三所等保測(cè)評(píng)工具服務(wù)版

1產(chǎn)品背景及概述1.1產(chǎn)品背景隨著信息技術(shù)的迅猛發(fā)展和廣泛應(yīng)用，特別是我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程的全面加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，信息網(wǎng)絡(luò)已成為國(guó)家和社會(huì)發(fā)展新的重要戰(zhàn)略資源。黨中央、國(guó)務(wù)院始終高度重視信息安全問(wèn)題，多次指示公安部會(huì)同有關(guān)部委制定有效措施，切實(shí)加強(qiáng)管理，提高我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)水平，以確保社會(huì)政治穩(wěn)定和經(jīng)濟(jì)建設(shè)的順利進(jìn)行。2003年8月，國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中辦發(fā)[2003]27號(hào)）明確指出信息安全保障工作要“實(shí)行信息安全等級(jí)保護(hù)”。信息安全等級(jí)保護(hù)制度已經(jīng)成為我國(guó)信息安全保護(hù)工作的基本國(guó)策，實(shí)行信息安全等級(jí)保護(hù)具有重大的現(xiàn)實(shí)和戰(zhàn)略意義。為了進(jìn)一步推動(dòng)等級(jí)保護(hù)工作的進(jìn)展，公安部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)辦公室和國(guó)務(wù)院信息化工作辦公室于2004年聯(lián)合下發(fā)了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》，明確指出要在三年內(nèi)在全國(guó)范圍內(nèi)推廣等級(jí)保護(hù)制度。為了規(guī)范和指導(dǎo)各地的等級(jí)保護(hù)工作，公安部、全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)委托公安部信息安全等級(jí)保護(hù)評(píng)估中心（以下簡(jiǎn)稱評(píng)估中心）制定了一系列等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和文件。目前，國(guó)家推薦標(biāo)準(zhǔn)《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》和《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》已經(jīng)完成報(bào)批稿，《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》已經(jīng)完成征求意見(jiàn)稿。2006年8月，公安部、國(guó)家保密局、國(guó)家密碼局和國(guó)務(wù)院信息化辦公室聯(lián)合在北京舉行了“信息安全等級(jí)保護(hù)工作會(huì)議”，向來(lái)自全國(guó)各地和各重要部委的近200名信息化工作主管、領(lǐng)導(dǎo)頒發(fā)了《信息安全等級(jí)保護(hù)試點(diǎn)工作實(shí)施方案》，涉及系統(tǒng)定級(jí)、等級(jí)測(cè)評(píng)、制度建設(shè)、系統(tǒng)改建、備案與監(jiān)督檢查等多項(xiàng)等級(jí)保護(hù)工作。同時(shí)，為了加強(qiáng)信息安全等級(jí)保護(hù)工作的組織領(lǐng)導(dǎo)，國(guó)家成立了由公安部副部長(zhǎng)張新楓任組長(zhǎng)，公安部、國(guó)家保密局、國(guó)家密碼局和國(guó)務(wù)院信息化辦公室有關(guān)局級(jí)領(lǐng)導(dǎo)為成員的信息安全等級(jí)保護(hù)協(xié)調(diào)小組，協(xié)調(diào)小組辦公室設(shè)在公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局。試點(diǎn)工作的經(jīng)驗(yàn)表明，等級(jí)測(cè)評(píng)活動(dòng)是確保信息安全等級(jí)保護(hù)工作的關(guān)鍵環(huán)節(jié)。等級(jí)測(cè)評(píng)能夠幫助信息系統(tǒng)的運(yùn)營(yíng)、使用單位進(jìn)行信息系統(tǒng)安全自查，了解系統(tǒng)的安全現(xiàn)狀與國(guó)家要求之間的差距，明確安全整改的目標(biāo)與方向。市場(chǎng)調(diào)查表明，目前信息安全相關(guān)的商用測(cè)評(píng)工具主要集中在漏洞掃描和問(wèn)卷評(píng)估系統(tǒng)等方面，無(wú)法準(zhǔn)確、全面的提供信息系統(tǒng)安全等級(jí)保護(hù)的整體測(cè)評(píng)結(jié)論。由于信息安全等級(jí)保護(hù)制度已經(jīng)成為我國(guó)信息安全保護(hù)工作的基本國(guó)策，國(guó)家相關(guān)文件規(guī)定信息系統(tǒng)必須定期進(jìn)行自查和定期委托專業(yè)測(cè)評(píng)機(jī)構(gòu)進(jìn)行等級(jí)符合性測(cè)評(píng)。為了確保信息安全等級(jí)保護(hù)工作的順利開展，實(shí)現(xiàn)國(guó)家在三年內(nèi)全面實(shí)施信息安全等級(jí)保護(hù)工作的目標(biāo)，迫切需要信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)的專用工具，作為信息系統(tǒng)等級(jí)測(cè)評(píng)支撐工具，為提供信息系統(tǒng)的運(yùn)營(yíng)單位、使用單位、安全服務(wù)機(jī)構(gòu)、安全測(cè)評(píng)機(jī)構(gòu)、重要行業(yè)的主管部門以及國(guó)家信息安全監(jiān)管機(jī)構(gòu)等部門，用于定期測(cè)試或符合性測(cè)評(píng)。因此，專用測(cè)評(píng)工具將成為信息系統(tǒng)的運(yùn)營(yíng)單位、使用單位、安全服務(wù)機(jī)構(gòu)、安全測(cè)評(píng)機(jī)構(gòu)、重要行業(yè)的主管部門以及國(guó)家信息安全監(jiān)管機(jī)構(gòu)等部門的必備工具，是信息安全等級(jí)保護(hù)工作的順利開展和完成不可或缺的保障。1.2產(chǎn)品概述海盾系列信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工具軟件是在國(guó)內(nèi)領(lǐng)先的等保測(cè)評(píng)專家團(tuán)隊(duì)在深入分析等級(jí)保護(hù)技術(shù)要求、國(guó)內(nèi)信息系統(tǒng)面臨安全威脅和典型案例的基礎(chǔ)上研制而成。作為國(guó)內(nèi)領(lǐng)先的等保測(cè)評(píng)工具軟件，不僅提供了詳細(xì)的操作流程、步驟說(shuō)明，還具有融合自動(dòng)化工具和第三方安全檢查工具檢查、掃描的功能，能夠有效協(xié)助使用者按照等級(jí)保護(hù)標(biāo)準(zhǔn)要求推進(jìn)信息系統(tǒng)安全等級(jí)保護(hù)工作。本軟件產(chǎn)品的原型來(lái)源于國(guó)家高技術(shù)研究發(fā)展計(jì)劃（863計(jì)劃）課題《等級(jí)保護(hù)體系模型、測(cè)評(píng)方法與支撐工具研究》（2007年01月10日，課題編號(hào)：2006AA01Z450）和國(guó)家發(fā)改委國(guó)家信息安全專項(xiàng)項(xiàng)目（發(fā)改辦高技[2007]2035號(hào)文）。軟件產(chǎn)品吸取了專家組的意見(jiàn)和建議，在公安部信息安全等級(jí)保護(hù)評(píng)估中心的指導(dǎo)下，經(jīng)過(guò)功能完善、適應(yīng)測(cè)評(píng)工作指南要求、調(diào)整報(bào)告格式等大量工作，最終形成了可以為等級(jí)測(cè)評(píng)提供支持和服務(wù)的系列工具，并已投入多個(gè)測(cè)評(píng)項(xiàng)目實(shí)際應(yīng)用。海盾系列工具軟件主要面向信息系統(tǒng)運(yùn)營(yíng)使用單位的安全管理人員和測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)技術(shù)人員，指導(dǎo)他們按照標(biāo)準(zhǔn)和規(guī)范的測(cè)評(píng)方法進(jìn)行測(cè)評(píng)或自測(cè)，并能實(shí)現(xiàn)測(cè)評(píng)的數(shù)據(jù)、過(guò)程標(biāo)準(zhǔn)化管理。本產(chǎn)品名稱為“信息系統(tǒng)安全等級(jí)測(cè)評(píng)工具-服務(wù)版”（InformationSystemsClassifiedSecurityProtectionEvaluationUtilityforOrganization），簡(jiǎn)稱等保測(cè)評(píng)工具服務(wù)版，產(chǎn)品編碼為CRIT-CS-TB。2產(chǎn)品目標(biāo)及策略2.1產(chǎn)品目標(biāo)配合信息安全等級(jí)保護(hù)體系的貫徹和實(shí)施，需要根據(jù)等級(jí)保護(hù)的標(biāo)準(zhǔn)體系，開發(fā)一系列輔助的工具，為：等級(jí)測(cè)評(píng)服務(wù)機(jī)構(gòu)；監(jiān)管部門；信息系統(tǒng)運(yùn)行維護(hù)管理部門；行業(yè)主管部門；提供測(cè)評(píng)和監(jiān)督檢查的輔助工具，以使相關(guān)單位和部門能夠盡快掌握相關(guān)的評(píng)估測(cè)試技術(shù)標(biāo)準(zhǔn)與標(biāo)準(zhǔn)知識(shí)的應(yīng)用，提高信息系統(tǒng)安全測(cè)評(píng)和檢查的水平，并增加這些環(huán)節(jié)的工作效率，提高自動(dòng)化程度。等保測(cè)評(píng)支撐工具-服務(wù)版是為等級(jí)測(cè)評(píng)服務(wù)機(jī)構(gòu)提供服務(wù)的，主要目標(biāo)用戶為：行業(yè)內(nèi)信息系統(tǒng)等級(jí)安全保護(hù)評(píng)估、服務(wù)及管理人員。2.2產(chǎn)品策略本服務(wù)版系統(tǒng)是一款相對(duì)獨(dú)立運(yùn)行的軟件，可獨(dú)立于等保測(cè)評(píng)支撐工具項(xiàng)目的其他版本系統(tǒng)而運(yùn)行，系統(tǒng)升級(jí)和維護(hù)應(yīng)優(yōu)先考慮離線安全升級(jí)維護(hù)方式，也可提供基于安全虛擬專網(wǎng)的加密傳輸升級(jí)。在管理員操作系統(tǒng)的時(shí)候，需通過(guò)本系統(tǒng)才可登錄。也就是說(shuō)，在服務(wù)系統(tǒng)管理上，具有認(rèn)證、授權(quán)、審計(jì)等安全特性。系統(tǒng)具有如下特點(diǎn)：對(duì)系統(tǒng)操作人員所有維護(hù)動(dòng)作、操作可進(jìn)行審計(jì)；為方便用戶的使用，提供XLS格式的文件數(shù)據(jù)導(dǎo)入模式。安全性方面擴(kuò)展功能：用戶登錄可采用USBKey等強(qiáng)認(rèn)證方式；離線數(shù)據(jù)的上傳與下載可利用USBKey內(nèi)置證書采用PKI體制增強(qiáng)安全性；軟件產(chǎn)品采用組件化的軟件架構(gòu)，可以通過(guò)組件擴(kuò)充測(cè)評(píng)方法、數(shù)據(jù)分析與融合算法、報(bào)告生成方法——知識(shí)庫(kù)包含安全產(chǎn)品測(cè)評(píng)與系統(tǒng)測(cè)評(píng)知識(shí)，支持XML的知識(shí)表示；支持等級(jí)保護(hù)體系模型中的測(cè)評(píng)方法；支持智能的結(jié)構(gòu)化分析方法，能綜合單獨(dú)測(cè)評(píng)結(jié)果形成系統(tǒng)整體測(cè)評(píng)結(jié)論；靈活可定制的報(bào)表功能，支持Word、HTML、PDF等多種格式導(dǎo)出；提供API擴(kuò)展接口，可以方便地駁接第三方軟件工具（如掃描工具、滲透測(cè)試工具）等；服務(wù)版的使用用戶應(yīng)具有基本的計(jì)算機(jī)信息安全知識(shí)和數(shù)據(jù)庫(kù)知識(shí)，熟悉數(shù)據(jù)庫(kù)維護(hù)、備份與恢復(fù)等，具有獨(dú)立的工具軟件使用維護(hù)基本能力。5結(jié)論本文檔闡述了海盾系列等級(jí)保護(hù)測(cè)評(píng)工具在信息安全等級(jí)保護(hù)工作中的應(yīng)用目的、方式和方法。