信息系統(tǒng)安全等級(jí)測(cè)評(píng)工具.doc

文檔編碼crbj-pmd-psi項(xiàng)目管理號(hào)1001-gfcsp-tech信息系統(tǒng)安全等級(jí)測(cè)評(píng)工具【行業(yè)版】產(chǎn)品規(guī)格說(shuō)明書(shū)（psi）product specification instructions公安部第三研究所2010年07月06日版權(quán)所有 侵權(quán)必究產(chǎn)品規(guī)格說(shuō)明書(shū)（psi） 公安部第三研究所文檔信息文檔名稱產(chǎn)品規(guī)格說(shuō)明書(shū)（psi）文檔管理編號(hào)crbj-pmd-psi-1001-gfcsp-tech保密級(jí)別項(xiàng)目組文檔版本號(hào)1.0.0.0制作人制作日期復(fù)審人復(fù)審日期擴(kuò)散范圍擴(kuò)散批準(zhǔn)人版本變更記錄時(shí)間版本說(shuō)明修改人文檔送呈單位目的總辦匯報(bào)產(chǎn)品規(guī)格情況，供技術(shù)支持、售前使用研發(fā)部存檔及支持目錄1產(chǎn)品背景及概述11.1產(chǎn)品背景11.2產(chǎn)品概述12產(chǎn)品目標(biāo)及策略22.1產(chǎn)品目標(biāo)22.2產(chǎn)品策略33產(chǎn)品執(zhí)行標(biāo)準(zhǔn)44產(chǎn)品說(shuō)明55結(jié)論7- 9 -產(chǎn)品規(guī)格說(shuō)明書(shū)（psi） 公安部第三研究所1 產(chǎn)品背景及概述1.1 產(chǎn)品背景隨著信息技術(shù)的迅猛發(fā)展和廣泛應(yīng)用，特別是我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程的全面加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，信息網(wǎng)絡(luò)已成為國(guó)家和社會(huì)發(fā)展新的重要戰(zhàn)略資源。黨中央、國(guó)務(wù)院始終高度重視信息安全問(wèn)題，多次指示公安部會(huì)同有關(guān)部委制定有效措施，切實(shí)加強(qiáng)管理，提高我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)水平，以確保社會(huì)政治穩(wěn)定和經(jīng)濟(jì)建設(shè)的順利進(jìn)行。2003年8月，國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中辦發(fā)200327號(hào)）明確指出信息安全保障工作要“實(shí)行信息安全等級(jí)保護(hù)”。信息安全等級(jí)保護(hù)制度已經(jīng)成為我國(guó)信息安全保護(hù)工作的基本國(guó)策，實(shí)行信息安全等級(jí)保護(hù)具有重大的現(xiàn)實(shí)和戰(zhàn)略意義。為了進(jìn)一步推動(dòng)等級(jí)保護(hù)工作的進(jìn)展，公安部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)辦公室和國(guó)務(wù)院信息化工作辦公室于2004年聯(lián)合下發(fā)了關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)，明確指出要在三年內(nèi)在全國(guó)范圍內(nèi)推廣等級(jí)保護(hù)制度。為了規(guī)范和指導(dǎo)各地的等級(jí)保護(hù)工作，公安部、全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)委托公安部信息安全等級(jí)保護(hù)評(píng)估中心（以下簡(jiǎn)稱評(píng)估中心）制定了一系列等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和文件。目前，國(guó)家推薦標(biāo)準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南、信息系統(tǒng)安全等級(jí)保護(hù)基本要求和信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南已經(jīng)完成報(bào)批稿，信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則已經(jīng)完成征求意見(jiàn)稿。2006年8月，公安部、國(guó)家保密局、國(guó)家密碼局和國(guó)務(wù)院信息化辦公室聯(lián)合在北京舉行了“信息安全等級(jí)保護(hù)工作會(huì)議”，向來(lái)自全國(guó)各地和各重要部委的近200名信息化工作主管、領(lǐng)導(dǎo)頒發(fā)了信息安全等級(jí)保護(hù)試點(diǎn)工作實(shí)施方案，涉及系統(tǒng)定級(jí)、等級(jí)測(cè)評(píng)、制度建設(shè)、系統(tǒng)改建、備案與監(jiān)督檢查等多項(xiàng)等級(jí)保護(hù)工作。 同時(shí)，為了加強(qiáng)信息安全等級(jí)保護(hù)工作的組織領(lǐng)導(dǎo)，國(guó)家成立了由公安部副部長(zhǎng)張新楓任組長(zhǎng)，公安部、國(guó)家保密局、國(guó)家密碼局和國(guó)務(wù)院信息化辦公室有關(guān)局級(jí)領(lǐng)導(dǎo)為成員的信息安全等級(jí)保護(hù)協(xié)調(diào)小組，協(xié)調(diào)小組辦公室設(shè)在公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局。試點(diǎn)工作的經(jīng)驗(yàn)表明，等級(jí)測(cè)評(píng)活動(dòng)是確保信息安全等級(jí)保護(hù)工作的關(guān)鍵環(huán)節(jié)。等級(jí)測(cè)評(píng)能夠幫助信息系統(tǒng)的運(yùn)營(yíng)、使用單位進(jìn)行信息系統(tǒng)安全自查，了解系統(tǒng)的安全現(xiàn)狀與國(guó)家要求之間的差距，明確安全整改的目標(biāo)與方向。市場(chǎng)調(diào)查表明，目前信息安全相關(guān)的商用測(cè)評(píng)工具主要集中在漏洞掃描和問(wèn)卷評(píng)估系統(tǒng)等方面，無(wú)法準(zhǔn)確、全面的提供信息系統(tǒng)安全等級(jí)保護(hù)的整體測(cè)評(píng)結(jié)論。由于信息安全等級(jí)保護(hù)制度已經(jīng)成為我國(guó)信息安全保護(hù)工作的基本國(guó)策，國(guó)家相關(guān)文件規(guī)定信息系統(tǒng)必須定期進(jìn)行自查和定期委托專業(yè)測(cè)評(píng)機(jī)構(gòu)進(jìn)行等級(jí)符合性測(cè)評(píng)。為了確保信息安全等級(jí)保護(hù)工作的順利開(kāi)展，實(shí)現(xiàn)國(guó)家在三年內(nèi)全面實(shí)施信息安全等級(jí)保護(hù)工作的目標(biāo)，迫切需要信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)的專用工具，作為信息系統(tǒng)等級(jí)測(cè)評(píng)支撐工具，為提供信息系統(tǒng)的運(yùn)營(yíng)單位、使用單位、安全服務(wù)機(jī)構(gòu)、安全測(cè)評(píng)機(jī)構(gòu)、重要行業(yè)的主管部門以及國(guó)家信息安全監(jiān)管機(jī)構(gòu)等部門，用于定期測(cè)試或符合性測(cè)評(píng)。因此，專用測(cè)評(píng)工具將成為信息系統(tǒng)的運(yùn)營(yíng)單位、使用單位、安全服務(wù)機(jī)構(gòu)、安全測(cè)評(píng)機(jī)構(gòu)、重要行業(yè)的主管部門以及國(guó)家信息安全監(jiān)管機(jī)構(gòu)等部門的必備工具，是信息安全等級(jí)保護(hù)工作的順利開(kāi)展和完成不可或缺的保障。1.2 產(chǎn)品概述信息系統(tǒng)安全等級(jí)測(cè)評(píng)工具(行業(yè)版)是在國(guó)內(nèi)領(lǐng)先的信息安全檢查專家團(tuán)隊(duì)在深入分析信息安全檢查技術(shù)要求、國(guó)內(nèi)信息系統(tǒng)面臨安全威脅和典型案例的基礎(chǔ)上研制而成。作為國(guó)內(nèi)領(lǐng)先的行業(yè)版信息系統(tǒng)安全等級(jí)測(cè)評(píng)工具，不僅提供了詳細(xì)的操作流程、步驟說(shuō)明，還具有融合自動(dòng)化工具和第三方安全檢查工具檢查、掃描的功能，能夠有效協(xié)助使用者對(duì)信息系統(tǒng)進(jìn)行安全檢查和管理工作。本軟件產(chǎn)品的原型來(lái)源于國(guó)家高技術(shù)研究發(fā)展計(jì)劃（863計(jì)劃）課題等級(jí)保護(hù)體系模型、測(cè)評(píng)方法與支撐工具研究（2007年01月10日，課題編號(hào)：2006aa01z450）和國(guó)家發(fā)改委國(guó)家信息安全專項(xiàng)項(xiàng)目（發(fā)改辦高技 20072035號(hào)文）。軟件產(chǎn)品吸取了專家組的意見(jiàn)和建議，并結(jié)合國(guó)務(wù)院辦公廳關(guān)于印發(fā)的通知（國(guó)辦發(fā)200928號(hào)）、2009年度政府信息系統(tǒng)安全檢查指南和2009年度政府信息系統(tǒng)安全檢查情況報(bào)告表的功能需求，在公安部信息安全等級(jí)保護(hù)評(píng)估中心的指導(dǎo)下，經(jīng)過(guò)功能完善、適應(yīng)測(cè)評(píng)工作指南要求、調(diào)整報(bào)告格式等大量工作，最終形成了可以為等級(jí)測(cè)評(píng)提供支持和服務(wù)的系列工具，并已投入多個(gè)測(cè)評(píng)項(xiàng)目實(shí)際應(yīng)用。信息系統(tǒng)安全等級(jí)測(cè)評(píng)工具(行業(yè)版)主要面向信息安全管理部門和信息系統(tǒng)的安全檢查人員，引導(dǎo)安全檢查人員按照標(biāo)準(zhǔn)和規(guī)范的檢查方法進(jìn)行安全檢查，并能實(shí)現(xiàn)安全檢查的數(shù)據(jù)、過(guò)程標(biāo)準(zhǔn)化管理；信息系統(tǒng)安全等級(jí)測(cè)評(píng)工具(行業(yè)版)通過(guò)對(duì)填報(bào)數(shù)據(jù)的自動(dòng)統(tǒng)計(jì)，實(shí)時(shí)展現(xiàn)安全檢查工作的進(jìn)度，便于信息安全管理部門宏觀掌握檢查過(guò)程，實(shí)時(shí)掌握相應(yīng)統(tǒng)計(jì)數(shù)據(jù)。本產(chǎn)品名稱為“信息系統(tǒng)安全等級(jí)測(cè)評(píng)工具(行業(yè)版)” （information systems classified security protection evaluation utility for trade），簡(jiǎn)稱為等保測(cè)評(píng)工具行業(yè)版，產(chǎn)品編碼為crit-cs-td。2 產(chǎn)品目標(biāo)及策略2.1 產(chǎn)品目標(biāo)配合信息安全檢查工作的貫徹和實(shí)施，為： 信息安全監(jiān)管部門; 信息系統(tǒng)運(yùn)行維護(hù)管理部門; 行業(yè)信息安全主管部門;提供信息系統(tǒng)安全檢查數(shù)據(jù)填報(bào)和監(jiān)督檢查的輔助工具，使信息安全相關(guān)單位和部門能夠盡快掌握信息系統(tǒng)的安全檢查要求，監(jiān)督安全檢查過(guò)程，統(tǒng)計(jì)分析信息系統(tǒng)安全狀況，提高信息系統(tǒng)安全檢查水平，增加這些環(huán)節(jié)的工作效率，提高自動(dòng)化程度。信息系統(tǒng)安全等級(jí)測(cè)評(píng)工具-行業(yè)版可為擁有大型專網(wǎng)的政府部門和各類企業(yè)提供服務(wù)。主要目標(biāo)用戶為：行業(yè)內(nèi)信息系統(tǒng)安全檢查、服務(wù)和管理人員。2.2 產(chǎn)品策略本平臺(tái)是模塊化運(yùn)行的軟件，可根據(jù)模塊組配選擇。系統(tǒng)升級(jí)和維護(hù)應(yīng)優(yōu)先考慮離線安全升級(jí)維護(hù)方式，也可提供基于安全虛擬專網(wǎng)的加密傳輸升級(jí)方式。本平臺(tái)具有認(rèn)證、授權(quán)等安全特性。安全性方面擴(kuò)展功能：用戶登錄采用usbkey等強(qiáng)認(rèn)證方式。軟件產(chǎn)品采用模塊化的軟件架構(gòu)，可以通過(guò)模塊擴(kuò)充數(shù)據(jù)統(tǒng)計(jì)分析與融合算法、報(bào)告生成方法 提供檢查內(nèi)容的檢查說(shuō)明與檢查方法； 靈活可定制的報(bào)表功能，支持word、html等多種格式導(dǎo)出； 提供api擴(kuò)展接口，可以方便地駁接第三方軟件工具（如掃描工具、主機(jī)檢查工具）等； 具有數(shù)據(jù)導(dǎo)入、導(dǎo)出接口； 客戶化定制功能，可根據(jù)組件配置選擇，形成多個(gè)功能版本或具有行業(yè)特色內(nèi)容的版本等。后續(xù)策略將根據(jù)市場(chǎng)反饋進(jìn)一步及時(shí)升級(jí)和更新。3 產(chǎn)品執(zhí)行標(biāo)準(zhǔn) 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)條例，1994 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作意見(jiàn)（中發(fā)辦200327號(hào)） 國(guó)務(wù)院辦公廳關(guān)于印發(fā)的通知（國(guó)辦發(fā)200928號(hào)） 2009年度政府信息系統(tǒng)安全檢查指南 2009年度政府信息系統(tǒng)安全檢查情況報(bào)告表 關(guān)于信息安全等級(jí)保護(hù)工作實(shí)施意見(jiàn)（公通字200466號(hào)） 等級(jí)保護(hù)管理辦法（公通字200743號(hào)） 信息安全等級(jí)保護(hù)管理辦法（試行） 計(jì)算機(jī)信息系統(tǒng)等級(jí)保護(hù)劃分準(zhǔn)則gb17859 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南（送審稿） 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南（gb/t 22240-2008） 信息系統(tǒng)安全等級(jí)保護(hù)基本要求（gb/t 22239-2008） 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求（送審稿） ga/t 387-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求 ga 388-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求 ga/t 389-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理系統(tǒng)技術(shù)要求 ga/t 390-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求 ga 391-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求4 產(chǎn)品說(shuō)明根據(jù)信息系統(tǒng)等級(jí)保護(hù)模型研究報(bào)告、信息系統(tǒng)等級(jí)測(cè)評(píng)模型研究報(bào)告、等級(jí)保護(hù)測(cè)評(píng)工作知識(shí)表達(dá)方法研究報(bào)告、等級(jí)保護(hù)測(cè)評(píng)知識(shí)庫(kù)與方法庫(kù)設(shè)計(jì)報(bào)告的研究成果，并結(jié)合國(guó)務(wù)院辦公廳關(guān)于印發(fā)的通知（國(guó)辦發(fā)200928號(hào)）、2009年度政府信息系統(tǒng)安全檢查指南和2009年度政府信息系統(tǒng)安全檢查情況報(bào)告表的需求分析，行業(yè)版完成的主要功能如下圖所示：圖 行業(yè)版的主要功能示意圖根據(jù)以上的主要功能，將行業(yè)版的架構(gòu)設(shè)計(jì)為b/s架構(gòu)，同時(shí)提供便攜式客戶端，以便離線填報(bào)檢查結(jié)果，并且可以將離線填報(bào)結(jié)果導(dǎo)入到行業(yè)版中 。行業(yè)版的結(jié)構(gòu)示意圖如下圖所示。圖 行業(yè)版的結(jié)構(gòu)示意圖行業(yè)版的界面友好，使用方便，采用統(tǒng)一的登陸入口，便于進(jìn)行安全檢查過(guò)程管理，檢查數(shù)據(jù)的動(dòng)態(tài)統(tǒng)計(jì)。如下圖所示。圖 行業(yè)版的功能示意圖行業(yè)版在國(guó)內(nèi)某行業(yè)進(jìn)行了實(shí)用，通過(guò)實(shí)際運(yùn)行考驗(yàn)和性能優(yōu)化，功能滿足實(shí)際行業(yè)的信息系統(tǒng)等級(jí)保護(hù)安全檢查需要，是國(guó)內(nèi)領(lǐng)先的等級(jí)保護(hù)安全檢查工作平臺(tái)。行業(yè)版的用戶應(yīng)具有基本的計(jì)算機(jī)信息安全知識(shí)，具有獨(dú)立的安全檢查工具使用和維護(hù)的基本能力。5 結(jié)