测评工具(监管版)白皮书v1.2.doc

文档编码CRBJ-PMD-PSI项目管理号1001-GFCSP-Tech信息系统安全等级测评工具【监管版】产品规格说明书（PSI）Product Specification Instructions公安部第三研究所2010年07月07日版权所有 侵权必究产品规格说明书（PSI） 公安部第三研究所文档信息文档名称产品规格说明书（PSI）文档管理编号CRBJ-PMD-PSI-1001-GFCSP-Tech保密级别项目组文档版本号1.0.0.0制作人制作日期复审人复审日期扩散范围扩散批准人版本变更记录时间版本说明修改人文档送呈单位目的总办汇报产品规格情况，供技术支持、售前使用研发部存档及支持目录1产品背景及概述11.1产品背景11.2产品概述12产品目标及策略22.1产品目标22.2产品策略33产品执行标准44产品说明55结论7- 8 -产品规格说明书（PSI） 公安部第三研究所1 产品背景及概述1.1 产品背景随着信息技术的迅猛发展和广泛应用，特别是我国国民经济和社会信息化进程的全面加快，网络与信息系统的基础性、全局性作用日益增强，信息网络已成为国家和社会发展新的重要战略资源。党中央、国务院始终高度重视信息安全问题，多次指示公安部会同有关部委制定有效措施，切实加强管理，提高我国计算机信息系统安全保护水平，以确保社会政治稳定和经济建设的顺利进行。2003年8月，国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）明确指出信息安全保障工作要“实行信息安全等级保护”。信息安全等级保护制度已经成为我国信息安全保护工作的基本国策，实行信息安全等级保护具有重大的现实和战略意义。为了进一步推动等级保护工作的进展，公安部、国家保密局、国家密码管理委员会办公室和国务院信息化工作办公室于2004年联合下发了关于信息安全等级保护工作的实施意见，明确指出要在三年内在全国范围内推广等级保护制度。为了规范和指导各地的等级保护工作，公安部、全国信息安全标准化技术委员会委托公安部信息安全等级保护评估中心（以下简称评估中心）制定了一系列等级保护相关标准和文件。目前，国家推荐标准信息系统安全保护等级定级指南、信息系统安全等级保护基本要求和信息系统安全等级保护实施指南已经完成报批稿，信息系统安全等级保护测评准则已经完成征求意见稿。2006年8月，公安部、国家保密局、国家密码局和国务院信息化办公室联合在北京举行了“信息安全等级保护工作会议”，向来自全国各地和各重要部委的近200名信息化工作主管、领导颁发了信息安全等级保护试点工作实施方案，涉及系统定级、等级测评、制度建设、系统改建、备案与监督检查等多项等级保护工作。 同时，为了加强信息安全等级保护工作的组织领导，国家成立了由公安部副部长张新枫任组长，公安部、国家保密局、国家密码局和国务院信息化办公室有关局级领导为成员的信息安全等级保护协调小组，协调小组办公室设在公安部公共信息网络安全监察局。试点工作的经验表明，等级测评活动是确保信息安全等级保护工作的关键环节。等级测评能够帮助信息系统的运营、使用单位进行信息系统安全自查，了解系统的安全现状与国家要求之间的差距，明确安全整改的目标与方向。市场调查表明，目前信息安全相关的商用测评工具主要集中在漏洞扫描和问卷评估系统等方面，无法准确、全面的提供信息系统安全等级保护的整体测评结论。由于信息安全等级保护制度已经成为我国信息安全保护工作的基本国策，国家相关文件规定信息系统必须定期进行自查和定期委托专业测评机构进行等级符合性测评。为了确保信息安全等级保护工作的顺利开展，实现国家在三年内全面实施信息安全等级保护工作的目标，迫切需要信息系统等级保护测评的专用工具，作为信息系统等级测评支撑工具，为提供信息系统的运营单位、使用单位、安全服务机构、安全测评机构、重要行业的主管部门以及国家信息安全监管机构等部门，用于定期测试或符合性测评。因此，专用测评工具将成为信息系统的运营单位、使用单位、安全服务机构、安全测评机构、重要行业的主管部门以及国家信息安全监管机构等部门的必备工具，是信息安全等级保护工作的顺利开展和完成不可或缺的保障。1.2 产品概述海盾系列信息系统安全等级保护测评工具软件是在国内领先的等保测评专家团队在深入分析等级保护技术要求、国内信息系统面临安全威胁和典型案例的基础上研制而成。作为国内领先的等保测评工具软件，不仅提供了详细的操作流程、步骤说明，还具有融合自动化工具和第三方安全检查工具检查、扫描的功能，能够有效协助使用者按照等级保护标准要求推进信息系统安全等级保护工作。本软件产品的原型来源于国家高技术研究发展计划（863计划）课题等级保护体系模型、测评方法与支撑工具研究（2007年01月10日，课题编号：2006AA01Z450）和国家发改委国家信息安全专项项目（发改办高技 20072035号文）。软件产品吸取了专家组的意见和建议，在公安部信息安全等级保护评估中心的指导下，经过功能完善、适应测评工作指南要求、调整报告格式等大量工作，最终形成了可以为等级测评提供支持和服务的系列工具，并已投入多个测评项目实际应用。海盾系列工具软件主要面向信息系统运营使用单位的安全管理人员和测评机构的测评技术人员，指导他们按照标准和规范的测评方法进行测评或自测，并能实现测评的数据、过程标准化管理。本产品名称为“信息系统安全等级测评工具-监管版”（Information Systems Classified Security Protection Evaluation Utility for Supervision），简称等保测评工具监管版，产品编码为CRIT-CS-TC。2 产品目标及策略2.1 产品目标配合信息安全检查工作的贯彻和实施，为： 信息安全监管部门； 信息系统运行维护管理部门； 行业信息安全主管部门；提供信息系统安全检查数据填报和监督检查的辅助工具，使信息安全相关单位和部门能够尽快掌握信息系统的安全检查要求，监督安全检查过程，统计分析信息系统安全状况，提高信息系统安全检查水平，增加这些环节的工作效率，提高自动化程度。等保测评支撑工具-监管版是为监督管理服务的，其特点是测评任务可以灵活定义为专项检查或抽查等，检查结果可以由结果汇总后台以后进行汇总分析，帮助监管机构了解管理范围内的重要信息系统的安全状况，从而有针对性的强化安全管理。主要目标用户为：信息系统监督和管理部门的技术人员、管理人员。2.2 产品策略本监管版系统是模块化运行的软件，可根据模块组配选择。系统升级和维护应优先考虑离线安全升级维护方式，也可提供基于安全虚拟专网的加密传输升级方式。本监管版系统具有认证、授权等安全特性。安全性方面扩展功能：用户登录采用USBKey等强认证方式。软件产品采用模块化的软件架构，可以通过模块扩充数据统计分析与融合算法、报告生成方法 提供检查内容的检查说明与检查方法； 灵活可定制的报表功能，支持Word、HTML等多种格式导出； 具有数据导入、导出接口； 客户化定制功能，可根据组件配置选择，形成多个功能版本或具有监管特色内容的版本等。后续策略将根据市场反馈进一步及时升级和更新。3 产品执行标准 中华人民共和国计算机信息系统安全等级保护条例，1994 国家信息化领导小组关于加强信息安全保障工作意见（中发办200327号） 国务院办公厅关于印发的通知（国办发200928号） 2009年度政府信息系统安全检查指南 2009年度政府信息系统安全检查情况报告表 关于信息安全等级保护工作实施意见（公通字200466号） 等级保护管理办法（公通字200743号） 信息安全等级保护管理办法（试行） 计算机信息系统等级保护划分准则GB17859 信息系统安全等级保护实施指南（送审稿） 信息系统安全保护等级定级指南（GB/T 22240-2008） 信息系统安全等级保护基本要求（GB/T 22239-2008） 信息系统安全等级保护测评要求（送审稿） GA/T 387-2002计算机信息系统安全等级保护网络技术要求 GA 388-2002计算机信息系统安全等级保护操作系统技术要求 GA/T 389-2002计算机信息系统安全等级保护数据库管理系统技术要求 GA/T 390-2002计算机信息系统安全等级保护通用技术要求 GA 391-2002计算机信息系统安全等级保护管理要求4 产品说明监管版工具分为监管版服务器端和客户端2个产品子系统，服务器端放在监管部门内部服务器上，主要完成专项检查和抽查任务的定制，并汇总分析检查结果，帮助监管机构了解管理范围内的重要信息系统的安全状况，从而有针对性的强化安全管理。客户端软件可以不依托服务器端而独立运行，并且检查结果可以以可持久并且可移动的存储方式进行存储。通过总部的工作人员到抽查的单位的计算机中心对该单位中所属的子系统进行漏洞、木马、网络安全、网络边界、网站、主机等多个安全方面的检查，并将检查结果信息进行汇总，将这些信息以某种可持久化并且可移动的存储方式进行存储，并汇总到监管版工具的服务器端，以便进行汇总分析。监督检查的工作流程可以用图示表示如下：图 监督检查业务流程对信息系统的监管可分为三大部分：一是监管的准备，二是监管的实施，三是后期的管理，监管的准备工作和后期的管理工作在监管版工具的服务器端中完成，监管的实施由便携式的客户端软件来完成。在监管准备阶段中，系统管理员分配检查人员和创建监管任务，由检查人员来进行检查任务的申领工作。监管准备阶段检查人员的主要工作是申领监管任务。在监管实施阶段中，检查人员对检查单位的信息系统进行检查。检查的方法是检查人员依据监管版客户端软件提供的检查内容和检查要点，对检查单位的信息系统进行检查，并依据检查结果填写相应的问卷。在后期管理阶段中，检查人员将监管版客户端软件的检查结果导入到服务器端，以便进行监管结果的浏览、查询、汇总和统计。监管版在国内某行业进行了实用，通过实际运行考验和性能优化，功能满足实际安全监管需要，是国内领先的安全监管平台。监管版的用户应具有基本的计算机信息安