信息系統(tǒng)安全等級測評工具自測

1、文檔編碼CRBJ-PMD-PSI項目管理號1001-GFCSP-Tech信息系統(tǒng)安全等級測評工具【自測版】產品規(guī)格說明書（PSI）Product Specification Instructions公安部第三研究所2010年07月06日版權所有 侵權必究文檔信息文檔名稱產品規(guī)格說明書（PSI）文檔管理編號CRBJ-PMD-PSI-1001-GFCSP-Tech保密級別文檔版本號制作人制作日期復審人復審日期擴散范圍擴散批準人版本變更記錄時間版本說明修改人文檔送呈單位目的總辦匯報產品規(guī)格情況，供技術支持、售前使用研發(fā)部存檔及支持目錄 TOC o 1-4 h z u HYPERLINK l _Toc

2、253494652 1產品背景及概述 PAGEREF _Toc253494652 h 1 HYPERLINK l _Toc253494653 1.1產品背景 PAGEREF _Toc253494653 h 1 HYPERLINK l _Toc253494654 1.2產品概述 PAGEREF _Toc253494654 h 3 HYPERLINK l _Toc253494655 2產品目標及策略 PAGEREF _Toc253494655 h 4 HYPERLINK l _Toc253494656 2.1產品目標 PAGEREF _Toc253494656 h 4 HYPERLINK l _T

3、oc253494657 2.2產品策略 PAGEREF _Toc253494657 h 4 HYPERLINK l _Toc253494658 3產品執(zhí)行標準 PAGEREF _Toc253494658 h 6 HYPERLINK l _Toc253494659 4產品說明 PAGEREF _Toc253494659 h 7 HYPERLINK l _Toc253494660 5結論 PAGEREF _Toc253494660 h 10產品背景及概述產品背景隨著信息技術的迅猛發(fā)展和廣泛應用，特別是我國國民經濟和社會信息化進程的全面加快，網(wǎng)絡與信息系統(tǒng)的基礎性、全局性作用日益增強，信息網(wǎng)絡已成為

4、國家和社會發(fā)展新的重要戰(zhàn)略資源。黨中央、國務院始終高度重視信息安全問題，多次指示公安部會同有關部委制定有效措施，切實加強管理，提高我國計算機信息系統(tǒng)安全保護水平，以確保社會政治穩(wěn)定和經濟建設的順利進行。2003年8月，國家信息化領導小組關于加強信息安全保障工作的意見（中辦發(fā)200327號）明確指出信息安全保障工作要“實行信息安全等級保護”。信息安全等級保護制度已經成為我國信息安全保護工作的基本國策，實行信息安全等級保護具有重大的現(xiàn)實和戰(zhàn)略意義。為了進一步推動等級保護工作的進展，公安部、國家保密局、國家密碼管理委員會辦公室和國務院信息化工作辦公室于2004年聯(lián)合下發(fā)了關于信息安全等級保護工作的實

5、施意見，明確指出要在三年內在全國范圍內推廣等級保護制度。為了規(guī)范和指導各地的等級保護工作，公安部、全國信息安全標準化技術委員會委托公安部信息安全等級保護評估中心（以下簡稱評估中心）制定了一系列等級保護相關標準和文件。目前，國家推薦標準信息系統(tǒng)安全保護等級定級指南、信息系統(tǒng)安全等級保護基本要求和信息系統(tǒng)安全等級保護實施指南已經完成報批稿，信息系統(tǒng)安全等級保護測評準則已經完成征求意見稿。2006年8月，公安部、國家保密局、國家密碼局和國務院信息化辦公室聯(lián)合在北京舉行了“信息安全等級保護工作會議”，向來自全國各地和各重要部委的近200名信息化工作主管領導頒發(fā)了信息安全等級保護試點工作實施方案，涉及系

6、統(tǒng)定級、等級測評、制度建設、系統(tǒng)改建、備案與監(jiān)督檢查等多項等級保護工作。 同時，為了加強信息安全等級保護工作的組織領導，國家成立了由公安部副部長張新楓任組長，公安部、國家保密局、國家密碼局和國務院信息化辦公室有關局級領導為成員的信息安全等級保護協(xié)調小組，協(xié)調小組辦公室設在公安部公共信息網(wǎng)絡安全監(jiān)察局。試點工作的經驗表明，等級測評活動是確保信息安全等級保護工作的關鍵關節(jié)。等級測評能夠幫助信息系統(tǒng)的運營、使用單位進行信息系統(tǒng)安全自查，了解系統(tǒng)的安全現(xiàn)狀與國家要求之間的差距，明確安全整改的目標與方向。市場調查表明，目前信息安全相關的商用測評工具主要集中在漏洞掃描和問卷評估系統(tǒng)等方面，無法準確、全面的

7、提供信息系統(tǒng)安全等級保護的整體測評結論。由于信息安全等級保護制度已經成為我國信息安全保護工作的基本國策，國家相關文件規(guī)定信息系統(tǒng)必須定期進行自查和定期委托專業(yè)測評機構進行等級符合性測評。為了確保信息安全等級保護工作的順利開展，實現(xiàn)國家在三年內全面實施信息安全等級保護工作的工作目標，迫切需要信息系統(tǒng)等級保護測評的專用工具，作為信息系統(tǒng)等級測評支撐工具，提供信息系統(tǒng)的運營單位、使用單位、安全服務機構、安全測評機構、重要行業(yè)的主管部門以及國家信息安全監(jiān)管機構等部門，用于定期測試或符合性測評。因此，專用測評工具將成為信息系統(tǒng)的運營單位、使用單位、安全服務機構、安全測評機構、重要行業(yè)的主管部門以及國家信

8、息安全監(jiān)管機構等部門的必備工具，是信息安全等級保護工作的順利開展和完成不可或缺的保障。產品概述海盾系列信息系統(tǒng)安全等級保護測評工具軟件是由國內領先的等保測評專家團隊在深入分析等級保護技術要求、國內信息系統(tǒng)面臨安全威脅和典型案例的基礎上研制而成。作為國內領先的等保測評工具軟件，不僅提供了詳細的操作流程、步驟說明，還具有融合自動化工具和第三方安全檢查工具檢查、掃描的功能，能夠有效協(xié)助使用者按照等級保護標準要求推進信息系統(tǒng)安全等級保護工作。本軟件產品的原型來源于國家高技術研究發(fā)展計劃（863計劃）課題等級保護體系模型、測評方法與支撐工具研究（2007年01月10日，課題編號：2006AA01Z450

9、）和國家發(fā)改委國家信息安全專項項目（發(fā)改辦高技 20072035號文）。軟件產品吸取了專家組的意見和建議，在公安部信息安全等級保護評估中心的指導下經過功能完善、適應測評工作指南要求、調整報告格式等大量工作，最終形成了可以為等級測評提供支持和服務的系列工具，并已投入多個測評項目實際應用。海盾系列工具軟件主要面向信息系統(tǒng)運營使用單位的安全管理人員和測評機構的測評技術人員，指導他們按照標準合規(guī)的測評方法進行測評或自測，并能實現(xiàn)測評的數(shù)據(jù)、過程標準化管理。本產品名稱為“信息系統(tǒng)安全等級測評工具-自測版”（Information Systems Classified Security Protectio

10、n Evaluation Utility for Customer），簡稱等保測評工具自測版，產品編碼為CRIT-CS-TA。產品目標及策略產品目標為配合信息安全等級保護體系的貫徹和實施，需要根據(jù)等級保護的標準體系，開發(fā)一系列輔助的工具，為：等級測評服務機構；監(jiān)管部門；信息系統(tǒng)運行維護管理部門；行業(yè)主管部門。提供測評和監(jiān)督檢查的輔助工具，以使相關單位和部門能夠盡快掌握相關的評估測試技術標準與標準知識的應用，提高信息系統(tǒng)安全測評和檢查的水平，并增加這些環(huán)節(jié)的工作效率，提高自動化程度。等保測評支撐工具-自測版是為用戶自查、系統(tǒng)自測評和定級信息系統(tǒng)差距分析提供服務的。主要目標用戶為：信息系統(tǒng)運行維護

11、單位的技術人員和管理人員。產品策略本自測版軟件是獨立運行的軟件，采用USBKey認證方式進行登錄，并提供數(shù)據(jù)導出功能，以便將自查數(shù)據(jù)導出，以便專業(yè)機構進行分析。安全性方面擴展功能：用戶登錄采用USBKey等強認證方式；軟件產品采用組件化的軟件架構，可以通過組件擴充測評方法、數(shù)據(jù)分析與融合算法、報告生成方法知識庫包含測評知識與測評要點；支持等級保護體系模型中的測評方法；支持智能的結構化分析方法，能綜合單獨測評結果形成系統(tǒng)差距分析結論；報表功能支持Word格式導出；具有數(shù)據(jù)導出接口，測評結果可以導出到其它管理分析系統(tǒng)中；客戶化定制功能，可根據(jù)組件配置選擇，形成多個功能版本（包括知識庫定制）或具有行

12、業(yè)特色內容的版本等。后續(xù)策略將根據(jù)市場反饋進一步及時升級和更新。產品執(zhí)行標準中華人民共和國計算機信息系統(tǒng)安全等級保護條例，1994國家信息化領導小組關于加強信息安全保障工作意見（中發(fā)辦200327號）關于信息安全等級保護工作實施意見（公通字200466號）等級保護管理辦法（公通字200743號）信息安全等級保護管理辦法（試行）計算機信息系統(tǒng)等級保護劃分準則GB17859信息系統(tǒng)安全等級保護實施指南（送審稿）信息系統(tǒng)安全保護等級定級指南（GB/T 22240-2008）信息系統(tǒng)安全等級保護基本要求（GB/T 22239-2008）信息系統(tǒng)安全等級保護測評要求（送審稿）GA/T 387-2002計

13、算機信息系統(tǒng)安全等級保護網(wǎng)絡技術要求GA 388-2002計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術要求GA/T 389-2002計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術要求GA/T 390-2002計算機信息系統(tǒng)安全等級保護通用技術要求GA 391-2002計算機信息系統(tǒng)安全等級保護管理要求產品說明根據(jù)信息系統(tǒng)等級保護模型研究報告、信息系統(tǒng)等級測評模型研究報告、等級保護測評工作知識表達方法研究報告、等級保護測評知識庫與方法庫設計報告的研究成果，支撐工具完成了以下主要功能： 根據(jù)知識庫的測評指標知識內容，將測評指標對應到測評對象，并自動生成測評檢查表。引導用戶對信息系統(tǒng)、制度和人員等進行全面的

14、安全性證據(jù)獲?。?引導用戶手工輸入收集的證據(jù)數(shù)據(jù)； 輔助分析給出系統(tǒng)的安全現(xiàn)狀； 輔助分析給出系統(tǒng)保護等級的差距； 通過調用內置測評指標知識庫，可對測評結果進行匯總、統(tǒng)計和計算，并按要求給出定級信息系統(tǒng)差距分析結論。自動生成測評報告，并根據(jù)要求輸出Word格式的數(shù)據(jù)。 自測版工具是提供給信息系統(tǒng)運營使用單位對信息系統(tǒng)進行自查使用，使用流程大致可分為三大部分：一是測評準備，二是測評實施，三是后期管理，所有的這些操作都在信息系統(tǒng)運營使用單位內部完成。具體使用流程如下圖所示：圖1自測版工具使用流程圖在測評準備階段中，依據(jù)等級保護的相關政策、法規(guī)和標準，將信息系統(tǒng)對應的安全等級（安全等級包括安全等級、業(yè)務信息安全等級和系統(tǒng)服務安全等級）錄入到自測版工具中。在測評實施階段中，自測版工具信息系統(tǒng)的安全等級和檢查對象的類型自動生成相應的自查問卷。這些問卷主要是根據(jù)等級保護的相關標準進行設計的，根據(jù)這些自查表可以對相關文檔和安全控制進行明確的審查和測試。在后期管理階段中，自測版工具自動對填寫的自查表進行分析評判，并將不符合項進行匯總，以便用戶找出信息系統(tǒng)缺失的能力，并可以根據(jù)報告模板生成自查報告，以便對報告進行瀏覽、打印、預覽和導出。自測版的使用