信息系统安全等级测评工具

1、文档来源为：从网络收集整理.word版本可编辑.欢迎下载支持文档编码CRBJ-PMD-PSI项目管理号1001-GFCSP-Tech信息系统安全等级测评工具【行业版】产品规格说明书（PSI）Product Specification Instructions公安部第三研究所2010年07月06日版权所有侵权必究文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持版本变更记录文档信息产品规格说明书（PSI）CRBJ-PMD-PSI-1001-GFCSP-Tech项目组1.0.0.0文档送呈总办汇报产品规格情况，供技术支持、售前使用研发部存档及支持目录错误!未定义书签1产品背景及概

2、述1.1产品背景 错误!未定义书签1.2产品概述 错误!未定义书签2产品目标及策略 错误!未定义书签2A产品目标 错误!未定义书签2.2产品策略 错误!未定义书签3产品执行标准 错误!未定义书签4产品说明 错误!未定义书签5结论 错误!未定义书签1 产品背景及概述1.1 产品背景随着信息技术的迅猛发展和广泛应用， 特别是我国国民经济和社会信息化进程的全面加快，网络与信息系统的基础性、全局性作用日益增强，信息网 络已成为国家和社会发展新的重要战略资源。党中央、国务院始终高度重视 信息安全问题， 多次指示公安部会同有关部委制定有效措施， 切实加强管理， 提高我国计算机信息系统安全保护水平，以确保社

3、会政治稳定和经济建设的 顺利进行。2003年 8月，国家信息化领导小组关于加强信息安全保障工作的意见 （中 办发200327 号）明确指出信息安全保障工作要“实行信息安全等级保护” 。 信息安全等级保护制度已经成为我国信息安全保护工作的基本国策，实行信 息安全等级保护具有重大的现实和战略意义。为了进一步推动等级保护工作的进展， 公安部、国家保密局、 国家密码管 理委员会办公室和国务院信息化工作办公室于 2004 年联合下发了关于信息 安全等级保护工作的实施意见 ，明确指出要在三年内在全国范围内推广等级 保护制度。为了规范和指导各地的等级保护工作， 公安部、全国信息安全标准化技术 委员会委托公安

4、部信息安全等级保护评估中心（以下简称评估中心）制定了 一系列等级保护相关标准和文件。目前，国家推荐标准信息系统安全保护 等级定级指南、信息系统安全等级保护基本要求和信息系统安全等级 保护实施指南已经完成报批稿， 信息系统安全等级保护测评准则已经完成征求意见稿。2006年 8月，公安部、国家保密局、国家密码局和国务院信息化办公室 联合在北京举行了 “信息安全等级保护工作会议” ，向来自全国各地和各重要 部委的近 200 名信息化工作主管、领导颁发了信息安全等级保护试点工作 实施方案，涉及系统定级、等级测评、制度建设、系统改建、备案与监督检 查等多项等级保护工作。 同时，为了加强信息安全等级保护工

5、作的组织领导， 国家成立了由公安部副部长张新枫任组长，公安部、国家保密局、国家密码 局和国务院信息化办公室有关局级领导为成员的信息安全等级保护协调小 组，协调小组办公室设在公安部公共信息网络安全监察局。试点工作的经验表明，等级测评活动是确保信息安全等级保护工作的关键 环节。等级测评能够帮助信息系统的运营、 使用单位进行信息系统安全自查， 了解系统的安全现状与国家要求之间的差距，明确安全整改的目标与方向。市场调查表明，目前信息安全相关的商用测评工具主要集中在漏洞扫描和 问卷评估系统等方面，无法准确、全面的提供信息系统安全等级保护的整体 测评结论。由于信息安全等级保护制度已经成为我国信息安全保护工

6、作的基本国策， 国家相关文件规定信息系统必须定期进行自查和定期委托专业测评机构进行 等级符合性测评。为了确保信息安全等级保护工作的顺利开展，实现国家在 三年内全面实施信息安全等级保护工作的目标，迫切需要信息系统等级保护 测评的专用工具，作为信息系统等级测评支撑工具，为提供信息系统的运营 单位、使用单位、安全服务机构、安全测评机构、重要行业的主管部门以及 国家信息安全监管机构等部门，用于定期测试或符合性测评。因此，专用测评工具将成为信息系统的运营单位、 使用单位、 安全服务机 构、安全测评机构、重要行业的主管部门以及国家信息安全监管机构等部门 的必备工具，是信息安全等级保护工作的顺利开展和完成不

7、可或缺的保障。1.2 产品概述信息系统安全等级测评工具 （行业版 ）是在国内领先的信息安全检查专家 团队在深入分析信息安全检查技术要求、国内信息系统面临安全威胁和典型 案例的基础上研制而成。 作为国内领先的行业版信息系统安全等级测评工具， 不仅提供了详细的操作流程、步骤说明，还具有融合自动化工具和第三方安 全检查工具检查、扫描的功能，能够有效协助使用者对信息系统进行安全检 查和管理工作。本软件产品的原型来源于国家高技术研究发展计划（ 863 计划）课题等 级保护体系模型、测评方法与支撑工具研究 （2007年 01月 10日，课题编 号： 2006AA01Z450 ）和国家发改委国家信息安全专项

8、项目（发改办高技 20072035 号文）。软件产品吸取了专家组的意见和建议，并结合国务院办 公厅关于印发 政府信息系统安全检查办法 的通知（国办发 200928 号）、 2009 年度政府信息系统安全检查指南 和 2009年度政府信息系统安全检 查情况报告表 的功能需求， 在公安部信息安全等级保护评估中心的指导下， 经过功能完善、适应测评工作指南要求、调整报告格式等大量工作，最终形 成了可以为等级测评提供支持和服务的系列工具，并已投入多个测评项目实 际应用。信息系统安全等级测评工具 （行业版 ） 主要面向信息安全管理部门和信息 系统的安全检查人员，引导安全检查人员按照标准和规范的检查方法进行

9、安 全检查，并能实现安全检查的数据、过程标准化管理；信息系统安全等级测 评工具（行业版 ）通过对填报数据的自动统计，实时展现安全检查工作的进度， 便于信息安全管理部门宏观掌握检查过程，实时掌握相应统计数据。本产品名称为“信息系统安全等级测评工具（行业版 ）” （ InformationSystems Classified Security Protection Evaluation Utility for Trade ），简称为等 保测评工具行业版，产品编码为 CRIT-CS-TD 。2 产品目标及策略2.1 产品目标配合信息安全检查工作的贯彻和实施，为：? 信息安全监管部门 ;? 信息系统运

10、行维护管理部门 ;? 行业信息安全主管部门 ; 提供信息系统安全检查数据填报和监督检查的辅助工具，使信息安全相关 单位和部门能够尽快掌握信息系统的安全检查要求， 监督安全检查过程， 统计分 析信息系统安全状况，提高信息系统安全检查水平，增加这些环节的工作效率， 提高自动化程度。信息系统安全等级测评工具 -行业版 可为拥有大型专网的政府部门和各类 企业提供服务。主要目标用户为：行业内信息系统安全检查、服务和管理人员。2.2 产品策略本平台是模块化运行的软件，可根据模块组配选择。系统升级和维护应优 先考虑离线安全升级维护方式，也可提供基于安全虚拟专网的加密传输升级方 式。 本平台具有认证、授权等安

11、全特性。安全性方面扩展功能：用户登录采用 USBKey 等强认证方式。 软件产品采用模块化的软件架构，可以通过模块扩充数据统计分析与融合 算法、报告生成方法? 提供检查内容的检查说明与检查方法；? 灵活可定制的报表功能，支持 Word、 HTML 等多种格式导出；? 提供 API 扩展接口，可以方便地驳接第三方软件工具（如扫描工具、 主机检查工具）等；? 具有数据导入、导出接口；? 客户化定制功能，可根据组件配置选择，形成多个功能版本或具有行 业特色内容的版本等。后续策略将根据市场反馈进一步及时升级和更新。3 产品执行标准? 中华人民共和国计算机信息系统安全等级保护条例， 1994? 国家信息

12、化领导小组关于加强信息安全保障工作意见（中发办200327 号）? 国务院办公厅关于印发 政府信息系统安全检查办法 的通知（国办发200928 号）? 2009 年度政府信息系统安全检查指南? 2009 年度政府信息系统安全检查情况报告表? 关于信息安全等级保护工作实施意见（公通字 200466 号）? 等级保护管理办法（公通字 200743 号）? 信息安全等级保护管理办法（试行）? 计算机信息系统等级保护划分准则 GB17859? 信息系统安全等级保护实施指南（送审稿）? 信息系统安全保护等级定级指南（ GB/T 22240-2008）? 信息系统安全等级保护基本要求（ GB/T 2223

13、9-2008）? 信息系统安全等级保护测评要求（送审稿）? GA/T 387-2002 计算机信息系统安全等级保护网络技术要求? GA 388-2002计算机信息系统安全等级保护操作系统技术要求? GA/T 389-2002计算机信息系统安全等级保护数据库管理系统技术要 求? GA/T 390-2002 计算机信息系统安全等级保护通用技术要求? GA 391-2002计算机信息系统安全等级保护管理要求4 产品说明根据信息系统等级保护模型研究报告 、信息系统等级测评模型研究报 告、等级保护测评工作知识表达方法研究报告 、等级保护测评知识库与 方法库设计报告的研究成果，并结合国务院办公厅关于印发

14、政府信息系 统安全检查办法 的通知（国办发 200928 号）、2009 年度政府信息系统安 全检查指南 和2009年度政府信息系统安全检查情况报告表 的需求分析， 行业版完成的主要功能如下图所示：图 行业版的主要功能示意图根据以上的主要功能， 将行业版的架构设计为 B/S 架构，同时提供便携式客户端，以便离线填报检查结果， 并且可以将离线填报结果导入到行业版中行业版的结构示意图如下图所示。图 行业版的结构示意图行业版的界面友好， 使用方便， 采用统一的登陆入口， 便于进行安全检查 过程管理，检查数据的动态统计。如下图所示。图 行业版的功能示意图行业版在国内某行业进行了实用， 通过实际运行考验和性能优化， 功能满 足实际行业的信息系统等级保护安全检查需要，是 国内领先的等级保护安全 检查工作平台 。行业版的用户应具有基本的计算机信息安全知识， 具有独立的安全检查工 具使用和维护的基本能力