安全等級測評工具白皮書v2機構(gòu)版

1、文檔編碼CRBJ-PMD-PSI項目管理號1001-GFCSP-Tech信息系統(tǒng)安全等級測評工具【服務(wù)版】產(chǎn)品規(guī)格說明書（PSI）Product Specification Instructions公安部第三研究所2018 年 10 月 03 日版權(quán)所有 侵權(quán)必究文檔信息版本變更記錄文檔送呈總辦匯報產(chǎn)品規(guī)格情況，供技術(shù)支持、售前使用研發(fā)部存檔及支持目錄1產(chǎn)品背景及概述 11.1產(chǎn)品背景11.2產(chǎn)品概述32產(chǎn)品目標及策略 42.1產(chǎn)品目標42.2產(chǎn)品策略43產(chǎn)品執(zhí)行標準 64產(chǎn)品說明 75結(jié)論 101產(chǎn)品背景及概述1.1產(chǎn)品背景隨著信息技術(shù)的迅猛發(fā)展和廣泛應(yīng)用，特別是我國國民經(jīng)濟和社會信息化 進

2、程的全面加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強，信息網(wǎng) 絡(luò)已成為國家和社會發(fā)展新的重要戰(zhàn)略資源。黨中央、國務(wù)院始終高度重視 信息安全問題，多次指示公安部會同有關(guān)部委制定有效措施， 切實加強管理， 提高我國計算機信息系統(tǒng)安全保護水平，以確保社會政治穩(wěn)定和經(jīng)濟建設(shè)的 順利進行。2003年8月，國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號）明確指出信息安全保障工作要“實行信息安全等級保護”。 信息安全等級保護制度已經(jīng)成為我國信息安全保護工作的基本國策，實行信 息安全等級保護具有重大的現(xiàn)實和戰(zhàn)略意義。為了進一步推動等級保護工作的進展， 公安部、國家保密局、國家密碼管

3、 理委員會辦公室和國務(wù)院信息化工作辦公室于 2004年聯(lián)合下發(fā)了關(guān)于信息 安全等級保護工作的實施意見，明確指出要在三年內(nèi)在全國范圍內(nèi)推廣等級 保護制度。為了規(guī)范和指導(dǎo)各地的等級保護工作， 公安部、全國信息安全標準化技術(shù) 委員會委托公安部信息安全等級保護評估中心（以下簡稱評估中心）制定了 一系列等級保護相關(guān)標準和文件。目前，國家推薦標準信息系統(tǒng)安全保護 等級定級指南、信息系統(tǒng)安全等級保護基本要求和信息系統(tǒng)安全等級 保護實施指南已經(jīng)完成報批稿，信息系統(tǒng)安全等級保護測評準則已經(jīng)完成征求意見稿。2006年8月，公安部、國家保密局、國家密碼局和國務(wù)院信息化辦公室 聯(lián)合在北京舉行了 “信息安全等級保護工作

4、會議”，向來自全國各地和各重要 部委的近200名信息化工作主管、領(lǐng)導(dǎo)頒發(fā)了信息安全等級保護試點工作 實施方案，涉及系統(tǒng)定級、等級測評、制度建設(shè)、系統(tǒng)改建、備案與監(jiān)督檢 查等多項等級保護工作。同時，為了加強信息安全等級保護工作的組織領(lǐng)導(dǎo)， 國家成立了由公安部副部長張新楓任組長，公安部、國家保密局、國家密碼 局和國務(wù)院信息化辦公室有關(guān)局級領(lǐng)導(dǎo)為成員的信息安全等級保護協(xié)調(diào)小 組，協(xié)調(diào)小組辦公室設(shè)在公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局。試點工作的經(jīng)驗表明，等級測評活動是確保信息安全等級保護工作的關(guān)鍵 環(huán)節(jié)。等級測評能夠幫助信息系統(tǒng)的運營、 使用單位進行信息系統(tǒng)安全自查， 了解系統(tǒng)的安全現(xiàn)狀與國家要求之間的差距

5、，明確安全整改的目標與方向。市場調(diào)查表明，目前信息安全相關(guān)的商用測評工具主要集中在漏洞掃描和 問卷評估系統(tǒng)等方面，無法準確、全面的提供信息系統(tǒng)安全等級保護的整體 測評結(jié)論。由于信息安全等級保護制度已經(jīng)成為我國信息安全保護工作的基本國策， 國家相關(guān)文件規(guī)定信息系統(tǒng)必須定期進行自查和定期委托專業(yè)測評機構(gòu)進行 等級符合性測評。為了確保信息安全等級保護工作的順利開展，實現(xiàn)國家在 三年內(nèi)全面實施信息安全等級保護工作的目標，迫切需要信息系統(tǒng)等級保護 測評的專用工具，作為信息系統(tǒng)等級測評支撐工具，為提供信息系統(tǒng)的運營 單位、使用單位、安全服務(wù)機構(gòu)、安全測評機構(gòu)、重要行業(yè)的主管部門以及 國家信息安全監(jiān)管機構(gòu)等

6、部門，用于定期測試或符合性測評。因此，專用測評工具將成為信息系統(tǒng)的運營單位、使用單位、安全服務(wù)機 構(gòu)、安全測評機構(gòu)、重要行業(yè)的主管部門以及國家信息安全監(jiān)管機構(gòu)等部門 的必備工具，是信息安全等級保護工作的順利開展和完成不可或缺的保障。1.2產(chǎn)品概述海盾系列信息系統(tǒng)安全等級保護測評工具軟件是在國內(nèi)領(lǐng)先的等保測評 專家團隊在深入分析等級保護技術(shù)要求、國內(nèi)信息系統(tǒng)面臨安全威脅和典型 案例的基礎(chǔ)上研制而成。作為國內(nèi)領(lǐng)先的等保測評工具軟件，不僅提供了詳 細的操作流程、步驟說明，還具有融合自動化工具和第三方安全檢查工具檢 查、掃描的功能，能夠有效協(xié)助使用者按照等級保護標準要求推進信息系統(tǒng) 安全等級保護工作。

7、本軟件產(chǎn)品的原型來源于國家高技術(shù)研究發(fā)展計劃（863計劃）課題等 級保護體系模型、測評方法與支撐工具研究（2007年01月10日，課題編號：2006AA01Z450 ）和國家發(fā)改委國家信息安全專項項目（發(fā)改辦高技 20072035號文）。軟件產(chǎn)品吸取了專家組的意見和建議，在公安部信息安全 等級保護評估中心的指導(dǎo)下，經(jīng)過功能完善、適應(yīng)測評工作指南要求、調(diào)整 報告格式等大量工作，最終形成了可以為等級測評提供支持和服務(wù)的系列工 具，并已投入多個測評項目實際應(yīng)用。海盾系列工具軟件主要面向信息系統(tǒng)運營使用單位的安全管理人員和測 評機構(gòu)的測評技術(shù)人員，指導(dǎo)他們按照標準和規(guī)范的測評方法進行測評或自 測，并能

8、實現(xiàn)測評的數(shù)據(jù)、過程標準化管理。本產(chǎn)品名稱為“信息系統(tǒng)安全等級測評工具-服務(wù)版”（Information SystemsClassified Security Protection Evaluation Utility for Organization ），簡稱等保測 評工具服務(wù)版，產(chǎn)品編碼為 CRIT-CS-TB。2產(chǎn)品目標及策略2.1產(chǎn)品目標為配合信息安全等級保護體系的貫徹和實施，需要根據(jù)等級保護的標準體系，開發(fā)一系列輔助的工具，為：等級測評服務(wù)機構(gòu)；監(jiān)管部門；信息系統(tǒng)運行維護管理部門；行業(yè)主管部門；提供測評和監(jiān)督檢查的輔助工具，以使相關(guān)單位和部門能夠盡快掌握相關(guān) 的評估測試技術(shù)標準與標準

9、知識的應(yīng)用，提高信息系統(tǒng)安全測評和檢查的水平， 并增加這些環(huán)節(jié)的工作效率，提高自動化程度。等保測評支撐工具-服務(wù)版是為等級測評服務(wù)機構(gòu)提供服務(wù)的， 主要目標用 戶為：行業(yè)內(nèi)信息系統(tǒng)等級安全保護評估、服務(wù)及管理人員。2.2產(chǎn)品策略本服務(wù)版系統(tǒng)是一款相對獨立運行的軟件，可獨立于等保測評支撐工具項 目的其他版本系統(tǒng)而運行，系統(tǒng)升級和維護應(yīng)優(yōu)先考慮離線安全升級維護方式， 也可提供基于安全虛擬專網(wǎng)的加密傳輸升級。在管理員操作系統(tǒng)的時候，需通過本系統(tǒng)才可登錄。也就是說，在服務(wù)系統(tǒng)管理上，具有認證、授權(quán)、審計等安全特性。系統(tǒng)具有如下特點：對系統(tǒng)操作人員所有維護動作、操作可進行審計；為方便用戶的使用，提供XL

10、S格式的文件數(shù)據(jù)導(dǎo)入模式。安全性方面擴展功能：用戶登錄可米用USBKey等強認證方式；離線數(shù)據(jù)的上傳與下載可利用USBKey內(nèi)置證書采用PKI體制增強安 全性；軟件產(chǎn)品采用組件化的軟件架構(gòu)，可以通過組件擴充測評方法、數(shù)據(jù)分析 與融合算法、報告生成方法知識庫包含安全產(chǎn)品測評與系統(tǒng)測評知識，支持 XML的知識表示； 支持等級保護體系模型中的測評方法；支持智能的結(jié)構(gòu)化分析方法，能綜合單獨測評結(jié)果形成系統(tǒng)整體測評 結(jié)論；靈活可定制的報表功能，支持 Word、HTML、PDF等多種格式導(dǎo)出； 提供API擴展接口，可以方便地駁接第三方軟件工具（如掃描工具、 滲透測試工具）等；具有數(shù)據(jù)導(dǎo)入、導(dǎo)出接口，測評結(jié)

11、果可以導(dǎo)出到其它系統(tǒng)； 客戶化定制功能，可根據(jù)組件配置選擇，形成多個功能版本（包括知 識庫定制）或具有行業(yè)特色內(nèi)容的版本等。后續(xù)策略將根據(jù)市場反饋進一步及時升級和更新。3產(chǎn)品執(zhí)行標準中華人民共和國計算機信息系統(tǒng)安全等級保護條例，1994國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作意見（中發(fā)辦200327 號）關(guān)于信息安全等級保護工作實施意見（公通字 200466號）等級保護管理辦法（公通字200743號）信息安全等級保護管理辦法（試行）計算機信息系統(tǒng)等級保護劃分準則 GB17859信息系統(tǒng)安全等級保護實施指南（送審稿）信息系統(tǒng)安全保護等級定級指南（GB/T 22240-2008）信息系統(tǒng)安全等級

12、保護基本要求（GB/T 22239-2008）信息系統(tǒng)安全等級保護測評要求（送審稿）GA/T 387-2002計算機信息系統(tǒng)安全等級保護網(wǎng)絡(luò)技術(shù)要求GA 388-2002計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術(shù)要求GA/T 389-2002計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求GA/T 390-2002計算機信息系統(tǒng)安全等級保護通用技術(shù)要求GA 391-2002計算機信息系統(tǒng)安全等級保護管理要求4產(chǎn)品說明根據(jù)信息系統(tǒng)等級保護模型研究報告、信息系統(tǒng)等級測評模型研究報 告、等級保護測評工作知識表達方法研究報告、等級保護測評知識庫與 方法庫設(shè)計報告的研究成果，支撐工具完成了以下主要功能：通過

13、選用測評對象選擇方法和測評指標選擇方法方法庫（內(nèi)建于方法 庫中）的方法并計算，可根據(jù)系統(tǒng)等級、威脅分析自動形成測評指標。 根據(jù)知識庫的測評指標知識內(nèi)容，將測評指標對應(yīng)到測評對象，并自 動生成測評方案。按照測評對象選擇方法和內(nèi)置的作業(yè)指導(dǎo)書知識庫，生成技術(shù)和管理兩方面的測評檢查表。支持漏洞掃描數(shù)據(jù)的導(dǎo)入，實現(xiàn)可擴展的 API接口，能實現(xiàn)1個以上 廠商工具的掃描數(shù)據(jù)導(dǎo)入。通過測評分析和推理機的實現(xiàn)，調(diào)用內(nèi)置測評指標權(quán)重集知識庫，可 對測評結(jié)果進行匯總、統(tǒng)計和計算，并按要求給出測評分析結(jié)論。自動生成測評報告，并根據(jù)要求輸出指定格式（ Word、PDF、HTML） 的數(shù)據(jù)。測評服務(wù)版工具分為測評管理系

14、統(tǒng)和現(xiàn)場測評系統(tǒng) 2個產(chǎn)品子系統(tǒng)，測評 管理系統(tǒng)放在測評機構(gòu)內(nèi)部服務(wù)器上， 主要完成項目管理和查詢統(tǒng)計等功能； 每個項目需要下發(fā)調(diào)查工具（XLS格式電子表格）給信息系統(tǒng)用戶或測評項 目小組，讓用戶（由測評項目小組人員配合）將信息系統(tǒng)的狀況填寫完成后 上傳到測評機構(gòu)的測評管理系統(tǒng)中；現(xiàn)場測評系統(tǒng)主要是輔助測評人員對信 息系統(tǒng)進行現(xiàn)場測評分析，在測評完成時，需要將各種輔助工具的測試結(jié)果導(dǎo)入到測評管理系統(tǒng)中進行統(tǒng)一分析測評管理系統(tǒng)測評數(shù)據(jù)定制數(shù)據(jù)定制數(shù)據(jù)現(xiàn)場測評系統(tǒng)項冃紐長會被測評單位）調(diào)查工具（然測評恤制評中3測評機構(gòu)圖1安全等級測評工具-服務(wù)版產(chǎn)品部署服務(wù)版是等級測評系列中功能最齊全的工具，用于

15、測評機構(gòu)（服務(wù)機構(gòu)）對信息系統(tǒng)提供全面的、公正的、有效的測評服務(wù)。解決系統(tǒng)全面測評工作 量大，系統(tǒng)數(shù)據(jù)多，分析困難，綜合評判困難等問題。服務(wù)版提供了訪談、檢查和測試等評估方法，測評人員在工具的引導(dǎo)下對 信息系統(tǒng)、制度和人員等進行全面的安全性證據(jù)的獲取，并提供多種自動化 的測試手段，測評人員通過接入客戶的信息系統(tǒng)對目標網(wǎng)絡(luò)進行信息調(diào)查、 安全漏洞分析或滲透攻擊等測評活動，獲取大量全面的系統(tǒng)安全性數(shù)據(jù)，同 時測評人員在工具的引導(dǎo)下，手工輸入非工具自動收集的證據(jù)數(shù)據(jù)，在知識 庫的輔助分析下，綜合得出系統(tǒng)的安全現(xiàn)狀和保護等級的符合度，并以多種 格式的測評報告形式輸出測評結(jié)果。調(diào)查工具測評管理系統(tǒng)現(xiàn)場測評系統(tǒng)16類調(diào)查數(shù)據(jù)可以使用配制 檢查工具包、 測試工具包等 工具進行測評圖2結(jié)合測評工具的測評工作流程服務(wù)版的使用用戶應(yīng)具有基本的計算機信息安全知識和數(shù)