《三所等保测评工具服务版》由会员分享,可在线阅读,更多相关《三所等保测评工具服务版(14页珍藏版)》请在金锄头文库上搜索。
1、三所等保测评工具服务版1 产品背景及概述1.1 产品背景 随着信息技术的迅猛发展和广泛应用,特别是我 国国民经济和社会信息化进程的全面加快,网络 与信息系统的基础性、全局性作用日益增强,信 息网络已成为国家和社会发展新的重要战略资 源。党中央、国务院始终高度重视信息安全问题, 多次指示公安部会同有关部委制定有效措施,切 实加强管理,提高我国计算机信息系统安全保护 水平,以确保社会政治稳定和经济建设的顺利进 行。2003 年 8 月,国家信息化领导小组关于加强信 息安全保障工作的意见(中办发 200327 号) 明确指出信息安全保障工作要“实行信息安全等 级保护”。信息安全等级保护制度已经成为我
2、国 信息安全保护工作的基本国策,实行信息安全等 级保护具有重大的现实和战略意义。 为了进一 步推动等级保护工作的进展,公安部、国家保密 局、国家密码管理委员会办公室和国务院信息化 工作办公室于 2004 年联合下发了关于信息安 全等级保护工作的实施意见,明确指出要在三 年内在全国范围内推广等级保护制度。为了规范和指导各地的等级保护工作,公安部、 全国信息安全标准化技术委员会委托公安部信 息安全等级保护评估中心(以下简称评估中心) 制定了一系列等级保护相关标准和文件。目前, 国家推荐标准信息系统安全保护等级定级指 南、信息系统安全等级保护基本要求和信 息系统安全等级保护实施指南已经完成报批 稿,
3、信息系统安全等级保护测评准则已经完 成征求意见稿。2006 年 8 月,公安部、国家保密局、国家密码 局和国务院信息化办公室联合在北京举行了“信 息安全等级保护工作会议”,向来自全国各地和 各重要部委的近 200 名信息化工作主管、领导颁 发了信息安全等级保护试点工作实施方案, 涉及系统定级、等级测评、制度建设、系统改建、 备案与监督检查等多项等级保护工作。 同时, 为了加强信息安全等级保护工作的组织领导,国 家成立了由公安部副部长张新枫任组长,公安 部、国家保密局、国家密码局和国务院信息化办 公室有关局级领导为成员的信息安全等级保护 协调小组,协调小组办公室设在公安部公共信息 网络安全监察局
4、。试点工作的经验表明,等级测评活动是确保信息 安全等级保护工作的关键环节。等级测评能够帮 助信息系统的运营、使用单位进行信息系统安全 自查,了解系统的安全现状与国家要求之间的差 距,明确安全整改的目标与方向。市场调查表明,目前信息安全相关的商用测评工 具主要集中在漏洞扫描和问卷评估系统等方面, 无法准确、全面的提供信息系统安全等级保护的 整体测评结论。由于信息安全等级保护制度已经成为我国信息 安全保护工作的基本国策,国家相关文件规定信 息系统必须定期进行自查和定期委托专业测评 机构进行等级符合性测评。为了确保信息安全等 级保护工作的顺利开展,实现国家在三年内全面 实施信息安全等级保护工作的目标
5、,迫切需要信 息系统等级保护测评的专用工具,作为信息系统 等级测评支撑工具,为提供信息系统的运营单 位、使用单位、安全服务机构、安全测评机构、 重要行业的主管部门以及国家信息安全监管机 构等部门,用于定期测试或符合性测评。 因此,专用测评工具将成为信息系统的运营单 位、使用单位、安全服务机构、安全测评机构、重要行业的主管部门以及国家信息安全监管机 构等部门的必备工具,是信息安全等级保护工作 的顺利开展和完成不可或缺的保障。71.2 海盾系列信息系统安全等级保护测评工具软件 是在国内领先的等保测评专家团队在深入分析 等级保护技术要求、国内信息系统面临安全威胁 和典型案例的基础上研制而成。作为国内
6、领先的 等保测评工具软件,不仅提供了详细的操作流 程、步骤说明,还具有融合自动化工具和第三方 安全检查工具检查、扫描的功能,能够有效协助 使用者按照等级保护标准要求推进信息系统安 全等级保护工作。本软件产品的原型来源于国家高技术研究发展 计划(863计划)课题等级保护体系模型、测 评方法与支撑工具研究(2007年01月10日, 课题编号:2006AA01Z450)和国家发改委国家信 息安全专项项目(发改办高技 20072035 号 文)。软件产品吸取了专家组的意见和建议,在l=JI公安部信息安全等级保护评估中心的指导下,经 过功能完善、适应测评工作指南要求、调整报告 格式等大量工作,最终形成了
7、可以为等级测评提 供支持和服务的系列工具,并已投入多个测评项 目实际应用。海盾系列工具软件主要面向信息系统运营使用 单位的安全管理人员和测评机构的测评技术人 员,指导他们按照标准和规范的测评方法进行测 评或自测,并能实现测评的数据、过程标准化管 理。本产品名称为“信息系统安全等级测评工具-服 务版(Information Systems ClassifiedSecurity Protection Evaluation Utility for Organization),简称等保测评工具服务版,产 品编码为CRIT-CS-TB。2产品目标及策略2.1产品目标配合信息安全等级保护体系的贯彻和实施,
8、需要 根据等级保护的标准体系,开发一系列辅助的工 具,为:等级测评服务机构; 监管部门;信息系统运行维护管理部门;行业主管部门; 提供测评和监督检查的辅助工具,以使相关单位和部门能够尽快掌握相关的评估测试技术标准 与标准知识的应用,提高信息系统安全测评和检 查的水平,并增加这些环节的工作效率,提高自 动化程度。等保测评支撑工具-服务版是为等级测评服务机 构提供服务的,主要目标用户为:行业内信息系 统等级安全保护评估、服务及管理人员。2.2产品策略本服务版系统是一款相对独立运行的软件,可独 立于等保测评支撑工具项目的其他版本系统而 运行,系统升级和维护应优先考虑离线安全升级 维护方式,也可提供基
9、于安全虚拟专网的加密传 输升级。在管理员操作系统的时候,需通过本系统才可登 录。也就是说,在服务系统管理上,具有认证、 授权、审计等安全特性。系统具有如下特点: 对系统操作人员所有维护动作、操作可进行审 计;为方便用户的使用,提供XLS格式的文件数据导 入模式。安全性方面扩展功能:用户登录可采用USBKey等强认证方式;离线数据的上传与下载可利用USBKey内置 证书采用PKI体制增强安全性;软件产品采用组件化的软件架构,可以通过组件 扩充测评方法、数据分析与融合算法、报告生成 方法知识库包含安全产品测评与系统测评知识, 支持XML的知识表示;支持等级保护体系模型中的测评方法; 支持智能的结构
10、化分析方法,能综合单独测 评结果形成系统整体测评结论;灵活可定制的报表功能,支持Word、HTML、 PDF等多种格式导出;提供API扩展接口,可以方便地驳接第三方 软件工具(如扫描工具、渗透测试工具)等; 具有数据导入、导出接口,测评结果可以导出到 其它系统;客户化定制功能,可根据组件配置选择,形 成多个功能版本(包括知识库定制)或具有行业 特色内容的版本等。后续策略将根据市场反馈进一步及时升级和更 3产品执行标准中华人民共和国计算机信息系统安全等级保 护条例,1994国家信息化领导小组关于加强信息安全保障 工作意见(中发办200327号)关于信息安全等级保护工作实施意见(公通 字20046
11、6 号)等级保护管理办法(公通字200743号) 信息安全等级保护管理办法(试行) 计算机信息系统等级保护划分准则GB17859 信息系统安全等级保护实施指南(送审稿) 信息系统安全保护等级定级指南(GB/T 22240-2008)信息系统安全等级保护基本要求(GB/T 22239-2008)信息系统安全等级保护测评要求(送审稿)GA/T 387-2002计算机信息系统安全等级保 护网络技术要求GA 388-2002计算机信息系统安全等级保护 操作系统技术要求GA/T 389-2002计算机信息系统安全等级保 护数据库管理系统技术要求GA/T 390-2002计算机信息系统安全等级保护通用技术
12、要求GA 391-2002计算机信息系统安全等级保护管理要求 4产品说明根据信息系统等级保护模型研究报告、信息 系统等级测评模型研究报告、等级保护测评工 作知识表达方法研究报告、等级保护测评知识 库与方法库设计报告的研究成果,支撑工具完 成了以下主要功能:通过选用测评对象选择方法和测评指标选择 方法方法库(内建于方法库中)的方法并计算, 可根据系统等级、威胁分析自动形成测评指标。根据知识库的测评指标知识内容,将测评指 标对应到测评对象,并自动生成测评方案。按照测评对象选择方法和内置的作业指导书 知识库,生成技术和管理两方面的测评检査表。支持漏洞扫描数据的导入,实现可扩展的API 接口,能实现1
13、个以上厂商工具的扫描数据导 入。通过测评分析和推理机的实现,调用内置测 评指标权重集知识库,可对测评结果进行汇总、 统计和计算,并按要求给出测评分析结论。自动生成测评报告,并根据要求输出指定格 式(Word、PDF、HTML)的数据。测评服务版工具分为测评管理系统和现场测评 系统2个产品子系统,测评管理系统放在测评机 构内部服务器上,主要完成项目管理和查询统计 等功能;每个项目需要下发调查工具(XLS格式 电子表格)给信息系统用户或测评项目小组,让 用户(由测评项目小组人员配合)将信息系统的 状况填写完成后上传到测评机构的测评管理系 统中;现场测评系统主要是辅助测评人员对信息 系统进行现场测评
14、分析,在测评完成时,需要将 各种辅助工具的测试结果导入到测评管理系统 中进行统一分析。3圈网 络测i+數据応制数据止一;皿敌据调育工具测评管理系统中心/测评扯期现场测评系统(项口纽枚相抿测评单世)安全等级测评匸具服务版产品部署服务版是等级测评系列中功能最齐全的工具,用 于测评机构(服务机构)对信息系统提供全面的、 公正的、有效的测评服务。解决系统全面测评工 作量大,系统数据多,分析困难,综合评判困难 等问题。服务版提供了访谈、检查和测试等评估方法,测 评人员在工具的引导下对信息系统、制度和人员 等进行全面的安全性证据的获取,并提供多种自 动化的测试手段,测评人员通过接入客户的信息 系统对目标网
15、络进行信息调查、安全漏洞分析或渗透攻击等测评活动,获取大量全面的系统安全性数据,同时测评人员在工具的引导下,手工输 入非工具自动收集的证据数据,在知识库的辅助 分析下,综合得出系统的安全现状和保护等级的 符合度,并以多种格式的测评报告形式输出测评 结果。威测评力宜图2结合测评工具的测评工作流程测泮融据导出|数脚T出丄-!爭场调$蛙厠,*、I XLSlft式呵酉忑默蝌:址制睥场#(许乘轨;I现场测评轨计弁折数业;导人调査数据雉护XLS:. tjJJ-制行堆护W7A现城词吃l&ftdl舌郭任务分削测汁数掘入任务分配调代煎船討入劇评邸卑舛圮編i制测评般什现场测评系统测评悸理系统调杳工具服务版的使用用户应具有基本的计算机信息安 全知识和数据库知识,熟悉数据库维护、备份与 恢复等,具有独立的工具软件使用维护基本能 力。5 结论 本文档阐述了海盾系列等级保护测评工具在信 息安全等级保护工作中的应用目的、方式和方 法。通过海盾系列等级保护测评工具在信息安全等 级保护测评工作中的实际应用和部署,可有效实 现等级测评工作的过程和数据管理,预防原始的 文档化操作造成的标准不一致、水平参差不齐、 易造成信息外泄等问题,实现对定级系统测评数 据的安全问题的
