信息系统安全等级测评工具服务版.doc

文档编码CRBJ-PMD-PSI项目管理号1001-GFCSP-Tech信息系统安全等级测评工具【服务版】产品规格说明书（PSI）Product Specification Instructions公安部第三研究所2010年07月07日版权所有 侵权必究产品规格说明书（PSI） 公安部第三研究所文档信息文档名称产品规格说明书（PSI）文档管理编号CRBJ-PMD-PSI-1001-GFCSP-Tech保密级别文档版本号制作人制作日期复审人复审日期扩散范围扩散批准人版本变更记录时间版本说明修改人文档送呈单位目的总办汇报产品规格情况，供技术支持、售前使用研发部存档及支持目录1产品背景及概述11.1产品背景11.2产品概述32产品目标及策略42.1产品目标42.2产品策略43产品执行标准64产品说明75结论10- 10 -产品规格说明书（PSI） 公安部第三研究所1 产品背景及概述1.1 产品背景随着信息技术的迅猛发展和广泛应用，特别是我国国民经济和社会信息化进程的全面加快，网络与信息系统的基础性、全局性作用日益增强，信息网络已成为国家和社会发展新的重要战略资源。党中央、国务院始终高度重视信息安全问题，多次指示公安部会同有关部委制定有效措施，切实加强管理，提高我国计算机信息系统安全保护水平，以确保社会政治稳定和经济建设的顺利进行。2003年8月，国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）明确指出信息安全保障工作要“实行信息安全等级保护”。信息安全等级保护制度已经成为我国信息安全保护工作的基本国策，实行信息安全等级保护具有重大的现实和战略意义。为了进一步推动等级保护工作的进展，公安部、国家保密局、国家密码管理委员会办公室和国务院信息化工作办公室于2004年联合下发了关于信息安全等级保护工作的实施意见，明确指出要在三年内在全国范围内推广等级保护制度。为了规范和指导各地的等级保护工作，公安部、全国信息安全标准化技术委员会委托公安部信息安全等级保护评估中心（以下简称评估中心）制定了一系列等级保护相关标准和文件。目前，国家推荐标准信息系统安全保护等级定级指南、信息系统安全等级保护基本要求和信息系统安全等级保护实施指南已经完成报批稿，信息系统安全等级保护测评准则已经完成征求意见稿。2006年8月，公安部、国家保密局、国家密码局和国务院信息化办公室联合在北京举行了“信息安全等级保护工作会议”，向来自全国各地和各重要部委的近200名信息化工作主管、领导颁发了信息安全等级保护试点工作实施方案，涉及系统定级、等级测评、制度建设、系统改建、备案与监督检查等多项等级保护工作。 同时，为了加强信息安全等级保护工作的组织领导，国家成立了由公安部副部长张新枫任组长，公安部、国家保密局、国家密码局和国务院信息化办公室有关局级领导为成员的信息安全等级保护协调小组，协调小组办公室设在公安部公共信息网络安全监察局。试点工作的经验表明，等级测评活动是确保信息安全等级保护工作的关键环节。等级测评能够帮助信息系统的运营、使用单位进行信息系统安全自查，了解系统的安全现状与国家要求之间的差距，明确安全整改的目标与方向。市场调查表明，目前信息安全相关的商用测评工具主要集中在漏洞扫描和问卷评估系统等方面，无法准确、全面的提供信息系统安全等级保护的整体测评结论。由于信息安全等级保护制度已经成为我国信息安全保护工作的基本国策，国家相关文件规定信息系统必须定期进行自查和定期委托专业测评机构进行等级符合性测评。为了确保信息安全等级保护工作的顺利开展，实现国家在三年内全面实施信息安全等级保护工作的目标，迫切需要信息系统等级保护测评的专用工具，作为信息系统等级测评支撑工具，为提供信息系统的运营单位、使用单位、安全服务机构、安全测评机构、重要行业的主管部门以及国家信息安全监管机构等部门，用于定期测试或符合性测评。因此，专用测评工具将成为信息系统的运营单位、使用单位、安全服务机构、安全测评机构、重要行业的主管部门以及国家信息安全监管机构等部门的必备工具，是信息安全等级保护工作的顺利开展和完成不可或缺的保障。1.2 产品概述海盾系列信息系统安全等级保护测评工具软件是在国内领先的等保测评专家团队在深入分析等级保护技术要求、国内信息系统面临安全威胁和典型案例的基础上研制而成。作为国内领先的等保测评工具软件，不仅提供了详细的操作流程、步骤说明，还具有融合自动化工具和第三方安全检查工具检查、扫描的功能，能够有效协助使用者按照等级保护标准要求推进信息系统安全等级保护工作。本软件产品的原型来源于国家高技术研究发展计划（863计划）课题等级保护体系模型、测评方法与支撑工具研究（2007年01月10日，课题编号：2006AA01Z450）和国家发改委国家信息安全专项项目（发改办高技 20072035号文）。软件产品吸取了专家组的意见和建议，在公安部信息安全等级保护评估中心的指导下，经过功能完善、适应测评工作指南要求、调整报告格式等大量工作，最终形成了可以为等级测评提供支持和服务的系列工具，并已投入多个测评项目实际应用。海盾系列工具软件主要面向信息系统运营使用单位的安全管理人员和测评机构的测评技术人员，指导他们按照标准和规范的测评方法进行测评或自测，并能实现测评的数据、过程标准化管理。本产品名称为“信息系统安全等级测评工具-服务版”（Information Systems Classified Security Protection Evaluation Utility for Organization），简称等保测评工具服务版，产品编码为CRIT-CS-TB。2 产品目标及策略2.1 产品目标为配合信息安全等级保护体系的贯彻和实施，需要根据等级保护的标准体系，开发一系列辅助的工具，为：Ø 等级测评服务机构；Ø 监管部门；Ø 信息系统运行维护管理部门；Ø 行业主管部门；提供测评和监督检查的辅助工具，以使相关单位和部门能够尽快掌握相关的评估测试技术标准与标准知识的应用，提高信息系统安全测评和检查的水平，并增加这些环节的工作效率，提高自动化程度。等保测评支撑工具-服务版是为等级测评服务机构提供服务的，主要目标用户为：行业内信息系统等级安全保护评估、服务及管理人员。2.2 产品策略本服务版系统是一款相对独立运行的软件，可独立于等保测评支撑工具项目的其他版本系统而运行，系统升级和维护应优先考虑离线安全升级维护方式，也可提供基于安全虚拟专网的加密传输升级。在管理员操作系统的时候，需通过本系统才可登录。也就是说，在服务系统管理上，具有认证、授权、审计等安全特性。系统具有如下特点：对系统操作人员所有维护动作、操作可进行审计；为方便用户的使用，提供XLS格式的文件数据导入模式。安全性方面扩展功能：Ø 用户登录可采用USBKey等强认证方式；Ø 离线数据的上传与下载可利用USBKey内置证书采用PKI体制增强安全性；软件产品采用组件化的软件架构，可以通过组件扩充测评方法、数据分析与融合算法、报告生成方法Ø 知识库包含安全产品测评与系统测评知识，支持XML的知识表示；Ø 支持等级保护体系模型中的测评方法；Ø 支持智能的结构化分析方法，能综合单独测评结果形成系统整体测评结论；Ø 灵活可定制的报表功能，支持Word、HTML、PDF等多种格式导出；Ø 提供API扩展接口，可以方便地驳接第三方软件工具（如扫描工具、渗透测试工具）等；Ø 具有数据导入、导出接口，测评结果可以导出到其它系统；Ø 客户化定制功能，可根据组件配置选择，形成多个功能版本（包括知识库定制）或具有行业特色内容的版本等。后续策略将根据市场反馈进一步及时升级和更新。3 产品执行标准Ø 中华人民共和国计算机信息系统安全等级保护条例，1994Ø 国家信息化领导小组关于加强信息安全保障工作意见（中发办200327号）Ø 关于信息安全等级保护工作实施意见（公通字200466号）Ø 等级保护管理办法（公通字200743号）Ø 信息安全等级保护管理办法（试行）Ø 计算机信息系统等级保护划分准则GB17859Ø 信息系统安全等级保护实施指南（送审稿）Ø 信息系统安全保护等级定级指南（GB/T 22240-2008）Ø 信息系统安全等级保护基本要求（GB/T 22239-2008）Ø 信息系统安全等级保护测评要求（送审稿）Ø GA/T 387-2002计算机信息系统安全等级保护网络技术要求Ø GA 388-2002计算机信息系统安全等级保护操作系统技术要求Ø GA/T 389-2002计算机信息系统安全等级保护数据库管理系统技术要求Ø GA/T 390-2002计算机信息系统安全等级保护通用技术要求Ø GA 391-2002计算机信息系统安全等级保护管理要求4 产品说明根据信息系统等级保护模型研究报告、信息系统等级测评模型研究报告、等级保护测评工作知识表达方法研究报告、等级保护测评知识库与方法库设计报告的研究成果，支撑工具完成了以下主要功能： Ø 通过选用测评对象选择方法和测评指标选择方法方法库（内建于方法库中）的方法并计算，可根据系统等级、威胁分析自动形成测评指标。Ø 根据知识库的测评指标知识内容，将测评指标对应到测评对象，并自动生成测评方案。Ø 按照测评对象选择方法和内置的作业指导书知识库，生成技术和管理两方面的测评检查表。 Ø 支持漏洞扫描数据的导入，实现可扩展的API接口，能实现1个以上厂商工具的扫描数据导入。Ø 通过测评分析和推理机的实现，调用内置测评指标权重集知识库，可对测评结果进行汇总、统计和计算，并按要求给出测评分析结论。Ø 自动生成测评报告，并根据要求输出指定格式（Word、PDF、HTML）的数据。 测评服务版工具分为测评管理系统和现场测评系统2个产品子系统，测评管理系统放在测评机构内部服务器上，主要完成项目管理和查询统计等功能；每个项目需要下发调查工具（XLS格式电子表格）给信息系统用户或测评项目小组，让用户（由测评项目小组人员配合）将信息系统的状况填写完成后上传到测评机构的测评管理系统中；现场测评系统主要是辅助测评人员对信息系统进行现场测评分析，在测评完成时，需要将各种辅助工具的测试结果导入到测评管理系统中进行统一分析。图1安全等级测评工具-服务版产品部署服务版是等级测评系列中功能最齐全的工具，用于测评机构（服务机构）对信息系统提供全面的、公正的、有效的测评服务。解决系统全面测评工作量大，系统数据多，分析困难，综合评判困难等问题。服务版提供了访谈、检查和测试等评估方法，测评人员在工具的引导下对信息系统、制度和人员等进行全面的安全性证据的获取，并提供多种自动化的测试手段，测评人员通过接入客户的信息系统对目标网络进行信息调查、安全漏洞分析或渗透攻击等测评活动，获取大量全面的系统安全性数据，同时测评人员在工具的引导下，手工输入非工具自动收集的证据数据，在知识库的辅助分析下，综合得出系统的安全现状和保护等级的符合度，并以多种格式的测评报告形式输出测评结果。图2 结合测评工具的测评工作流程服务版的使用用户应具有基本的计算机信息安全知识和数据库知识，熟悉数据库维护、备份与恢复等，具有独立的工具软件使用维护基本能力。5 结论本文档阐述了海盾系列等级保护测评工具在信息安全等级保护工作中的应用目的、方式和方法。通过海盾系列等级保护测评工具在信息安全等级保护测评工作中的实际应用和部署，可有效实现等级测评工作的过程和数据管理，预防原始的文档化操作造成的标准不一致、水平参差不齐、易造成信息外泄等问题，实现对定级系统测评数据的安全问题的跟踪定位、整体分析和评估，为定级信息系统的评估意见和整改建议提供详尽、可靠的支持。