文档编码CRBJ-PMD-PSI项目管理号1001-GFCSP-Tech信息系统安全等级测评工具【自测版】产品规格说明书(PSI)Product Specification Instructions公安部第三研究所2010年07月06日版权所有侵权必究[文档信息][版本变更记录][文档送呈]目录1 产品背景及概述 (1)1.1 产品背景 (1)1.2 产品概述 (3)2 产品目标及策略 (4)2.1 产品目标 (4)2.2 产品策略 (4)3 产品执行标准 (5)4 产品说明 (6)5 结论 (8)1产品背景及概述1.1 产品背景随着信息技术的迅猛发展和广泛应用,特别是我国国民经济和社会信息化进程的全面加快,网络与信息系统的基础性、全局性作用日益增强,信息网络已成为国家和社会发展新的重要战略资源。
党中央、国务院始终高度重视信息安全问题,多次指示公安部会同有关部委制定有效措施,切实加强管理,提高我国计算机信息系统安全保护水平,以确保社会政治稳定和经济建设的顺利进行。
2003年8月,国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)明确指出信息安全保障工作要“实行信息安全等级保护”。
信息安全等级保护制度已经成为我国信息安全保护工作的基本国策,实行信息安全等级保护具有重大的现实和战略意义。
为了进一步推动等级保护工作的进展,公安部、国家保密局、国家密码管理委员会办公室和国务院信息化工作办公室于2004年联合下发了《关于信息安全等级保护工作的实施意见》,明确指出要在三年内在全国范围内推广等级保护制度。
为了规范和指导各地的等级保护工作,公安部、全国信息安全标准化技术委员会委托公安部信息安全等级保护评估中心(以下简称评估中心)制定了一系列等级保护相关标准和文件。
目前,国家推荐标准《信息系统安全保护等级定级指南》、《信息系统安全等级保护基本要求》和《信息系统安全等级保护实施指南》已经完成报批稿,《信息系统安全等级保护测评准则》已经完成征求意见稿。
2006年8月,公安部、国家保密局、国家密码局和国务院信息化办公室联合在北京举行了“信息安全等级保护工作会议”,向来自全国各地和各重要部委的近200名信息化工作主管领导颁发了《信息安全等级保护试点工作实施方案》,涉及系统定级、等级测评、制度建设、系统改建、备案与监督检查等多项等级保护工作。
同时,为了加强信息安全等级保护工作的组织领导,国家成立了由公安部副部长张新枫任组长,公安部、国家保密局、国家密码局和国务院信息化办公室有关局级领导为成员的信息安全等级保护协调小组,协调小组办公室设在公安部公共信息网络安全监察局。
试点工作的经验表明,等级测评活动是确保信息安全等级保护工作的关键关节。
等级测评能够帮助信息系统的运营、使用单位进行信息系统安全自查,了解系统的安全现状与国家要求之间的差距,明确安全整改的目标与方向。
市场调查表明,目前信息安全相关的商用测评工具主要集中在漏洞扫描和问卷评估系统等方面,无法准确、全面的提供信息系统安全等级保护的整体测评结论。
由于信息安全等级保护制度已经成为我国信息安全保护工作的基本国策,国家相关文件规定信息系统必须定期进行自查和定期委托专业测评机构进行等级符合性测评。
为了确保信息安全等级保护工作的顺利开展,实现国家在三年内全面实施信息安全等级保护工作的工作目标,迫切需要信息系统等级保护测评的专用工具,作为信息系统等级测评支撑工具,提供信息系统的运营单位、使用单位、安全服务机构、安全测评机构、重要行业的主管部门以及国家信息安全监管机构等部门,用于定期测试或符合性测评。
因此,专用测评工具将成为信息系统的运营单位、使用单位、安全服务机构、安全测评机构、重要行业的主管部门以及国家信息安全监管机构等部门的必备工具,是信息安全等级保护工作的顺利开展和完成不可或缺的保障。
1.2 产品概述海盾系列信息系统安全等级保护测评工具软件是由国内领先的等保测评专家团队在深入分析等级保护技术要求、国内信息系统面临安全威胁和典型案例的基础上研制而成。
作为国内领先的等保测评工具软件,不仅提供了详细的操作流程、步骤说明,还具有融合自动化工具和第三方安全检查工具检查、扫描的功能,能够有效协助使用者按照等级保护标准要求推进信息系统安全等级保护工作。
本软件产品的原型来源于国家高技术研究发展计划(863计划)课题《等级保护体系模型、测评方法与支撑工具研究》(2007年01月10日,课题编号:2006AA01Z450)和国家发改委国家信息安全专项项目(发改办高技[2007]2035号文)。
软件产品吸取了专家组的意见和建议,在公安部信息安全等级保护评估中心的指导下经过功能完善、适应测评工作指南要求、调整报告格式等大量工作,最终形成了可以为等级测评提供支持和服务的系列工具,并已投入多个测评项目实际应用。
海盾系列工具软件主要面向信息系统运营使用单位的安全管理人员和测评机构的测评技术人员,指导他们按照标准合规的测评方法进行测评或自测,并能实现测评的数据、过程标准化管理。
本产品名称为“信息系统安全等级测评工具-自测版”(Information Systems Classified Security Protection Evaluation Utility for Customer),简称等保测评工具自测版,产品编码为CRIT-CS-TA。
2产品目标及策略2.1 产品目标为配合信息安全等级保护体系的贯彻和实施,需要根据等级保护的标准体系,开发一系列辅助的工具,为:➢等级测评服务机构;➢监管部门;➢信息系统运行维护管理部门;➢行业主管部门。
提供测评和监督检查的辅助工具,以使相关单位和部门能够尽快掌握相关的评估测试技术标准与标准知识的应用,提高信息系统安全测评和检查的水平,并增加这些环节的工作效率,提高自动化程度。
等保测评支撑工具-自测版是为用户自查、系统自测评和定级信息系统差距分析提供服务的。
主要目标用户为:信息系统运行维护单位的技术人员和管理人员。
2.2 产品策略本自测版软件是独立运行的软件,采用USBKey认证方式进行登录,并提供数据导出功能,以便将自查数据导出,以便专业机构进行分析。
安全性方面扩展功能:➢用户登录采用USBKey等强认证方式;软件产品采用组件化的软件架构,可以通过组件扩充测评方法、数据分析与融合算法、报告生成方法——➢知识库包含测评知识与测评要点;➢支持等级保护体系模型中的测评方法;➢支持智能的结构化分析方法,能综合单独测评结果形成系统差距分析结论;➢报表功能支持Word格式导出;➢具有数据导出接口,测评结果可以导出到其它管理分析系统中;➢客户化定制功能,可根据组件配置选择,形成多个功能版本(包括知识库定制)或具有行业特色内容的版本等。
后续策略将根据市场反馈进一步及时升级和更新。
3产品执行标准➢中华人民共和国计算机信息系统安全等级保护条例,1994➢国家信息化领导小组关于加强信息安全保障工作意见(中发办[2003]27号)➢关于信息安全等级保护工作实施意见(公通字[2004]66号)➢等级保护管理办法(公通字[2007]43号)➢信息安全等级保护管理办法(试行)➢计算机信息系统等级保护划分准则GB17859➢信息系统安全等级保护实施指南(送审稿)➢信息系统安全保护等级定级指南(GB/T 22240-2008)➢信息系统安全等级保护基本要求(GB/T 22239-2008)➢信息系统安全等级保护测评要求(送审稿)➢GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》➢GA 388-2002《计算机信息系统安全等级保护操作系统技术要求》➢GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》➢GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》➢GA 391-2002《计算机信息系统安全等级保护管理要求》4产品说明根据《信息系统等级保护模型研究报告》、《信息系统等级测评模型研究报告》、《等级保护测评工作知识表达方法研究报告》、《等级保护测评知识库与方法库设计报告》的研究成果,支撑工具完成了以下主要功能:➢根据知识库的测评指标知识内容,将测评指标对应到测评对象,并自动生成测评检查表。
➢引导用户对信息系统、制度和人员等进行全面的安全性证据获取;➢引导用户手工输入收集的证据数据;➢辅助分析给出系统的安全现状;➢辅助分析给出系统保护等级的差距;➢通过调用内置测评指标知识库,可对测评结果进行汇总、统计和计算,并按要求给出定级信息系统差距分析结论。
➢自动生成测评报告,并根据要求输出Word格式的数据。
自测版工具是提供给信息系统运营使用单位对信息系统进行自查使用,使用流程大致可分为三大部分:一是测评准备,二是测评实施,三是后期管理,所有的这些操作都在信息系统运营使用单位内部完成。
具体使用流程如下图所示:图1自测版工具使用流程图在测评准备阶段中,依据等级保护的相关政策、法规和标准,将信息系统对应的安全等级(安全等级包括安全等级、业务信息安全等级和系统服务安全等级)录入到自测版工具中。
在测评实施阶段中,自测版工具信息系统的安全等级和检查对象的类型自动生成相应的自查问卷。
这些问卷主要是根据等级保护的相关标准进行设计的,根据这些自查表可以对相关文档和安全控制进行明确的审查和测试。
在后期管理阶段中,自测版工具自动对填写的自查表进行分析评判,并将不符合项进行汇总,以便用户找出信息系统缺失的能力,并可以根据报告模板生成自查报告,以便对报告进行浏览、打印、预览和导出。
自测版的使用用户应具有基本的计算机信息安全知识,具有独立的工具软件使用维护基本能力。
5结论本文档阐述了海盾系列等级保护测评工具在信息安全等级保护工作中的应用目的、方式和方法。
通过海盾系列等级保护测评工具在信息安全等级保护测评工作中的实际应用和部署,可有效实现等级测评工作的过程和数据管理,预防原始的文档化操作造成的标准不一致、水平参差不齐、易造成信息外泄等问题,实现对定级系统测评数据的安全问题的跟踪定位、整体分析和评估,为定级信息系统的评估意见和整改建议提供详尽、可靠的支持。