四川省无线电管理委员会管理信息系统

——四川省无线电管理委员会

四川省信息安全测评中心受四川省无线电管理委员会办公室委托，对该单位的“四川省无线电管理委员会管理信息系统”进行综合测评。

项目背景

随着蜂窝移动电话、无线电寻呼基站、寻呼以及其它无线电通信业务如卫星通信、微波通信和广播电视的迅速发展。对无线电频率资源的合理利用、无线电监测、无线电管理也提出了越来越高的要求。四川省无线电管理委员会管理信息系统的建设，可以使我省无线电管理水平大大提高，使宝贵的无线电频谱资源等到更加合理、有效地利用，使无线电技术设施建设能够基本适应无线电管理工作的需要，满足复杂的无线电环境对管理的要求。

该系统的子系统包括：四川无线电管理地理信息系统、四川无线电管理地理信息系统数据管理及地图编辑系统、电子邮件系统、WWW网站前台、四川无线电管理办公自动化系统、无线电台站管理系统、AAA系统和赛门铁克网络防病毒系统。

主要测试依据

Ø       GB/T 18336-2001《信息技术安全技术 信息技术安全性评估准则》

Ø       BMB5－2000   《涉密信息设备使用现场的电磁泄漏发射防护要求》

Ø       四川省无线电管理委员会子系统使用说明书

Ø       GB/T20270-2006《信息安全技术网络基础安全技术要求》

测试方案

无委会信息管理系统包含的子系统数量较多，系统内部结构复杂、应用种类繁多。将测试任务分解为三期实施来解决该系统测评中构件安全性与整体安全性的关系。将整个系统的安全策略、威胁、系统的拓扑结构、系统各组件之间的连接等问题划分到环境、网络结构、管理、功能、安全性等方面进行集中测试。通过对该系统的物理环境和网络环境进行检查，对系统的漏洞进行扫描，依次对系统的各管理子系统进行安全性测试和功能测试，依据测试结果对管理信息系统总体安全性进行评估，通过测试了解整个系统的运行状况和安全防护的能力。

测试结论

四川省无线电管理委员会管理信息系统处于国家无线电管理专网之中，专用网络与国际互联网物理隔离，专网中包含的7个业务系统主要的功能能够正常实现，基本满足业务的需求。WWW网站系统是由四川省无线电管理委员会自主搭建、管理的可控系统，该子系统的运行正常、稳定，被测主要功能点能够正常实现。系统整体运行正常，系统软、硬件环境能够满足系统运行的需求。

测试表明系统总体处于比较安全的级别，具备了一定的安全保护机制和措施，其中部门子系统通过使用USBKEY或用户名密码验证机制，保证了系统的使用安全。赛门铁克网络防病毒系统在所有服务器以及客户终端上进行了安装，定期从防病毒服务器上进行在线升级，有效保证了系统防病毒的能力。外网系统较专网内系统容易受到更大的威胁，WWW网站系统提供了身份鉴别机制和审计日志记录，系统具备一定的安全保护机制。再者专网信息系统和外网信息系统物理隔离，使得系统安全性得到有效的提高。

四川省党员干部现代远程教育省级辅助教学网站

——省委远程办

受省委远程办的委托，四川省信息安全中心对“四川省党员干部现代化远程教育省级辅助教学网站”进行了系统安全测试。

项目介绍

四川省党员干部现代远程教育辅助教学网站是中组部关于开展农村党员干部现代远程教育方案中的试点之一，是作为推进社会主义新农村建设的基础工程。四川省党员干部现代远程教育省级辅助教学网站充分利用现代远程教育信息量大、覆盖面广、方便快捷、生动直观等优势，为提高党员干部队伍整体素质和增强基层党组织的凝聚力、创造力有着重要的积极作用。

四川省党员干部现代远程教育辅助教学网站由两部分组成，一部分是客户端页面显示和数据的提交，另外一部分是后台数据维护。网站前台功能包括了视频点播、视频交互等功能。中心网站后台支撑系统主要部分包括了内容管理与信息发布系统、多媒体等多个系统。资源库主要向辅助教学网站提供各种符合播出要求的IP数据广播节目、电视广播节目和语音广播节目。提供教学资源服务。

主要测试依据

Ø       GB/T 18336－2001 《信息技术 安全技术 信息技术安全性评估准则》

Ø       《四川省党员干部现代远程教育省级辅助教学网站、资源库、VOD媒体点播系统需求说明书》

Ø       GB/T 17544－1998 《信息技术、软件包、质量要求和测试》

Ø       GB/T 20271-2006   《信息安全技术信息系统通用安全技术要求》

测试方案

根据该项目的测试需求和系统特点，采取了对系统功能、性能、安全性、易用性和用户文档五个方面的测试内容。在功能测试中，主要是针对网站系统前台功能、后台管理功能及资源库数据管理功能进行测试，

在性能测试中，采用了美国MercuryInterative 公司的自动化测试工具LoadRunner，通过模拟实际用户的行为，对系统进行负载测试、压力测试、疲劳强度等性能测试。获取测试数据，得出在目前各项硬件、网络环境下应用系统的性能表现。通过对测试数据的分析找出系统性能缺陷，由此对具体缺陷提出整改建议。

在安全性测试项中，首先通过系统安全需求的明确了解了安全策略和整体系统设备配置以及已经发生的安全事情。由此从信息安全管理、安全审计、灾难恢复、系统漏洞扫描等11个方面对该系统的安全情况做了实际测评，其中，通过调查和验证多个过程对人员安全管理、软件安全管理、应用系统安全管理等方面实现了测评信息系统安全的组织和信息系统安全的管理。

测试结论

“四川省党员干部现代远程教育省级辅助教学网站”基于动态WEB的管理模式，采用Brower/Server(浏览器/服务器)架构、PHP技术和后台数据库Mysql联合开发，客户端通过浏览器远程登录进行远程教学和其它业务处理。通过测试，该系统实现了《四川省党员干部现代远程教育省级辅助教学网站、资源库、VOD媒体点播系统需求说明书》中的主要内容（通过为90.48%，基本通过为9.52%，不通过为0），表明该系统能够满足需求，运行正常。

性能测试方面，在整个压力测试过程中，被测试系统的性能比较稳定，系统软件能够持续正常运行，被测试应用服务器CPU占用率平均值范围为1.94%~47.2%。在疲劳强度测试过程中，应用服务器和数据库服务器运行稳定，成功执行并发操作12个小时后，系统运转正常。

系统安全性测试从安全策略、信息安全管理、安全审计、物理安全、人员安全管理、软件安全管理、应用系统安全管理、技术文档安全管理、灾难恢复计划、系统漏洞扫描和渗透性测试，共十个方面进行系统安全测评，测试结果通过率为65.74%，基本通过为26.85%。