1、文檔編碼工程治理號CRBJ-PMD-PSI1001-GFCSP-Tech信息系統(tǒng)平安等級測評工具【效勞版】產(chǎn)品規(guī)格說明書PSIProductSpecificationInstructions公安部第三研究所2021年01月24日版權(quán)所有侵權(quán)必究文檔信息版本變更記錄文檔送呈目錄1產(chǎn)品背景及概述11.1 產(chǎn)品背景11.2 產(chǎn)品概述32產(chǎn)品目標及策略42.1 產(chǎn)品目標42.2 產(chǎn)品策略43產(chǎn)品執(zhí)行標準54產(chǎn)品說明65結(jié)論81產(chǎn)品背景及概述1.1 產(chǎn)品背景隨著信息技術(shù)的迅猛開展和廣泛應用,特別是我國國民經(jīng)濟和社會信息化進程的全面加快,網(wǎng)絡與信息系統(tǒng)的根底性、全局性作用日益增強,信息網(wǎng)絡已成為國家和社會

2、開展新的重要戰(zhàn)略資源.黨中央、國務院始終高度重視信息平安問題,屢次指示公安部會同有關(guān)部委制定有效舉措,切實增強治理,提升我國計算機信息系統(tǒng)平安保護水平,以保證社會政治穩(wěn)定和經(jīng)濟建設(shè)的順利進行.2021年8月,國家信息化領(lǐng)導小組關(guān)于增強信息平安保證工作的意見中辦發(fā)202127號明確指出信息平安保證工作要“實行信息平安等級保護.信息平安等級保護制度已經(jīng)成為我國信息平安保護工作的根本國策,實行信息平安等級保護具有重大的現(xiàn)實和戰(zhàn)略意義.為了進一步推動等級保護工作的進展,公安部、國家保密局、國家密碼管理委員會辦公室和國務院信息化工作辦公室于2021年聯(lián)合下發(fā)了?關(guān)于信息平安等級保護工作的實施意見?,明確

3、指出要在三年內(nèi)在全國范圍內(nèi)推廣等級保護制度.為了標準和指導各地的等級保護工作,公安部、全國信息平安標準化技術(shù)委員會委托公安部信息平安等級保護評估中央以下簡稱評估中央制定了一系列等級保護相關(guān)標準和文件.目前,國家推薦標準?信息系統(tǒng)平安保護等級定級指南?、?信息系統(tǒng)平安等級保護根本要求?和?信息系統(tǒng)平安等級保護實施指南?已經(jīng)完成報批稿,?信息系統(tǒng)平安等級保護測評準那么?已經(jīng)完成征求意見稿.2021年8月,公安部、國家保密局、國家密碼局和國務院信息化辦公室聯(lián)合在北京舉行了“信息平安等級保護工作會議,向來自全國各地和各重要部委的近200名信息化工作主管、領(lǐng)導頒發(fā)了?信息平安等級保護試點工作實施方案?,

4、涉及系統(tǒng)定級、等級測評、制度建設(shè)、系統(tǒng)改建、備案與監(jiān)督檢查等多項等級保護工作.同時,為了增強信息平安等級保護工作的組織領(lǐng)導,國家成立了由公安部副部長張新楓任組長,公安部、國家保密局、國家密碼局和國務院信息化辦公室有關(guān)局級領(lǐng)導為成員的信息平安等級保護協(xié)調(diào)小組,協(xié)調(diào)小組辦公室設(shè)在公安部公共信息網(wǎng)絡平安監(jiān)察局.試點工作的經(jīng)驗說明,等級測評活動是保證信息平安等級保護工作的關(guān)鍵環(huán)節(jié).等級測評能夠幫助信息系統(tǒng)的運營、使用單位進行信息系統(tǒng)平安自查,了解系統(tǒng)的平安現(xiàn)狀與國家要求之間的差距,明確平安整改的目標與方向.市場調(diào)查說明,目前信息平安相關(guān)的商用測評工具主要集中在漏洞掃描和問卷評估系統(tǒng)等方面,無法準確、全

5、面的提供信息系統(tǒng)平安等級保護的整體測評結(jié)論.由于信息平安等級保護制度已經(jīng)成為我國信息平安保護工作的根本國策,國家相關(guān)文件規(guī)定信息系統(tǒng)必須定期進行自查和定期委托專業(yè)測評機構(gòu)進行等級符合性測評.為了保證信息平安等級保護工作的順利開展,實現(xiàn)國家在三年內(nèi)全面實施信息平安等級保護工作的目標,迫切需要信息系統(tǒng)等級保護測評的專用工具,作為信息系統(tǒng)等級測評支撐工具,為提供信息系統(tǒng)的運營單位、使用單位、平安效勞機構(gòu)、平安測評機構(gòu)、重要行業(yè)的主管部門以及國家信息平安監(jiān)管機構(gòu)等部門,用于定期測試或符合性測評.因此,專用測評工具將成為信息系統(tǒng)的運營單位、使用單位、平安效勞機第2頁構(gòu)、平安測評機構(gòu)、重要行業(yè)的主管部門以

6、及國家信息平安監(jiān)管機構(gòu)等部門的必備工具,是信息平安等級保護工作的順利開展和完成不可或缺的保證.1.2 產(chǎn)品概述海盾系列信息系統(tǒng)平安等級保護測評工具軟件是在國內(nèi)領(lǐng)先的等保測評專家團隊在深入分析等級保護技術(shù)要求、國內(nèi)信息系統(tǒng)面臨平安威脅和典型案例的根底上研制而成.作為國內(nèi)領(lǐng)先的等保測評工具軟件,不僅提供了詳細的操作流程、步驟說明,還具有融合自動化工具和第三方平安檢查工具檢查、掃描的功能,能夠有效協(xié)助使用者根據(jù)等級保護標準要求推進信息系統(tǒng)平安等級保護工作.本軟件產(chǎn)品的原型來源于國家高技術(shù)研究開展方案863方案課題?等級保護體系模型、測評方法與支撐工具研究?2021年01月10日,課題編號：2021A

7、A01Z450和國家發(fā)改委國家信息平安專項工程發(fā)改辦高技20212035號文.軟件產(chǎn)品吸取了專家組的意見和建議,在公安部信息平安等級保護評估中央的指導下,經(jīng)過功能完善、適應測評工作指南要求、調(diào)整報告格式等大量工作,最終形成了可以為等級測評提供支持和效勞的系列工具,并已投入多個測評工程實際應用.海盾系列工具軟件主要面向信息系統(tǒng)運營使用單位的平安治理人員和測評機構(gòu)的測評技術(shù)人員,指導他們根據(jù)標準和標準的測評方法進行測評或自測,并能實現(xiàn)測評的數(shù)據(jù)、過程標準化治理.本產(chǎn)品名稱為“信息系統(tǒng)平安等級測評工具-效勞版"InformationSystemsClassifiedSecurityProt

8、ectionEvaluationUtilityforOrganization,簡稱等保測評工具效勞版,產(chǎn)品編碼為CRIT-CS-TB.2產(chǎn)品目標及策略2.1 產(chǎn)品目標為配合信息平安等級保護體系的貫徹和實施,需要根據(jù)等級保護的標準體系,開發(fā)一系列輔助的工具,為：等級測評效勞機構(gòu)；監(jiān)管部門；信息系統(tǒng)運行維護治理部門；行業(yè)主管部門；提供測評和監(jiān)督檢查的輔助工具,以使相關(guān)單位和部門能夠盡快掌握相關(guān)的評估測試技術(shù)標準與標準知識的應用,提升信息系統(tǒng)平安測評和檢查的水平,并增加這些環(huán)節(jié)的工作效率,提升自動化程度.等保測評支撐工具-效勞版是為等級測評效勞機構(gòu)提供效勞的,主要目標用戶為：行業(yè)內(nèi)信息系統(tǒng)等級平安保

9、護評估、效勞及治理人員.2.2 產(chǎn)品策略本效勞版系統(tǒng)是一款相對獨立運行的軟件,可獨立于等保測評支撐工具項目的其他版本系統(tǒng)而運行,系統(tǒng)升級和維護應優(yōu)先考慮離線平安升級維護方式,也可提供基于平安虛擬專網(wǎng)的加密傳輸升級.在治理員操作系統(tǒng)的時候,需通過本系統(tǒng)才可登錄.也就是說,在效勞系統(tǒng)治理上,具有認證、授權(quán)、審計等平安特性.系統(tǒng)具有如下特點：對系統(tǒng)操作人員所有維護動作、操作可進行審計；為方便用戶的使用,提供XLS格式的文件數(shù)據(jù)導入模式.第4頁平安性方面擴展功能：用戶登錄可采用USBKey等強認證方式；離線數(shù)據(jù)的上傳與下載可利用USBKey內(nèi)置證書采用PKI體制增強安全性；軟件產(chǎn)品采用組件化的軟件架構(gòu)

10、,可以通過組件擴充測評方法、數(shù)據(jù)分析與融合算法、報告生成方法一一知識庫包含平安產(chǎn)品測評與系統(tǒng)測評知識,支持XML的知識表示；支持等級保護體系模型中的測評方法；支持智能的結(jié)構(gòu)化分析方法,能綜合單獨測評結(jié)果形成系統(tǒng)整體測評結(jié)論；靈活可定制的報表功能,支持Word、HTML、PDF等多種格式導出；提供API擴展接口,可以方便地駁接第三方軟件工具如掃描工具、滲透測試工具等；具有數(shù)據(jù)導入、導出接口,測評結(jié)果可以導出到其它系統(tǒng)；客戶化定制功能,可根據(jù)組件配置選擇,形成多個功能版本包括知識庫定制或具有行業(yè)特色內(nèi)容的版本等.后續(xù)策略將根據(jù)市場反應進一步及時升級和更新.3產(chǎn)品執(zhí)行標準中華人民共和國計算機信息系統(tǒng)

11、平安等級保護條例,1994國家信息化領(lǐng)導小組關(guān)于增強信息平安保證工作意見中發(fā)辦202127號關(guān)于信息平安等級保護工作實施意見公通字202166號第5頁等級保護治理方法公通字202143號信息平安等級保護治理方法試行計算機信息系統(tǒng)等級保護劃分準那么GB17859信息系統(tǒng)平安等級保護實施指南送審稿信息系統(tǒng)平安保護等級定級指南GB/T22240-2021信息系統(tǒng)平安等級保護根本要求GB/T22239-2021信息系統(tǒng)平安等級保護測評要求送審稿GA/T387-2021?計算機信息系統(tǒng)平安等級保護網(wǎng)絡技術(shù)要求?GA388-2021?計算機信息系統(tǒng)平安等級保護操作系統(tǒng)技術(shù)要求?GA/T389-2021?計

12、算機信息系統(tǒng)平安等級保護數(shù)據(jù)庫治理系統(tǒng)技術(shù)要求?GA/T390-2021?計算機信息系統(tǒng)平安等級保護通用技術(shù)要求?GA391-2021?計算機信息系統(tǒng)平安等級保護治理要求?4產(chǎn)品說明根據(jù)?信息系統(tǒng)等級保護模型研究報告?、?信息系統(tǒng)等級測評模型研究報告?、?等級保護測評工作知識表達方法研究報告?、?等級保護測評知識庫與方法庫設(shè)計報告?的研究成果,支撐工具完成了以下主要功能：通過選用測評對象選擇方法和測評指標選擇方法方法庫內(nèi)建于方法庫中的方法并計算,可根據(jù)系統(tǒng)等級、威脅分析自動形成測評指標.根據(jù)知識庫的測評指標知識內(nèi)容,將測評指標對應到測評對象,并自動生成測評方案.根據(jù)測評對象選擇方法和內(nèi)置的作業(yè)

13、指導書知識庫,生成技術(shù)和治理第6頁兩方面的測評檢查表.支持漏洞掃描數(shù)據(jù)的導入,實現(xiàn)可擴展的API接口,能實現(xiàn)1個以上廠商工具的掃描數(shù)據(jù)導入.通過測評分析和推理機的實現(xiàn),調(diào)用內(nèi)置測評指標權(quán)重集知識庫,可對測評結(jié)果進行匯總、統(tǒng)計和計算,并按要求給出測評分析結(jié)論.自動生成測評報告,并根據(jù)要求輸出指定格式Word、PDF、HTML的數(shù)據(jù).測評效勞版工具分為測評治理系統(tǒng)和現(xiàn)場測評系統(tǒng)2個產(chǎn)品子系統(tǒng),測評治理系統(tǒng)放在測評機構(gòu)內(nèi)部效勞器上,主要完成工程治理和查詢統(tǒng)計等功能；每個工程需要下發(fā)調(diào)查工具XLS格式電子表格給信息系統(tǒng)用戶或測評項目小組,讓用戶由測評工程小組人員配合將信息系統(tǒng)的狀況填寫完成后上傳到測評

14、機構(gòu)的測評治理系統(tǒng)中；現(xiàn)場測評系統(tǒng)主要是輔助測評人員對信息系統(tǒng)進行現(xiàn)場測評分析,在測評完成時,需要將各種輔助工具的測試結(jié)果導入到測評治理系統(tǒng)中進行統(tǒng)一分析.圖1平安等級測評工具-效勞版產(chǎn)品部署效勞版是等級測評系列中功能最齊全的工具,用于測評機構(gòu)效勞機構(gòu)對信息系統(tǒng)提供全面的、公正的、有效的測評效勞.解決系統(tǒng)全面測評工作量大,系統(tǒng)數(shù)據(jù)多,分析困難,綜合評判困難等問題.效勞版提供了訪談、檢查和測試等評估方法,測評人員在工具的引導下對信息系統(tǒng)、制度和人員等進行全面的平安性證據(jù)的獲取,并提供多種自動化的測試手段,測評人員通過接入客戶的信息系統(tǒng)對目標網(wǎng)絡進行信息調(diào)查、平安漏洞分析或滲透攻擊等測評活動,獲取

15、大量全面的系統(tǒng)平安性數(shù)據(jù),同時測評人員在工具的引導下,手工輸入非工具自動收集的證據(jù)數(shù)據(jù),在知識第7頁庫的輔助分析下,綜合得出系統(tǒng)的平安現(xiàn)狀和保護等級的符合度,并以多種格式的測評報告形式輸出測評結(jié)果測評治理系統(tǒng)調(diào)查工具現(xiàn)場測評系統(tǒng)例行維護帳戶治理知識庫治理指標體系治理問題及建議治理日志治理備份與恢復工程信息知識庫數(shù)據(jù)指標數(shù)據(jù)問題及建議數(shù)據(jù)工程立項定制調(diào)查工具數(shù)據(jù)導入16類數(shù)據(jù)數(shù)據(jù)導出工程信息知識庫數(shù)據(jù)數(shù)據(jù)導入現(xiàn)場調(diào)查16類調(diào)查數(shù)據(jù)定制現(xiàn)場測評系統(tǒng)測評數(shù)據(jù)導入測評結(jié)果判定編制測評報告調(diào)查數(shù)據(jù)導入調(diào)查數(shù)據(jù)維護現(xiàn)場調(diào)查數(shù)據(jù)/XLS格式調(diào)查表數(shù)據(jù)r.現(xiàn)場測評數(shù)據(jù)/IXLS格式測評數(shù)據(jù)生成測評方案任務分配現(xiàn)場測評可以使用配制檢查工具包、測試工具包等工具進行測評任務分配統(tǒng)計分析測評數(shù)據(jù)導出圖2結(jié)合測評工具的測評工作流程效勞版的使用用戶應具有根本的計算機信息平安知