信息系統(tǒng)安全等級測評工具服務版

信息系統(tǒng)平安等級測評工具效勞版文檔編碼CRBJ-PMD-PSI工程管理號1001-GFCSP-Tech信息系統(tǒng)平安等級測評工具【效勞版】產品規(guī)格說明書〔PSI〕ProductSpecificationInstructions公安部第三研究所SAVEDATE\@"yyyy年MM月dd日"2024年04月27日版權所有侵權必究產品規(guī)格說明書〔PSI〕公安部第三研究所-PAGE1-[文檔信息]文檔名稱產品規(guī)格說明書〔PSI〕文檔管理編號CRBJ-PMD-PSI-1001-GFCSP-Tech保密級別文檔版本號制作人制作日期復審人復審日期擴散范圍擴散批準人[版本變更記錄]時間版本說明修改人[文檔送呈]單位目的總辦匯報產品規(guī)格情況，供技術支持、售前使用研發(fā)部存檔及支持

目錄TOC\o"1-4"\h\z\u1 產品背景及概述 11.1 產品背景 11.2 產品概述 32 產品目標及策略 42.1 產品目標 42.2 產品策略 53 產品執(zhí)行標準 64 產品說明 75 結論 11產品規(guī)格說明書〔PSI〕公安部第三研究所產品背景及概述產品背景隨著信息技術的迅猛開展和廣泛應用，特別是我國國民經濟和社會信息化進程的全面加快，網(wǎng)絡與信息系統(tǒng)的根底性、全局性作用日益增強，信息網(wǎng)絡已成為國家和社會開展新的重要戰(zhàn)略資源。黨中央、國務院始終高度重視信息平安問題，屢次指示公安部會同有關部委制定有效措施，切實加強管理，提高我國計算機信息系統(tǒng)平安保護水平，以確保社會政治穩(wěn)定和經濟建設的順利進行。2024年8月，國家信息化領導小組關于加強信息平安保障工作的意見〔中辦發(fā)[2024]27號〕明確指出信息平安保障工作要“實行信息平安等級保護〞。信息平安等級保護制度已經成為我國信息平安保護工作的根本國策，實行信息平安等級保護具有重大的現(xiàn)實和戰(zhàn)略意義。為了進一步推動等級保護工作的進展，公安部、國家保密局、國家密碼管理委員會辦公室和國務院信息化工作辦公室于2024年聯(lián)合下發(fā)了?關于信息平安等級保護工作的實施意見?，明確指出要在三年內在全國范圍內推廣等級保護制度。為了標準和指導各地的等級保護工作，公安部、全國信息平安標準化技術委員會委托公安部信息平安等級保護評估中心〔以下簡稱評估中心〕制定了一系列等級保護相關標準和文件。目前，國家推薦標準?信息系統(tǒng)平安保護等級定級指南?、?信息系統(tǒng)平安等級保護根本要求?和?信息系統(tǒng)平安等級保護實施指南?已經完成報批稿，?信息系統(tǒng)平安等級保護測評準那么?已經完成征求意見稿。2024年8月，公安部、國家保密局、國家密碼局和國務院信息化辦公室聯(lián)合在北京舉行了“信息平安等級保護工作會議〞，向來自全國各地和各重要部委的近200名信息化工作主管、領導頒發(fā)了?信息平安等級保護試點工作實施方案?，涉及系統(tǒng)定級、等級測評、制度建設、系統(tǒng)改建、備案與監(jiān)督檢查等多項等級保護工作。同時，為了加強信息平安等級保護工作的組織領導，國家成立了由公安部副部長張新楓任組長，公安部、國家保密局、國家密碼局和國務院信息化辦公室有關局級領導為成員的信息平安等級保護協(xié)調小組，協(xié)調小組辦公室設在公安部公共信息網(wǎng)絡平安監(jiān)察局。試點工作的經驗說明，等級測評活動是確保信息平安等級保護工作的關鍵環(huán)節(jié)。等級測評能夠幫助信息系統(tǒng)的運營、使用單位進行信息系統(tǒng)平安自查，了解系統(tǒng)的平安現(xiàn)狀與國家要求之間的差距，明確平安整改的目標與方向。市場調查說明，目前信息平安相關的商用測評工具主要集中在漏洞掃描和問卷評估系統(tǒng)等方面，無法準確、全面的提供信息系統(tǒng)平安等級保護的整體測評結論。由于信息平安等級保護制度已經成為我國信息平安保護工作的根本國策，國家相關文件規(guī)定信息系統(tǒng)必須定期進行自查和定期委托專業(yè)測評機構進行等級符合性測評。為了確保信息平安等級保護工作的順利開展，實現(xiàn)國家在三年內全面實施信息平安等級保護工作的目標，迫切需要信息系和效勞的系列工具，并已投入多個測評工程實際應用。海盾系列工具軟件主要面向信息系統(tǒng)運營使用單位的平安管理人員和測評機構的測評技術人員，指導他們按照標準和標準的測評方法進行測評或自測，并能實現(xiàn)測評的數(shù)據(jù)、過程標準化管理。本產品名稱為“信息系統(tǒng)平安等級測評工具-效勞版〞〔InformationSystemsClassifiedSecurityProtectionEvaluationUtilityforOrganization〕，簡稱等保測評工具效勞版，產品編碼為CRIT-CS-TB。產品目標及策略產品目標為配合信息平安等級保護體系的貫徹和實施，需要根據(jù)等級保護的標準體系，開發(fā)一系列輔助的工具，為：等級測評效勞機構；監(jiān)管部門；信息系統(tǒng)運行維護管理部門；行業(yè)主管部門；提供測評和監(jiān)督檢查的輔助工具，以使相關單位和部門能夠盡快掌握相關的評估測試技術標準與標準知識的應用，提高信息系統(tǒng)平安測評和檢查的水平，并增加這些環(huán)節(jié)的工作效率，提高自動化程度。等保測評支撐工具-效勞版是為等級測評效勞機構提供效勞的，主要目標用戶為：行業(yè)內信息系統(tǒng)等級平安保護評估、效勞及管理人員。產品策略本效勞版系統(tǒng)是一款相對獨立運行的軟件，可獨立于等保測評支撐工具工程的其他版本系統(tǒng)而運行，系統(tǒng)升級和維護應優(yōu)先考慮離線平安升級維護方式，也可提供基于平安虛擬專網(wǎng)的加密傳輸升級。在管理員操作系統(tǒng)的時候，需通過本系統(tǒng)才可登錄。也就是說，在效勞系統(tǒng)管理上，具有認證、授權、審計等平安特性。系統(tǒng)具有如下特點：對系統(tǒng)操作人員所有維護動作、操作可進行審計；為方便用戶的使用，提供XLS格式的文件數(shù)據(jù)導入模式。平安性方面擴展功能：用戶登錄可采用USBKey等強認證方式；離線數(shù)據(jù)的上傳與下載可利用USBKey內置證書采用PKI體制增強平安性；軟件產品采用組件化的軟件架構，可以通過組件擴充測評方法、數(shù)據(jù)分析與融合算法、報告生成方法——知識庫包含平安產品測評與系統(tǒng)測評知識，支持XML的知識表示；支持等級保護體系模型中的測評方法；支持智能的結構化分析方法，能綜合單獨測評結果形成系統(tǒng)整體測評結論；靈巧可定制的報表功能，支持Word、HTML、PDF等多種格式導出；提供API擴展接口，可以方便地駁接第三方軟件工具〔如掃描工具、滲透測試工具〕等；具有數(shù)據(jù)導入、導出接口，測評結果可以導出到其它系統(tǒng)；客戶化定制功能，可根據(jù)組件配置選擇，形成多個功能版本〔包括知識庫定制〕或具有行業(yè)特色內容的版本等。后續(xù)策略將根據(jù)市場反應進一步及時升級和更新。產品執(zhí)行標準中華人民共和國計算機信息系統(tǒng)平安等級保護條例，1994國家信息化領導小組關于加強信息平安保障工作意見〔中發(fā)辦[2024]27號〕關于信息平安等級保護工作實施意見〔公通字[2024]66號〕等級保護管理方法〔公通字[2024]43號〕信息平安等級保護管理方法〔試行〕計算機信息系統(tǒng)等級保護劃分準那么GB17859信息系統(tǒng)平安等級保護實施指南〔送審稿〕信息系統(tǒng)平安保護等級定級指南〔GB/T22240-2024〕信息系統(tǒng)平安等級保護根本要求〔GB/T22239-2024〕信息系統(tǒng)平安等級保護測評要求〔送審稿〕GA/T387-2024?計算機信息系統(tǒng)平安等級保護網(wǎng)絡技術要求?GA388-2024?計算機信息系統(tǒng)平安等級保護操作系統(tǒng)技術要求?GA/T389-2024?計算機信息系統(tǒng)平安等級保護數(shù)據(jù)庫管理系統(tǒng)技術要求?GA/T390-2024?計算機信息系統(tǒng)平安等級保護通用技術要求?GA391-2024?計算機信息系統(tǒng)平安等級保護管理要求?產品說明根據(jù)?信息系統(tǒng)等級保護模型研究報告?、?信息系統(tǒng)等級測評模型研究報告?、?等級保護測評工作知識表達方法研究報告?、?等級保護測評知識庫與方法庫設計報告?的研究成果，支撐工具完成了以下主要功能：通過選用測評對象選擇方法和測評指標選擇方法方法庫〔內建于方法庫中〕的方法并計算，可根據(jù)系統(tǒng)等級、威脅分析自動形成測評指標。根據(jù)知識庫的測評指標知識內容，將測評指標對應到測評對象，并自動生成測評方案。按照測評對象選擇方法和內置的作業(yè)指導書知識庫，生成技術和管理兩方面的測評檢查表。支持漏洞掃描數(shù)據(jù)的導入，實現(xiàn)可擴展的API接口，能實現(xiàn)1個以上廠商工具的掃描數(shù)據(jù)導入。通過測評分析和推理機的實現(xiàn)，調用內置測評指標權重集知識庫，可對測評結果進行匯總、統(tǒng)計和計算，并按要求給出測評分析結論。自動生成測評報告，并根據(jù)要求輸出指定格式〔Word、PDF、HTML〕的數(shù)據(jù)。測評效勞版工具分為測評管理系統(tǒng)和現(xiàn)場測評系統(tǒng)2個產品子系統(tǒng)，測評管理系統(tǒng)放在測評機構內部效勞器上，主要完成工程管理和查詢統(tǒng)計等功能；每個工程需要下發(fā)調查工具〔XLS格式電子表格〕給信息系統(tǒng)用戶或測評工程小組，讓用戶〔由測評工程小組人員配合〕將信息系統(tǒng)的狀況填寫完成后上傳到測評機構的測評管理系統(tǒng)中；現(xiàn)場測評系統(tǒng)主要是輔助測評人員對信息系統(tǒng)進行現(xiàn)場測評分析，在測評完成時，需要將各種輔助工具的測試結果導入到測評管理系統(tǒng)中進行統(tǒng)一分析。圖1 平安等級測評工具-效勞版產品部署效勞版是等級測評系列中功能最齊全的工具，用于測評機構〔效勞機構〕對信息系統(tǒng)提供全面的、公正的、有效的測評效勞。解決系統(tǒng)全面測評工作量大，系統(tǒng)數(shù)據(jù)多，分析困難，綜合評判困難等問題。效勞版提供了訪談、檢查和測試等評估方法，測評人員在工具的引導下對信息系統(tǒng)、制度和人員等進行全面的平安性證據(jù)的獲取，并提供多種自動化的測試手段，測評人員通過接入客戶的信息系統(tǒng)對目標網(wǎng)絡進行信息調查、平安漏洞分析或滲透攻擊等測評活動，獲取大量全面的系統(tǒng)平安性數(shù)據(jù)，同時測評人員在工具的引導下，手工輸入非工具自動收集的證據(jù)數(shù)據(jù)，在知識庫的輔助分析下，綜合得出系統(tǒng)的平安現(xiàn)狀和保護等級的符合度，并以多種格式的測評報告形式輸出測評結果。圖2結合測評工具的測評工作流程效勞版的使用用戶應具有根本的計算機信息平安知識和數(shù)據(jù)庫知識，熟悉數(shù)據(jù)庫維護、