圖1所示)，包括為測(cè)試所需的軟硬件配置及其網(wǎng)絡(luò)結(jié)構(gòu)和安裝互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理系統(tǒng)管理端接口測(cè)試模塊。如圖1所示，本發(fā)明中可有兩種接入方a方式時(shí)網(wǎng)關(guān)與被測(cè)系統(tǒng)營(yíng)業(yè)場(chǎng)所端串接或安裝于同一主機(jī)；b方式時(shí)網(wǎng)關(guān)連接集線(xiàn)器。出于接入機(jī)制的不同，被測(cè)系統(tǒng)營(yíng)業(yè)場(chǎng)所端設(shè)備一般有兩種接入系統(tǒng)的形式，a方式為串行形式，營(yíng)業(yè)場(chǎng)所端設(shè)備以網(wǎng)關(guān)/網(wǎng)橋的形式接于網(wǎng)絡(luò)出口處；b方式為并行形式，營(yíng)業(yè)場(chǎng)所端設(shè)備以監(jiān)聽(tīng)模式運(yùn)作于集線(xiàn)器/交換機(jī)。對(duì)于其他接入方式，應(yīng)根據(jù)其自身特點(diǎn)對(duì)檢測(cè)環(huán)境予以調(diào)整。各系統(tǒng)營(yíng)業(yè)場(chǎng)所端同時(shí)使用一個(gè)Internet出口，但對(duì)于一些能在內(nèi)部模擬其應(yīng)用的Internet服務(wù)，應(yīng)盡量在內(nèi)部服務(wù)器上實(shí)現(xiàn)該服務(wù)的應(yīng)用，如WEB、FTP、Mail等。根據(jù)圖1所示的拓?fù)鋱D，構(gòu)建好檢測(cè)環(huán)境，圖1中各測(cè)試組件如表1所示表l測(cè)試組件說(shuō)明<table>tableseeoriginaldocumentpage7</column></row><table><table>tableseeoriginaldocumentpage8</column></row><table>路由器J路由器J連接整個(gè)測(cè)試環(huán)境與InternetCisco2600各待測(cè)系統(tǒng)通過(guò)此路由器連接Internet,供訪問(wèn)相關(guān)服務(wù)時(shí)使用2.檢測(cè)前準(zhǔn)備檢測(cè)員準(zhǔn)備知識(shí)技能在進(jìn)行互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理系統(tǒng)檢測(cè)之前，檢驗(yàn)員必須學(xué)習(xí)并熟練掌握如下知識(shí)、軟件及工具(1)Windows2000Professional、WindowsXPProfessional簡(jiǎn)體中文版本操作系統(tǒng)；(2)基于TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境構(gòu)建及分析；(3)HTTP、FTP、SMTP、POP/POP3、IMAP、TELNET、NNTP、RSTP、MMS等應(yīng)用層協(xié)議和服務(wù)的原理及基本配置；(4)Windows2000Server及IIS5.0、RedhatLinux9.0及Sendmail;(5)協(xié)議分析儀；(6)秒表。檢驗(yàn)員必須學(xué)習(xí)并能使用如下應(yīng)用程序-(1)媒體播放軟件Realplayer10.5、WindowsMediaPlayer10等；(2)郵件客戶(hù)端Outlook6簡(jiǎn)體中文版、Foxmail6.0等；(3〉即時(shí)通訊軟件MSNMessenger8.5、ICQV5.04、YahooMessenger7.5、UC2005、QQ2008、新浪點(diǎn)點(diǎn)通VI.3.0.0、AOLInstantMessenger5.9、網(wǎng)易泡泡2008、搜QV3.6、E話(huà)通V4.20等；(4)網(wǎng)絡(luò)游戲客戶(hù)端聯(lián)眾、傳奇3、中國(guó)游戲在線(xiàn)、軒轅劍Online等；(5)WEB瀏覽器正6.0簡(jiǎn)體中文版等。檢測(cè)環(huán)境準(zhǔn)備在檢測(cè)開(kāi)始之前，檢測(cè)員必須做好如下準(zhǔn)備a)根據(jù)表i測(cè)試組件說(shuō)明準(zhǔn)備好檢測(cè)所需要的硬件設(shè)備，并為之安裝好相應(yīng)的操作系統(tǒng)及軟件(除終端機(jī)E、F外，任何主機(jī)都不應(yīng)安裝不必要的軟件和服務(wù)，以免對(duì)系統(tǒng)功能和性能指標(biāo)產(chǎn)生負(fù)面影響)；9(2)根據(jù)圖1檢測(cè)環(huán)境網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖構(gòu)建好測(cè)試網(wǎng)絡(luò)，并為之配好相應(yīng)的IP地址等網(wǎng)絡(luò)屬性以及需要的服務(wù)；(3)以送檢系統(tǒng)分發(fā)和操作文檔為依據(jù)，安裝送檢互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)'所信息安全管理系統(tǒng)；(4)若送檢的被測(cè)系統(tǒng)營(yíng)業(yè)場(chǎng)所端A為軟件，則為安裝該系統(tǒng)所準(zhǔn)備的主機(jī)軟硬件可完全依照需求進(jìn)行配置，同時(shí)將配置情況記入檢測(cè)原始記錄；(5)同步好檢測(cè)環(huán)境中所有主機(jī)的系統(tǒng)時(shí)鐘；(6)確認(rèn)送檢系統(tǒng)是否能正常運(yùn)行，得到確認(rèn)以后，準(zhǔn)備工作完成，可以開(kāi)始檢測(cè)。標(biāo)準(zhǔn)準(zhǔn)備在檢測(cè)時(shí)，檢測(cè)員尚需準(zhǔn)備好如下標(biāo)準(zhǔn)，并通讀標(biāo)準(zhǔn)，基本掌握標(biāo)準(zhǔn)內(nèi)容，以便查詢(xún)。(1)GA557-2005互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理代碼；(2)GA558-2005互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理系統(tǒng)數(shù)據(jù)交換格式；(3)GA559-2005互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理系統(tǒng)營(yíng)業(yè)場(chǎng)所端功能要求；(4)GA560-2005互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理系統(tǒng)營(yíng)業(yè)場(chǎng)所端與營(yíng)業(yè)場(chǎng)所經(jīng)營(yíng)管理系統(tǒng)接口技術(shù)要求；(5)GA561-2005互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理系統(tǒng)管理端功能要求；(6)GA562-2005互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理系統(tǒng)管理端接口技術(shù)要求；(7)GB/T2260中華人民共和國(guó)行政區(qū)劃代碼(8)GB2312-1980信息交換用漢字編碼字符集基本集(9)GB18030-2000信息技術(shù)信息交換用漢字編碼字符集基本集的擴(kuò)充(10)GA/Z02-2005公安業(yè)務(wù)基礎(chǔ)數(shù)據(jù)元素代碼集第二步、根據(jù)產(chǎn)品說(shuō)明書(shū)安裝被測(cè)系統(tǒng)；第三步、根據(jù)根據(jù)平臺(tái)設(shè)計(jì)的測(cè)試方法和測(cè)試用例樣例設(shè)計(jì)測(cè)試用例；根據(jù)每一條檢驗(yàn)依據(jù)制定出適合待檢測(cè)系統(tǒng)特點(diǎn)的測(cè)試用例。測(cè)試用例必須包含用例序號(hào)、用例作者、設(shè)計(jì)日期與具體的輸入輸出信息，以便減少測(cè)試的不確定性，并在追溯錯(cuò)誤時(shí)能將其再現(xiàn)。在測(cè)試用例編寫(xiě)時(shí)，有如下原則與方法可以參考(1)需仔細(xì)研究標(biāo)準(zhǔn)含義，分析在實(shí)際情況中可能出現(xiàn)的每一種情況，然后采用等價(jià)類(lèi)劃分的方法做較全面的覆蓋測(cè)試；(2)對(duì)具有臨界值的測(cè)試應(yīng)盡可能采用邊界值的方法進(jìn)行測(cè)試；(3)依據(jù)平時(shí)檢測(cè)的經(jīng)驗(yàn)，可以用錯(cuò)誤推測(cè)法追加一些測(cè)試用例；(4)建議根據(jù)業(yè)務(wù)流的規(guī)律，整理每條業(yè)務(wù)流所對(duì)應(yīng)的標(biāo)準(zhǔn)功能點(diǎn)，依據(jù)業(yè)務(wù)流來(lái)進(jìn)行檢測(cè)，將由于避免了重復(fù)檢測(cè)而比按標(biāo)準(zhǔn)逐點(diǎn)檢測(cè)減少工作量。第四步、根據(jù)設(shè)計(jì)的測(cè)試用樣例對(duì)營(yíng)業(yè)場(chǎng)所信息安全管理功能進(jìn)行檢驗(yàn)，其分為兩部分，即有害信息過(guò)濾的檢驗(yàn)和上網(wǎng)日志管理的檢驗(yàn)。(1)有害信息過(guò)濾檢驗(yàn)檢驗(yàn)依據(jù)-營(yíng)業(yè)場(chǎng)所端按照管理端設(shè)置的過(guò)濾策略，能夠?qū)τ泻π畔⑦M(jìn)行過(guò)濾。過(guò)濾策略包括過(guò)濾條件和過(guò)濾動(dòng)作。過(guò)濾條件是指特定的URL或者特定的IP地址等。營(yíng)業(yè)場(chǎng)所端設(shè)置過(guò)濾策略。根據(jù)有關(guān)法律、法規(guī)規(guī)定的有害信息，營(yíng)業(yè)場(chǎng)所端能夠設(shè)置相應(yīng)的過(guò)濾規(guī)則庫(kù)(過(guò)濾策略庫(kù))，缺省規(guī)則條目不少于IO萬(wàn)條；營(yíng)業(yè)場(chǎng)所端過(guò)濾指標(biāo)。規(guī)則條目為IO萬(wàn)條時(shí)，有害信息過(guò)濾率不得低于98%,合法網(wǎng)址誤濾率不得高于2%。檢驗(yàn)原理關(guān)于有害信息過(guò)濾的檢驗(yàn)依據(jù)從原理上講可分為以下幾部分的內(nèi)容(1)過(guò)濾有效性；(2)過(guò)濾庫(kù)規(guī)模；(3)漏報(bào)率；(4)誤報(bào)率；因此，在設(shè)計(jì)檢驗(yàn)方法的時(shí)候，也需要針對(duì)以上內(nèi)容進(jìn)行設(shè)計(jì)。對(duì)應(yīng)關(guān)系如下<table>tableseeoriginaldocumentpage12</column></row><table>而相應(yīng)的測(cè)試用例所遵循的基本原則則做如卞歸類(lèi):基本原則方法歸類(lèi)直接驗(yàn)證E等價(jià)類(lèi)劃分A、B、C、D邊界值錯(cuò)誤推測(cè)A檢驗(yàn)方法在管理端B設(shè)置URL和IP地址的過(guò)濾策略并下發(fā)至營(yíng)業(yè)場(chǎng)所端A，在終端A上測(cè)試策略中被過(guò)濾的URL或者IP地址是否能訪問(wèn)。若系統(tǒng)不能過(guò)濾規(guī)則中設(shè)置的有害信息，本項(xiàng)判為不合格。根據(jù)有關(guān)法律、法規(guī)規(guī)定的有害信息的分類(lèi)制定的缺省過(guò)濾規(guī)則庫(kù)。若無(wú)缺省的過(guò)濾規(guī)則庫(kù)或者缺省規(guī)則條目不足10萬(wàn)條，本項(xiàng)判為不合格。檢驗(yàn)缺省過(guò)濾規(guī)則庫(kù)，使用庫(kù)中存在的規(guī)則測(cè)試有害信息過(guò)濾率，使用庫(kù)中不存在的規(guī)則測(cè)試合法信息誤濾率。采用抽查方法，以1000條為基數(shù)進(jìn)行測(cè)試，若有害信息過(guò)濾率小于98%或合法信息誤濾率大于2%，本項(xiàng)判為不合格。若手工抽檢，基數(shù)可適當(dāng)減少。根據(jù)上述原理設(shè)計(jì)的測(cè)試用樣例如表2所示表2有害信息過(guò)濾<table>tableseeoriginaldocumentpage12</column></row><table><table>tableseeoriginaldocumentpage13</column></row><table>該表給出的測(cè)試用例是針對(duì)營(yíng)業(yè)場(chǎng)所端系統(tǒng)有害信息過(guò)濾測(cè)試，該樣例測(cè)試時(shí)在管理端B設(shè)置URL和IP地址的過(guò)濾策略并下發(fā)至營(yíng)業(yè)場(chǎng)所端A，在終端A上測(cè)試策略中被過(guò)濾的URL或者IP地址是否能訪問(wèn)。若系統(tǒng)不能過(guò)濾規(guī)則中設(shè)置的有害信息，本項(xiàng)判為不合格。所得到的測(cè)試結(jié)果記入到表中的相應(yīng)欄目。2.上網(wǎng)日志管理檢驗(yàn)檢驗(yàn)依據(jù)上網(wǎng)日志信息的內(nèi)容包括本營(yíng)業(yè)場(chǎng)所內(nèi)上網(wǎng)人員上網(wǎng)登錄信息、上網(wǎng)人員操作摘要信息等有關(guān)記錄上網(wǎng)人員基本情況和上網(wǎng)內(nèi)容的信息；營(yíng)業(yè)場(chǎng)所端自動(dòng)生成上網(wǎng)人員日志，生成的日志信息存儲(chǔ)于本地掉電非遺失性存儲(chǔ)介質(zhì)中，日志敏感信息得到妥善保護(hù)，不得遺失、損壞；日志記錄至少應(yīng)包含表3與表4的內(nèi)容；表3<table>tableseeoriginaldocumentpage13</column></row><table>4記錄時(shí)間日期時(shí)間14GA/Z02—2005互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理代碼第5部分服務(wù)類(lèi)型代碼5上網(wǎng)終端MAC地址字符126目的IP地址字符39表示方法同本表第2項(xiàng)端口號(hào)字符8服務(wù)類(lèi)型字符4GA557.5-20059關(guān)鍵詞1字符60具體內(nèi)容要求見(jiàn)表6。HTTP:不記錄以JPG、SWF、GIF、PNG等為后綴的URL10關(guān)鍵詞2字符2011關(guān)鍵詞3字符1表4網(wǎng)絡(luò)服務(wù)類(lèi)型關(guān)鍵詞l關(guān)鍵詞2關(guān)鍵詞30000所有類(lèi)型內(nèi)容關(guān)鍵詞無(wú)內(nèi)容無(wú)內(nèi)容0001HTTPURL無(wú)內(nèi)容無(wú)內(nèi)容或1:GET2:POST0002FTP服務(wù)器的IP地址或域名帳號(hào)無(wú)內(nèi)容或1:登錄2:退出0003SMTP服務(wù)器的IP地址或域名帳號(hào)(不含"@"及其后的服務(wù)名)無(wú)內(nèi)容或1:登錄2:退出0004POP/POP30005IMAP0006WEBMAIL0007TELNET服務(wù)器的IP地址或域名帳號(hào)無(wú)內(nèi)容或1:登錄2:退出14<table>tableseeoriginaldocumentpage15</column></row><table>營(yíng)業(yè)場(chǎng)所端存儲(chǔ)60天內(nèi)上網(wǎng)人員日志信息；采取技術(shù)措施，防止日志信息被任何人修改、增加、刪除；系統(tǒng)自動(dòng)進(jìn)行定期上網(wǎng)日志信息的備份、刪除等管理操作；非授權(quán)用戶(hù)不得查詢(xún)?nèi)罩拘畔?，采取技術(shù)措施確保日志信息不被非法訪問(wèn)；授權(quán)用戶(hù)在本地進(jìn)行日志管理，支持授權(quán)用戶(hù)進(jìn)行端遠(yuǎn)程日志信息査詢(xún)；支持對(duì)日志信息的單項(xiàng)查詢(xún)、多項(xiàng)組合查詢(xún)、模糊查詢(xún)。查詢(xún)關(guān)鍵詞至少應(yīng)包括表5的內(nèi)容。表5<table>tableseeoriginaldocumentpage15</column></row><table>檢驗(yàn)原理:關(guān)于上網(wǎng)日志管理的檢驗(yàn)依據(jù)從原理上講可分為以下幾部分的內(nèi)容(1)曰志內(nèi)容；(2)日志生成與存儲(chǔ)方式；(3)日志數(shù)據(jù)結(jié)構(gòu)；(4)日志有效期；(5)日志管理；(6)日志查詢(xún)；因此，在設(shè)計(jì)檢驗(yàn)方法的時(shí)候，也需要針對(duì)以上內(nèi)容進(jìn)行設(shè)計(jì)。對(duì)應(yīng)關(guān)系如下:依據(jù)原理方法原理日志內(nèi)容模擬觸發(fā)日志事件(A)日志生成與存儲(chǔ)方式方式驗(yàn)證(B)日志數(shù)據(jù)結(jié)構(gòu)數(shù)據(jù)結(jié)構(gòu)查看(c)文檔驗(yàn)證日志有效期時(shí)間測(cè)算(D)(G)日志管理對(duì)數(shù)據(jù)操作(E)曰志查詢(xún)對(duì)數(shù)據(jù)査詢(xún)(F)而相應(yīng)的測(cè)試用例所遵循的基本原則則做如下歸類(lèi):基本原則方法歸類(lèi)直接驗(yàn)證B、C、D、G等價(jià)類(lèi)劃分A、E、F邊界值錯(cuò)誤推測(cè)A、E、F檢驗(yàn)方法模擬人員上網(wǎng)的過(guò)程(從進(jìn)入營(yíng)業(yè)場(chǎng)所登錄信息開(kāi)始)，使用互聯(lián)網(wǎng)時(shí)涵蓋了表4中涉及的協(xié)議和工具，查詢(xún)營(yíng)業(yè)場(chǎng)所端自動(dòng)生成的相關(guān)日志，檢驗(yàn)曰志是否存儲(chǔ)于本地掉電非遺失性存儲(chǔ)介質(zhì)中，日志敏感信息得到妥善保護(hù)，曰志內(nèi)容是否包括了表3的所有要求和表4的主要內(nèi)容。若日志文件不存儲(chǔ)于本地掉電非遺失性存儲(chǔ)介質(zhì)中，日志敏感信息沒(méi)有得到妥善保護(hù)，或者日志的內(nèi)容不符合表3的所有要求和表4的主要內(nèi)容，本項(xiàng)判為不合格。營(yíng)業(yè)場(chǎng)所端開(kāi)發(fā)商提供文檔，詳細(xì)說(shuō)明日志文件的保存時(shí)效、保護(hù)日志信息的技術(shù)措施，根據(jù)文檔，對(duì)日志文件進(jìn)行增、刪、改的操作。設(shè)置自動(dòng)備份、刪除日志的參數(shù)，檢驗(yàn)系統(tǒng)自動(dòng)進(jìn)行日志管理的功能。若開(kāi)發(fā)商不能提供文檔，或文檔描述與實(shí)際情況不符，本項(xiàng)判為不合格。若日志文件無(wú)保護(hù)措施，系統(tǒng)不能自動(dòng)備份、刪除日志，本項(xiàng)也判為不合格。營(yíng)業(yè)場(chǎng)所端開(kāi)發(fā)商提供文檔詳細(xì)說(shuō)明日志信息的訪問(wèn)控制機(jī)制，同時(shí)以非授權(quán)用戶(hù)查詢(xún)?nèi)罩拘畔?。若開(kāi)發(fā)商不能提供文檔，或文檔描述與實(shí)際情況不符，本項(xiàng)判為不合格。若非授權(quán)用戶(hù)可以訪問(wèn)、査詢(xún)?nèi)罩拘畔ⅲ卷?xiàng)判為不合格。以授權(quán)用戶(hù)在本地進(jìn)行日志管理；設(shè)置遠(yuǎn)程日志管理參數(shù)，以授權(quán)用戶(hù)進(jìn)行遠(yuǎn)程日志查詢(xún)。若授權(quán)用戶(hù)不能在本地進(jìn)行日志管理或不能在遠(yuǎn)程進(jìn)行査詢(xún)，本項(xiàng)判為不合格。以表5中所列的關(guān)鍵詞對(duì)日志信息進(jìn)行單項(xiàng)査詢(xún)、多項(xiàng)組合查詢(xún)、模糊査詢(xún)。若日志信息不能進(jìn)行單項(xiàng)査詢(xún)、多項(xiàng)組合查詢(xún)、模糊查詢(xún)，或不能按照表5中的關(guān)鍵詞進(jìn)行蠶詢(xún)，本項(xiàng)判為不合格。上網(wǎng)日志管理測(cè)試用例樣例如表6所示表6日志查詢(xún)用例序號(hào)用例作者設(shè)計(jì)日期頂'J試人員輸入預(yù)期輸出實(shí)際結(jié)果53201姓名=張三張三的全部上網(wǎng)記錄53202證件類(lèi)型=111號(hào)碼=110101197704140028同上53203證件類(lèi)型-in號(hào)碼=110101197704140028上網(wǎng)時(shí)間段1/1/20063:05PM—1/1/20066:15PM張三在1/1/20063:05PM—1/1/20066:15PM的全部上網(wǎng)記錄53204IP=192.168.0.1終端機(jī)E的全部17<table>tableseeoriginaldocumentpage18</column></row><table>該表中給出的測(cè)試用例是針對(duì)營(yíng)業(yè)場(chǎng)所端系統(tǒng)對(duì)終端機(jī)E、F上網(wǎng)日志查詢(xún)功能的檢測(cè)，該表中給出了9個(gè)測(cè)試用例1、在管理端B進(jìn)行上網(wǎng)日志査詢(xún)，輸入姓名張三，預(yù)期將會(huì)輸出張三在終端機(jī)E、F全部的上網(wǎng)記錄，若實(shí)際操作后，等到的結(jié)果一致則檢驗(yàn)合格，反之不合格。2、在管理端B進(jìn)行上網(wǎng)日志査詢(xún)，輸入證件類(lèi)型111，號(hào)碼110101197704140028，預(yù)期將會(huì)輸出張三在終端機(jī)E、F全部的上網(wǎng)記錄，若實(shí)際操作后，等到的結(jié)果一致則檢驗(yàn)合格，反之不合格。3、在管理端B進(jìn)行上網(wǎng)日志査詢(xún)，輸入證件類(lèi)型111，號(hào)碼110101197704140028以及上網(wǎng)時(shí)間段1/1/20063:05PM-1/1/20066:15PM;根據(jù)這些信息，預(yù)期將會(huì)輸出張三在1/1/20063:05PM-1/1/20066:15PM的全部上網(wǎng)記錄，若實(shí)際操作后，等到的結(jié)果一致則檢驗(yàn)合格，反之不合格。4、在管理端B進(jìn)行上網(wǎng)日志査詢(xún)，輸入信息IP=192.168.0.1，根據(jù)該信息，預(yù)期將會(huì)輸出終端機(jī)E的全部上網(wǎng)日志，若實(shí)際操作后，等到的結(jié)果一致則檢驗(yàn)合格，反之不合格。5、在管理端B進(jìn)行上網(wǎng)日志查詢(xún)，輸入信息機(jī)器號(hào)0001，上網(wǎng)時(shí)間段1/1/20063:05PM-1/1/20066:15PM;根據(jù)該信息，預(yù)期將會(huì)輸出終端機(jī)E在1/1/20063:05PM-1/1/20066:15PM的全部上網(wǎng)記錄，若實(shí)際操作后，等到的結(jié)果一致則檢驗(yàn)合格，反之不合格。6、在管理端B迸行上網(wǎng)日志査詢(xún)，輸入信息MAC地址00061BD93BD4，上網(wǎng)時(shí)間段1/1/20063:05PM-1/1/20066:15PM;根據(jù)該信息，預(yù)期將會(huì)輸出終端機(jī)E在1/1/20063:05PM-1/1/20066:15PM的全部上網(wǎng)記錄，若實(shí)際操作后，等到的結(jié)果一致則檢驗(yàn)合格，反之不合格。7、在管理端B進(jìn)行上網(wǎng)日志查詢(xún)，輸入信息姓名張三，目的地址202.127.0.99;根據(jù)該信息，預(yù)期將會(huì)輸出張三連接202.127.0.99的全部上網(wǎng)記錄，若實(shí)際操作后，等到的結(jié)果一致則檢驗(yàn)合格，反之不合格。8、在管理端B進(jìn)行上網(wǎng)日志査詢(xún)，輸入信息姓名張三，目的地址202.127.0.99，服務(wù)http;根據(jù)這些信息，預(yù)期將會(huì)輸出張三http連接202.127.0.99的全部上網(wǎng)記錄，若實(shí)際操作后，等到的結(jié)果一致則檢驗(yàn)合格，反之不合格。9、在管理端B進(jìn)行同音模糊査詢(xún)，輸入姓名張散，根據(jù)這些信息，預(yù)期將會(huì)輸出張散、章三、張三......的全部上網(wǎng)記錄，若實(shí)際操作后，等到的結(jié)果一致則檢驗(yàn)合格，反之不合格。將上述測(cè)試?yán)慕Y(jié)果記入表中，并根據(jù)結(jié)果判斷營(yíng)業(yè)場(chǎng)所端系統(tǒng)該項(xiàng)功能是否合格。以上顯示和描述了本發(fā)明的基本原理和主要特征和本發(fā)明的優(yōu)點(diǎn)。本行業(yè)的技術(shù)人員應(yīng)該了解，本發(fā)明不受上述實(shí)施例的限制，上述實(shí)施例和說(shuō)明書(shū)中描述的只是說(shuō)明本發(fā)明的原理，在不脫離本發(fā)明精神和范圍的前提下，本發(fā)明還會(huì)有各種變化和改進(jìn)，這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)。本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書(shū)及其等效物界定'權(quán)利要求1、互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理的檢驗(yàn)方法，該方法主要是在檢測(cè)平臺(tái)下進(jìn)行的，其特征在于，該方法主要包括以下步驟(1)構(gòu)建檢測(cè)環(huán)境，根據(jù)要求，構(gòu)建測(cè)試環(huán)境，包括為測(cè)試所需的軟硬件配置及其網(wǎng)絡(luò)結(jié)構(gòu)和安裝互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理系統(tǒng)管理端接口測(cè)試模塊；(2)安裝被檢測(cè)系統(tǒng)，根據(jù)系統(tǒng)產(chǎn)品說(shuō)明書(shū)進(jìn)行安裝需要檢測(cè)的系統(tǒng)；(3)設(shè)計(jì)測(cè)試用例，根據(jù)對(duì)照每一條檢驗(yàn)依據(jù)設(shè)計(jì)與該待測(cè)系統(tǒng)相適應(yīng)的測(cè)試用例，該測(cè)試用例必須包含用例序號(hào)、用例作者、設(shè)計(jì)日期與具體的輸入輸出信息，以便減少測(cè)試的不確定性，并在追溯錯(cuò)誤時(shí)能將其再現(xiàn)；(4)系統(tǒng)功能測(cè)試?yán)貌襟E(3)設(shè)計(jì)的測(cè)試用例對(duì)營(yíng)業(yè)場(chǎng)所信息安全管理功能進(jìn)行檢驗(yàn)。2、根據(jù)權(quán)利要求1所述的互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理的檢驗(yàn)方法，其特征在于，所述步驟(1)中構(gòu)建檢測(cè)環(huán)境時(shí)，由于接入機(jī)制的不同，被測(cè)系統(tǒng)營(yíng)業(yè)場(chǎng)所端設(shè)備一般有兩種接入系統(tǒng)的形式，方式一為串行形式，營(yíng)業(yè)場(chǎng)所端設(shè)備以網(wǎng)關(guān)/網(wǎng)橋的形式接于網(wǎng)絡(luò)出口處；方式二為并行形式，營(yíng)業(yè)場(chǎng)所端設(shè)備以監(jiān)聽(tīng)模式運(yùn)作于集線(xiàn)器/交換機(jī)。3、根據(jù)權(quán)利要求1所述的互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理的檢驗(yàn)方法，其特征在于，所述步驟(3)設(shè)計(jì)測(cè)試用例時(shí)采用等價(jià)類(lèi)劃分的方法以達(dá)到做較全面的覆蓋測(cè)試；同時(shí)對(duì)具有臨界值的測(cè)試應(yīng)盡可能采用邊界值的方法進(jìn)行測(cè)試。4、根據(jù)權(quán)利要求1所述的互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理的檢驗(yàn)方法，其特征在于，所述步驟(4)中信息安全管理功能的檢驗(yàn)包括有害信息過(guò)濾的檢驗(yàn)和上網(wǎng)日志管理的檢驗(yàn)。5、根據(jù)權(quán)利要求4所述的互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理的檢驗(yàn)方法，其特征在于，所述有害信息過(guò)濾的檢驗(yàn)方法包括以下步驟(11)在營(yíng)業(yè)場(chǎng)所端管理端設(shè)置過(guò)濾策略，并檢驗(yàn)是否能夠?qū)τ泻π畔⑦M(jìn)行過(guò)濾；該過(guò)濾策略包括過(guò)濾條件和過(guò)濾動(dòng)作；(12)檢驗(yàn)營(yíng)業(yè)場(chǎng)所端設(shè)置的過(guò)濾策略，即檢驗(yàn)營(yíng)業(yè)場(chǎng)所端能否設(shè)置相應(yīng)的過(guò)濾規(guī)則庫(kù)(過(guò)濾策略庫(kù))，且缺省規(guī)則條目不少于IO萬(wàn)條；(13)檢驗(yàn)營(yíng)業(yè)場(chǎng)所端過(guò)濾指標(biāo)，若規(guī)則條目為IO萬(wàn)條時(shí)，有害信息過(guò)濾率不得低于98%，合法網(wǎng)址誤濾率不得高于2%。6、根據(jù)權(quán)利要求5所述的互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理的檢驗(yàn)方法，其特征在于，所述過(guò)濾條件是指特定的URL或者特定的IP地址。7、根據(jù)權(quán)利要求4所述的互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理的檢驗(yàn)方法，其特征在于，所述上網(wǎng)日志管理的檢驗(yàn)方法包括以下步驟(21)檢驗(yàn)營(yíng)業(yè)場(chǎng)所端自動(dòng)生成的上網(wǎng)人員日志，檢驗(yàn)生成的日志信息是否存儲(chǔ)于本地掉電非遺失性存儲(chǔ)介質(zhì)中，日志敏感信息得到妥善保護(hù)，不得遺失、損壞；同時(shí)檢驗(yàn)日志記錄的內(nèi)容；(22)檢驗(yàn)營(yíng)業(yè)場(chǎng)所端是否能夠存儲(chǔ)60天內(nèi)上網(wǎng)人員日志信息；(23)檢驗(yàn)營(yíng)業(yè)場(chǎng)所端是否能夠防止日志信息被任何人修改、增加、刪除，以及是否能夠自動(dòng)進(jìn)行定期上網(wǎng)日志信息的備份、刪除等管理操作；(24)檢驗(yàn)營(yíng)業(yè)場(chǎng)所端是否能夠確保日志信息不被非法訪問(wèn)；(25)檢驗(yàn)營(yíng)業(yè)場(chǎng)所端是否支持授權(quán)用戶(hù)進(jìn)行端遠(yuǎn)程日志信息查詢(xún)，同時(shí)支持對(duì)日志信息的單項(xiàng)查詢(xún)、多項(xiàng)組合査詢(xún)、模糊查詢(xún)。8、根據(jù)權(quán)利要求7所述的互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理的檢驗(yàn)方法，其特征在于，所述査詢(xún)時(shí)的關(guān)鍵詞至少應(yīng)包括上網(wǎng)人員姓名、上網(wǎng)人員證件類(lèi)型及號(hào)碼、上網(wǎng)時(shí)間段、上網(wǎng)終端內(nèi)網(wǎng)IP地址、上網(wǎng)終端號(hào)、上網(wǎng)終端MAC地址、目的IP地址、服務(wù)類(lèi)型。全文摘要本發(fā)明公開(kāi)了互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理的檢驗(yàn)方法，該方法主要是在檢測(cè)平臺(tái)下進(jìn)行的，該方法包括以下步驟(1)構(gòu)建檢測(cè)環(huán)境，(2)安裝被檢測(cè)系統(tǒng)，(3)設(shè)計(jì)測(cè)試用例(4)系統(tǒng)功能測(cè)試?yán)貌襟E(3)設(shè)計(jì)的測(cè)試用例對(duì)營(yíng)業(yè)場(chǎng)所信息安全管理功能進(jìn)行檢驗(yàn)。本方法能夠?qū)ヂ?lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所信息安全管理系統(tǒng)的功能和性能進(jìn)行評(píng)測(cè)和檢查。文檔編號(hào)H04L12/26GK101465764SQ20081020819公開(kāi)日2009年6月24日申請(qǐng)日期2008年12月30日優(yōu)先權(quán)日2008年12月30日發(fā)明者臻陸,健顧申請(qǐng)人:公安部第三研究所