信息系统安全等级测评工具

1、文档编码crbj-pmd-psi项目管理号1001-gfcsp-tech信息系统安全等级测评工具【行业版】产品规格说明书（psi）product specification instructions公安部第三研究所2010年07月06日版权所有 侵权必究文档信息文档名称产品规格说明书（psi）文档管理编号crbj-pmd-psi-1001-gfcsp-tech保密级别项目组文档版本号1.0.0.0制作人制作日期复审人复审日期扩散范围扩散批准人版本变更记录时间版本说明修改人文档送呈单位目的总办汇报产品规格情况，供技术支持、售前使用研发部存档及支持目录1产品背景及概述11.1产品背景11.2产品概

2、述12产品目标及策略22.1产品目标22.2产品策略33产品执行标准44产品说明55结论71 产品背景及概述1.1 产品背景随着信息技术的迅猛发展和广泛应用，特别是我国国民经济和社会信息化进程的全面加快，网络与信息系统的基础性、全局性作用日益增强，信息网络已成为国家和社会发展新的重要战略资源。党中央、国务院始终高度重视信息安全问题，多次指示公安部会同有关部委制定有效措施，切实加强管理，提高我国计算机信息系统安全保护水平，以确保社会政治稳定和经济建设的顺利进行。2003年8月，国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）明确指出信息安全保障工作要“实行信息安全等级保护

3、”。信息安全等级保护制度已经成为我国信息安全保护工作的基本国策，实行信息安全等级保护具有重大的现实和战略意义。为了进一步推动等级保护工作的进展，公安部、国家保密局、国家密码管理委员会办公室和国务院信息化工作办公室于2004年联合下发了关于信息安全等级保护工作的实施意见，明确指出要在三年内在全国范围内推广等级保护制度。为了规范和指导各地的等级保护工作，公安部、全国信息安全标准化技术委员会委托公安部信息安全等级保护评估中心（以下简称评估中心）制定了一系列等级保护相关标准和文件。目前，国家推荐标准信息系统安全保护等级定级指南、信息系统安全等级保护基本要求和信息系统安全等级保护实施指南已经完成报批稿，

4、信息系统安全等级保护测评准则已经完成征求意见稿。2006年8月，公安部、国家保密局、国家密码局和国务院信息化办公室联合在北京举行了“信息安全等级保护工作会议”，向来自全国各地和各重要部委的近200名信息化工作主管、领导颁发了信息安全等级保护试点工作实施方案，涉及系统定级、等级测评、制度建设、系统改建、备案与监督检查等多项等级保护工作。 同时，为了加强信息安全等级保护工作的组织领导，国家成立了由公安部副部长张新枫任组长，公安部、国家保密局、国家密码局和国务院信息化办公室有关局级领导为成员的信息安全等级保护协调小组，协调小组办公室设在公安部公共信息网络安全监察局。试点工作的经验表明，等级测评活动是

5、确保信息安全等级保护工作的关键环节。等级测评能够帮助信息系统的运营、使用单位进行信息系统安全自查，了解系统的安全现状与国家要求之间的差距，明确安全整改的目标与方向。市场调查表明，目前信息安全相关的商用测评工具主要集中在漏洞扫描和问卷评估系统等方面，无法准确、全面的提供信息系统安全等级保护的整体测评结论。由于信息安全等级保护制度已经成为我国信息安全保护工作的基本国策，国家相关文件规定信息系统必须定期进行自查和定期委托专业测评机构进行等级符合性测评。为了确保信息安全等级保护工作的顺利开展，实现国家在三年内全面实施信息安全等级保护工作的目标，迫切需要信息系统等级保护测评的专用工具，作为信息系统等级测

6、评支撑工具，为提供信息系统的运营单位、使用单位、安全服务机构、安全测评机构、重要行业的主管部门以及国家信息安全监管机构等部门，用于定期测试或符合性测评。因此，专用测评工具将成为信息系统的运营单位、使用单位、安全服务机构、安全测评机构、重要行业的主管部门以及国家信息安全监管机构等部门的必备工具，是信息安全等级保护工作的顺利开展和完成不可或缺的保障。1.2 产品概述信息系统安全等级测评工具(行业版)是在国内领先的信息安全检查专家团队在深入分析信息安全检查技术要求、国内信息系统面临安全威胁和典型案例的基础上研制而成。作为国内领先的行业版信息系统安全等级测评工具，不仅提供了详细的操作流程、步骤说明，还

7、具有融合自动化工具和第三方安全检查工具检查、扫描的功能，能够有效协助使用者对信息系统进行安全检查和管理工作。本软件产品的原型来源于国家高技术研究发展计划（863计划）课题等级保护体系模型、测评方法与支撑工具研究（2007年01月10日，课题编号：2006aa01z450）和国家发改委国家信息安全专项项目（发改办高技 20072035号文）。软件产品吸取了专家组的意见和建议，并结合国务院办公厅关于印发的通知（国办发200928号）、2009年度政府信息系统安全检查指南和2009年度政府信息系统安全检查情况报告表的功能需求，在公安部信息安全等级保护评估中心的指导下，经过功能完善、适应测评工作指南要

8、求、调整报告格式等大量工作，最终形成了可以为等级测评提供支持和服务的系列工具，并已投入多个测评项目实际应用。信息系统安全等级测评工具(行业版)主要面向信息安全管理部门和信息系统的安全检查人员，引导安全检查人员按照标准和规范的检查方法进行安全检查，并能实现安全检查的数据、过程标准化管理；信息系统安全等级测评工具(行业版)通过对填报数据的自动统计，实时展现安全检查工作的进度，便于信息安全管理部门宏观掌握检查过程，实时掌握相应统计数据。本产品名称为“信息系统安全等级测评工具(行业版)” （information systems classified security protection evalu

9、ation utility for trade），简称为等保测评工具行业版，产品编码为crit-cs-td。2 产品目标及策略2.1 产品目标配合信息安全检查工作的贯彻和实施，为： 信息安全监管部门; 信息系统运行维护管理部门; 行业信息安全主管部门;提供信息系统安全检查数据填报和监督检查的辅助工具，使信息安全相关单位和部门能够尽快掌握信息系统的安全检查要求，监督安全检查过程，统计分析信息系统安全状况，提高信息系统安全检查水平，增加这些环节的工作效率，提高自动化程度。信息系统安全等级测评工具-行业版可为拥有大型专网的政府部门和各类企业提供服务。主要目标用户为：行业内信息系统安全检查、服务和管理

10、人员。2.2 产品策略本平台是模块化运行的软件，可根据模块组配选择。系统升级和维护应优先考虑离线安全升级维护方式，也可提供基于安全虚拟专网的加密传输升级方式。本平台具有认证、授权等安全特性。安全性方面扩展功能：用户登录采用usbkey等强认证方式。软件产品采用模块化的软件架构，可以通过模块扩充数据统计分析与融合算法、报告生成方法 提供检查内容的检查说明与检查方法； 灵活可定制的报表功能，支持word、html等多种格式导出； 提供api扩展接口，可以方便地驳接第三方软件工具（如扫描工具、主机检查工具）等； 具有数据导入、导出接口； 客户化定制功能，可根据组件配置选择，形成多个功能版本或具有行业

11、特色内容的版本等。后续策略将根据市场反馈进一步及时升级和更新。3 产品执行标准 中华人民共和国计算机信息系统安全等级保护条例，1994 国家信息化领导小组关于加强信息安全保障工作意见（中发办200327号） 国务院办公厅关于印发的通知（国办发200928号） 2009年度政府信息系统安全检查指南 2009年度政府信息系统安全检查情况报告表 关于信息安全等级保护工作实施意见（公通字200466号） 等级保护管理办法（公通字200743号） 信息安全等级保护管理办法（试行） 计算机信息系统等级保护划分准则gb17859 信息系统安全等级保护实施指南（送审稿） 信息系统安全保护等级定级指南（gb/t

12、 22240-2008） 信息系统安全等级保护基本要求（gb/t 22239-2008） 信息系统安全等级保护测评要求（送审稿） ga/t 387-2002计算机信息系统安全等级保护网络技术要求 ga 388-2002计算机信息系统安全等级保护操作系统技术要求 ga/t 389-2002计算机信息系统安全等级保护数据库管理系统技术要求 ga/t 390-2002计算机信息系统安全等级保护通用技术要求 ga 391-2002计算机信息系统安全等级保护管理要求4 产品说明根据信息系统等级保护模型研究报告、信息系统等级测评模型研究报告、等级保护测评工作知识表达方法研究报告、等级保护测评知识库与方法库

13、设计报告的研究成果，并结合国务院办公厅关于印发的通知（国办发200928号）、2009年度政府信息系统安全检查指南和2009年度政府信息系统安全检查情况报告表的需求分析，行业版完成的主要功能如下图所示：图 行业版的主要功能示意图根据以上的主要功能，将行业版的架构设计为b/s架构，同时提供便携式客户端，以便离线填报检查结果，并且可以将离线填报结果导入到行业版中 。行业版的结构示意图如下图所示。图 行业版的结构示意图行业版的界面友好，使用方便，采用统一的登陆入口，便于进行安全检查过程管理，检查数据的动态统计。如下图所示。图 行业版的功能示意图行业版在国内某行业进行了实用，通过实际运行考验和性能优化，功能满足实际行业的信息系统等级保护安全检查需要，是国内领先的等级保护安全检查工作平台。行业版的用户应具有基本的计算机信息安全知识，具有独立的安全检查工具使用和维护的基本能力。5 结论本