信息系统安全等级测评工具

1、文档编码CRBJ-PMD-PSI项目管理号1001-GFCSP-Tech信息系统安全等级测评工具【服务版】产品规格说明书（PSI）Product Specification Instructions公安部第三研究所2020年07月02日版权所有侵权必究文档信息产品规格说明书（PSI）CRBJ-PMD-PSI-1001-GFCSP-Tech版本变更记录文档送呈目录1产品背景及概述 错误!未定义书签1.1产品背景 错误!未定义书签1.2产品概述 错误!未定义书签2产品目标及策略 错误!未定义书签2.1产品目标 错误!未定义书签2.2 产品策略 错误!未定义书签3产品执行标准 错误!未定义书签4产品

2、说明 错误!未定义书签5结论 错误!未定义书签1 产品背景及概述1.1 产品背景随着信息技术的迅猛发展和广泛应用， 特别是我国国民经济和社会信息化进程的全面加快，网络与信息系统的基础性、全局性作用日益增强，信息网 络已成为国家和社会发展新的重要战略资源。党中央、国务院始终高度重视 信息安全问题， 多次指示公安部会同有关部委制定有效措施， 切实加强管理， 提高我国计算机信息系统安全保护水平，以确保社会政治稳定和经济建设的 顺利进行。2003年 8月，国家信息化领导小组关于加强信息安全保障工作的意见 （中 办发200327 号）明确指出信息安全保障工作要“实行信息安全等级保护” 。 信息安全等级保

3、护制度已经成为我国信息安全保护工作的基本国策，实行信 息安全等级保护具有重大的现实和战略意义。为了进一步推动等级保护工作的进展， 公安部、国家保密局、 国家密码管 理委员会办公室和国务院信息化工作办公室于 2004 年联合下发了关于信息 安全等级保护工作的实施意见 ，明确指出要在三年内在全国范围内推广等级 保护制度。为了规范和指导各地的等级保护工作， 公安部、全国信息安全标准化技术 委员会委托公安部信息安全等级保护评估中心（以下简称评估中心）制定了 一系列等级保护相关标准和文件。目前，国家推荐标准信息系统安全保护 等级定级指南、信息系统安全等级保护基本要求和信息系统安全等级 保护实施指南已经完

4、成报批稿， 信息系统安全等级保护测评准则已经完成征求意见稿。2006年 8月，公安部、国家保密局、国家密码局和国务院信息化办公室 联合在北京举行了 “信息安全等级保护工作会议” ，向来自全国各地和各重要 部委的近 200 名信息化工作主管、领导颁发了信息安全等级保护试点工作 实施方案，涉及系统定级、等级测评、制度建设、系统改建、备案与监督检 查等多项等级保护工作。 同时，为了加强信息安全等级保护工作的组织领导， 国家成立了由公安部副部长张新枫任组长，公安部、国家保密局、国家密码 局和国务院信息化办公室有关局级领导为成员的信息安全等级保护协调小 组，协调小组办公室设在公安部公共信息网络安全监察局

5、。试点工作的经验表明，等级测评活动是确保信息安全等级保护工作的关键 环节。等级测评能够帮助信息系统的运营、 使用单位进行信息系统安全自查， 了解系统的安全现状与国家要求之间的差距，明确安全整改的目标与方向。市场调查表明，目前信息安全相关的商用测评工具主要集中在漏洞扫描和 问卷评估系统等方面，无法准确、全面的提供信息系统安全等级保护的整体 测评结论。由于信息安全等级保护制度已经成为我国信息安全保护工作的基本国策， 国家相关文件规定信息系统必须定期进行自查和定期委托专业测评机构进行 等级符合性测评。为了确保信息安全等级保护工作的顺利开展，实现国家在 三年内全面实施信息安全等级保护工作的目标，迫切需

6、要信息系统等级保护 测评的专用工具，作为信息系统等级测评支撑工具，为提供信息系统的运营 单位、使用单位、安全服务机构、安全测评机构、重要行业的主管部门以及 国家信息安全监管机构等部门，用于定期测试或符合性测评。因此，专用测评工具将成为信息系统的运营单位、 使用单位、 安全服务机构、安全测评机构、重要行业的主管部门以及国家信息安全监管机构等部门的必备工具，是信息安全等级保护工作的顺利开展和完成不可或缺的保障。1.2 产品概述海盾系列信息系统安全等级保护测评工具软件是在国内领先的等保测评 专家团队在深入分析等级保护技术要求、国内信息系统面临安全威胁和典型 案例的基础上研制而成。作为国内领先的等保测

7、评工具软件，不仅提供了详 细的操作流程、步骤说明，还具有融合自动化工具和第三方安全检查工具检 查、扫描的功能，能够有效协助使用者按照等级保护标准要求推进信息系统 安全等级保护工作。本软件产品的原型来源于国家高技术研究发展计划（ 863 计划）课题等 级保护体系模型、测评方法与支撑工具研究 （2007年 01月 10日，课题编 号： 2006AA01Z450 ）和国家发改委国家信息安全专项项目（发改办高技 20072035 号文）。软件产品吸取了专家组的意见和建议，在公安部信息安全 等级保护评估中心的指导下，经过功能完善、适应测评工作指南要求、调整 报告格式等大量工作，最终形成了可以为等级测评提

8、供支持和服务的系列工 具，并已投入多个测评项目实际应用。海盾系列工具软件主要面向信息系统运营使用单位的安全管理人员和测 评机构的测评技术人员，指导他们按照标准和规范的测评方法进行测评或自 测，并能实现测评的数据、过程标准化管理。本产品名称为“信息系统安全等级测评工具-服务版”（Information SystemsClassified Security Protection Evaluation Utility for Organization ），简称等保测 评工具服务版，产品编码为 CRIT-CS-TB。2 产品目标及策略2.1 产品目标为配合信息安全等级保护体系的贯彻和实施，需要根据等级

9、保护的标准体 系，开发一系列辅助的工具，为：? 等级测评服务机构；? 监管部门；? 信息系统运行维护管理部门；? 行业主管部门；提供测评和监督检查的辅助工具，以使相关单位和部门能够尽快掌握相关 的评估测试技术标准与标准知识的应用，提高信息系统安全测评和检查的水平， 并增加这些环节的工作效率，提高自动化程度。等保测评支撑工具 -服务版 是为等级测评服务机构提供服务的， 主要目标用 户为：行业内信息系统等级安全保护评估、服务及管理人员。2.2 产品策略本服务版系统是一款相对独立运行的软件，可独立于等保测评支撑工具项 目的其他版本系统而运行，系统升级和维护应优先考虑离线安全升级维护方式， 也可提供基

10、于安全虚拟专网的加密传输升级。在管理员操作系统的时候，需通过本系统才可登录。也就是说，在服务系 统管理上，具有认证、授权、审计等安全特性。系统具有如下特点：对系统操作人员所有维护动作、操作可进行审计； 为方便用户的使用，提供 XLS 格式的文件数据导入模式。安全性方面扩展功能：? 用户登录可采用 USBKey 等强认证方式；? 离线数据的上传与下载可利用 USBKey 内置证书采用 PKI 体制增强安 全性；软件产品采用组件化的软件架构，可以通过组件扩充测评方法、数据分析 与融合算法、报告生成方法? 知识库包含安全产品测评与系统测评知识，支持 XML 的知识表示；? 支持等级保护体系模型中的测

11、评方法；? 支持智能的结构化分析方法，能综合单独测评结果形成系统整体测评 结论；? 灵活可定制的报表功能，支持 Word、 HTML 、 PDF 等多种格式导出；? 提供 API 扩展接口，可以方便地驳接第三方软件工具（如扫描工具、 渗透测试工具）等；? 具有数据导入、导出接口，测评结果可以导出到其它系统；? 客户化定制功能，可根据组件配置选择，形成多个功能版本（包括知 识库定制）或具有行业特色内容的版本等。后续策略将根据市场反馈进一步及时升级和更新。3 产品执行标准? 中华人民共和国计算机信息系统安全等级保护条例， 1994? 国家信息化领导小组关于加强信息安全保障工作意见（中发办 2003

12、27 号）? 关于信息安全等级保护工作实施意见（公通字 200466 号）5文档收集于互联网，如有不妥请联系删除 .? 等级保护管理办法（公通字 200743 号）? 信息安全等级保护管理办法（试行）? 计算机信息系统等级保护划分准则 GB17859? 信息系统安全等级保护实施指南（送审稿）? 信息系统安全保护等级定级指南（ GB/T 22240-2008）? 信息系统安全等级保护基本要求（ GB/T 22239-2008）? 信息系统安全等级保护测评要求（送审稿）? GA/T 387-2002 计算机信息系统安全等级保护网络技术要求? GA 388-2002计算机信息系统安全等级保护操作系统

13、技术要求? GA/T 389-2002计算机信息系统安全等级保护数据库管理系统技术要求? GA/T 390-2002 计算机信息系统安全等级保护通用技术要求? GA 391-2002计算机信息系统安全等级保护管理要求4 产品说明根据信息系统等级保护模型研究报告 、信息系统等级测评模型研究报 告、等级保护测评工作知识表达方法研究报告 、等级保护测评知识库与 方法库设计报告的研究成果，支撑工具完成了以下主要功能：? 通过选用测评对象选择方法和测评指标选择方法方法库（内建于方法库中） 的方法并计算， 可根据系统等级、 威胁分析自动形成测评指标。? 根据知识库的测评指标知识内容，将测评指标对应到测评对

14、象，并自 动生成测评方案。? 按照测评对象选择方法和内置的作业指导书知识库，生成技术和管理6文档收集于互联网，如有不妥请联系删除 .两方面的测评检查表。? 支持漏洞扫描数据的导入，实现可扩展的 API 接口，能实现 1 个以上 厂商工具的扫描数据导入。? 通过测评分析和推理机的实现，调用内置测评指标权重集知识库，可对测评结果进行汇总、统计和计算，并按要求给出测评分析结论。? 自动生成测评报告，并根据要求输出指定格式（ Word、 PDF、HTML ） 的数据。测评服务版工具分为测评管理系统和现场测评系统 2 个产品子系统，测评 管理系统放在测评机构内部服务器上， 主要完成项目管理和查询统计等功

15、能； 每个项目需要下发调查工具（ XLS 格式电子表格）给信息系统用户或测评项 目小组，让用户（由测评项目小组人员配合）将信息系统的状况填写完成后 上传到测评机构的测评管理系统中；现场测评系统主要是辅助测评人员对信 息系统进行现场测评分析，在测评完成时，需要将各种辅助工具的测试结果 导入到测评管理系统中进行统一分析。图 1 安全等级测评工具 - 服务版产品部署 服务版是等级测评系列中功能最齐全的工具，用于测评机构（服务机构） 对信息系统提供全面的、公正的、有效的测评服务。解决系统全面测评工作 量大，系统数据多，分析困难，综合评判困难等问题。服务版提供了访谈、 检查和测试等评估方法， 测评人员在

16、工具的引导下对 信息系统、制度和人员等进行全面的安全性证据的获取，并提供多种自动化 的测试手段，测评人员通过接入客户的信息系统对目标网络进行信息调查、 安全漏洞分析或渗透攻击等测评活动，获取大量全面的系统安全性数据，同 时测评人员在工具的引导下，手工输入非工具自动收集的证据数据，在知识库的辅助分析下，综合得出系统的安全现状和保护等级的符合度，并以多种 格式的测评报告形式输出测评结果。测评管理系统调查工具现场测评系统例行维护帐户管理 知识库管理 指标体系管理 问题及建议管理 日志管理 备份与恢复项目信息 知识库数据数据导入项目立项现场调查16类数据项目信息 知识库数据指标数据 问题及建议数据数据导入调查数据导入16类调查数据数据导出调查数据维护定制调查工具定制现场测评系统测评数据导入测评结果判定现场调查数据-/| XLS格式调查表数据1.现场测评数据 /I XLS格式测评数据生成测评方案任务分配任务分配可以使用配制 检查工具包、 测试工具包等 工具进行测评现场测评编制测评报告统计分析测评数据导出图2结合测评工具的测评工作流程熟悉服