信息系統(tǒng)安全等級測評工具.doc

文檔編碼crbj-pmd-psi項目管理號1001-gfcsp-tech信息系統(tǒng)安全等級測評工具【行業(yè)版】產(chǎn)品規(guī)格說明書（psi）product specification instructions公安部第三研究所2010年07月06日版權所有 侵權必究產(chǎn)品規(guī)格說明書（psi） 公安部第三研究所文檔信息文檔名稱產(chǎn)品規(guī)格說明書（psi）文檔管理編號crbj-pmd-psi-1001-gfcsp-tech保密級別項目組文檔版本號1.0.0.0制作人制作日期復審人復審日期擴散范圍擴散批準人版本變更記錄時間版本說明修改人文檔送呈單位目的總辦匯報產(chǎn)品規(guī)格情況，供技術支持、售前使用研發(fā)部存檔及支持目錄1產(chǎn)品背景及概述11.1產(chǎn)品背景11.2產(chǎn)品概述12產(chǎn)品目標及策略22.1產(chǎn)品目標22.2產(chǎn)品策略33產(chǎn)品執(zhí)行標準44產(chǎn)品說明55結論7- 9 -產(chǎn)品規(guī)格說明書（psi） 公安部第三研究所1 產(chǎn)品背景及概述1.1 產(chǎn)品背景隨著信息技術的迅猛發(fā)展和廣泛應用，特別是我國國民經(jīng)濟和社會信息化進程的全面加快，網(wǎng)絡與信息系統(tǒng)的基礎性、全局性作用日益增強，信息網(wǎng)絡已成為國家和社會發(fā)展新的重要戰(zhàn)略資源。黨中央、國務院始終高度重視信息安全問題，多次指示公安部會同有關部委制定有效措施，切實加強管理，提高我國計算機信息系統(tǒng)安全保護水平，以確保社會政治穩(wěn)定和經(jīng)濟建設的順利進行。2003年8月，國家信息化領導小組關于加強信息安全保障工作的意見（中辦發(fā)200327號）明確指出信息安全保障工作要“實行信息安全等級保護”。信息安全等級保護制度已經(jīng)成為我國信息安全保護工作的基本國策，實行信息安全等級保護具有重大的現(xiàn)實和戰(zhàn)略意義。為了進一步推動等級保護工作的進展，公安部、國家保密局、國家密碼管理委員會辦公室和國務院信息化工作辦公室于2004年聯(lián)合下發(fā)了關于信息安全等級保護工作的實施意見，明確指出要在三年內(nèi)在全國范圍內(nèi)推廣等級保護制度。為了規(guī)范和指導各地的等級保護工作，公安部、全國信息安全標準化技術委員會委托公安部信息安全等級保護評估中心（以下簡稱評估中心）制定了一系列等級保護相關標準和文件。目前，國家推薦標準信息系統(tǒng)安全保護等級定級指南、信息系統(tǒng)安全等級保護基本要求和信息系統(tǒng)安全等級保護實施指南已經(jīng)完成報批稿，信息系統(tǒng)安全等級保護測評準則已經(jīng)完成征求意見稿。2006年8月，公安部、國家保密局、國家密碼局和國務院信息化辦公室聯(lián)合在北京舉行了“信息安全等級保護工作會議”，向來自全國各地和各重要部委的近200名信息化工作主管、領導頒發(fā)了信息安全等級保護試點工作實施方案，涉及系統(tǒng)定級、等級測評、制度建設、系統(tǒng)改建、備案與監(jiān)督檢查等多項等級保護工作。 同時，為了加強信息安全等級保護工作的組織領導，國家成立了由公安部副部長張新楓任組長，公安部、國家保密局、國家密碼局和國務院信息化辦公室有關局級領導為成員的信息安全等級保護協(xié)調(diào)小組，協(xié)調(diào)小組辦公室設在公安部公共信息網(wǎng)絡安全監(jiān)察局。試點工作的經(jīng)驗表明，等級測評活動是確保信息安全等級保護工作的關鍵環(huán)節(jié)。等級測評能夠幫助信息系統(tǒng)的運營、使用單位進行信息系統(tǒng)安全自查，了解系統(tǒng)的安全現(xiàn)狀與國家要求之間的差距，明確安全整改的目標與方向。市場調(diào)查表明，目前信息安全相關的商用測評工具主要集中在漏洞掃描和問卷評估系統(tǒng)等方面，無法準確、全面的提供信息系統(tǒng)安全等級保護的整體測評結論。由于信息安全等級保護制度已經(jīng)成為我國信息安全保護工作的基本國策，國家相關文件規(guī)定信息系統(tǒng)必須定期進行自查和定期委托專業(yè)測評機構進行等級符合性測評。為了確保信息安全等級保護工作的順利開展，實現(xiàn)國家在三年內(nèi)全面實施信息安全等級保護工作的目標，迫切需要信息系統(tǒng)等級保護測評的專用工具，作為信息系統(tǒng)等級測評支撐工具，為提供信息系統(tǒng)的運營單位、使用單位、安全服務機構、安全測評機構、重要行業(yè)的主管部門以及國家信息安全監(jiān)管機構等部門，用于定期測試或符合性測評。因此，專用測評工具將成為信息系統(tǒng)的運營單位、使用單位、安全服務機構、安全測評機構、重要行業(yè)的主管部門以及國家信息安全監(jiān)管機構等部門的必備工具，是信息安全等級保護工作的順利開展和完成不可或缺的保障。1.2 產(chǎn)品概述信息系統(tǒng)安全等級測評工具(行業(yè)版)是在國內(nèi)領先的信息安全檢查專家團隊在深入分析信息安全檢查技術要求、國內(nèi)信息系統(tǒng)面臨安全威脅和典型案例的基礎上研制而成。作為國內(nèi)領先的行業(yè)版信息系統(tǒng)安全等級測評工具，不僅提供了詳細的操作流程、步驟說明，還具有融合自動化工具和第三方安全檢查工具檢查、掃描的功能，能夠有效協(xié)助使用者對信息系統(tǒng)進行安全檢查和管理工作。本軟件產(chǎn)品的原型來源于國家高技術研究發(fā)展計劃（863計劃）課題等級保護體系模型、測評方法與支撐工具研究（2007年01月10日，課題編號：2006aa01z450）和國家發(fā)改委國家信息安全專項項目（發(fā)改辦高技 20072035號文）。軟件產(chǎn)品吸取了專家組的意見和建議，并結合國務院辦公廳關于印發(fā)的通知（國辦發(fā)200928號）、2009年度政府信息系統(tǒng)安全檢查指南和2009年度政府信息系統(tǒng)安全檢查情況報告表的功能需求，在公安部信息安全等級保護評估中心的指導下，經(jīng)過功能完善、適應測評工作指南要求、調(diào)整報告格式等大量工作，最終形成了可以為等級測評提供支持和服務的系列工具，并已投入多個測評項目實際應用。信息系統(tǒng)安全等級測評工具(行業(yè)版)主要面向信息安全管理部門和信息系統(tǒng)的安全檢查人員，引導安全檢查人員按照標準和規(guī)范的檢查方法進行安全檢查，并能實現(xiàn)安全檢查的數(shù)據(jù)、過程標準化管理；信息系統(tǒng)安全等級測評工具(行業(yè)版)通過對填報數(shù)據(jù)的自動統(tǒng)計，實時展現(xiàn)安全檢查工作的進度，便于信息安全管理部門宏觀掌握檢查過程，實時掌握相應統(tǒng)計數(shù)據(jù)。本產(chǎn)品名稱為“信息系統(tǒng)安全等級測評工具(行業(yè)版)” （information systems classified security protection evaluation utility for trade），簡稱為等保測評工具行業(yè)版，產(chǎn)品編碼為crit-cs-td。2 產(chǎn)品目標及策略2.1 產(chǎn)品目標配合信息安全檢查工作的貫徹和實施，為： 信息安全監(jiān)管部門; 信息系統(tǒng)運行維護管理部門; 行業(yè)信息安全主管部門;提供信息系統(tǒng)安全檢查數(shù)據(jù)填報和監(jiān)督檢查的輔助工具，使信息安全相關單位和部門能夠盡快掌握信息系統(tǒng)的安全檢查要求，監(jiān)督安全檢查過程，統(tǒng)計分析信息系統(tǒng)安全狀況，提高信息系統(tǒng)安全檢查水平，增加這些環(huán)節(jié)的工作效率，提高自動化程度。信息系統(tǒng)安全等級測評工具-行業(yè)版可為擁有大型專網(wǎng)的政府部門和各類企業(yè)提供服務。主要目標用戶為：行業(yè)內(nèi)信息系統(tǒng)安全檢查、服務和管理人員。2.2 產(chǎn)品策略本平臺是模塊化運行的軟件，可根據(jù)模塊組配選擇。系統(tǒng)升級和維護應優(yōu)先考慮離線安全升級維護方式，也可提供基于安全虛擬專網(wǎng)的加密傳輸升級方式。本平臺具有認證、授權等安全特性。安全性方面擴展功能：用戶登錄采用usbkey等強認證方式。軟件產(chǎn)品采用模塊化的軟件架構，可以通過模塊擴充數(shù)據(jù)統(tǒng)計分析與融合算法、報告生成方法 提供檢查內(nèi)容的檢查說明與檢查方法； 靈活可定制的報表功能，支持word、html等多種格式導出； 提供api擴展接口，可以方便地駁接第三方軟件工具（如掃描工具、主機檢查工具）等； 具有數(shù)據(jù)導入、導出接口； 客戶化定制功能，可根據(jù)組件配置選擇，形成多個功能版本或具有行業(yè)特色內(nèi)容的版本等。后續(xù)策略將根據(jù)市場反饋進一步及時升級和更新。3 產(chǎn)品執(zhí)行標準 中華人民共和國計算機信息系統(tǒng)安全等級保護條例，1994 國家信息化領導小組關于加強信息安全保障工作意見（中發(fā)辦200327號） 國務院辦公廳關于印發(fā)的通知（國辦發(fā)200928號） 2009年度政府信息系統(tǒng)安全檢查指南 2009年度政府信息系統(tǒng)安全檢查情況報告表 關于信息安全等級保護工作實施意見（公通字200466號） 等級保護管理辦法（公通字200743號） 信息安全等級保護管理辦法（試行） 計算機信息系統(tǒng)等級保護劃分準則gb17859 信息系統(tǒng)安全等級保護實施指南（送審稿） 信息系統(tǒng)安全保護等級定級指南（gb/t 22240-2008） 信息系統(tǒng)安全等級保護基本要求（gb/t 22239-2008） 信息系統(tǒng)安全等級保護測評要求（送審稿） ga/t 387-2002計算機信息系統(tǒng)安全等級保護網(wǎng)絡技術要求 ga 388-2002計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術要求 ga/t 389-2002計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術要求 ga/t 390-2002計算機信息系統(tǒng)安全等級保護通用技術要求 ga 391-2002計算機信息系統(tǒng)安全等級保護管理要求4 產(chǎn)品說明根據(jù)信息系統(tǒng)等級保護模型研究報告、信息系統(tǒng)等級測評模型研究報告、等級保護測評工作知識表達方法研究報告、等級保護測評知識庫與方法庫設計報告的研究成果，并結合國務院辦公廳關于印發(fā)的通知（國辦發(fā)200928號）、2009年度政府信息系統(tǒng)安全檢查指南和2009年度政府信息系統(tǒng)安全檢查情況報告表的需求分析，行業(yè)版完成的主要功能如下圖所示：圖 行業(yè)版的主要功能示意圖根據(jù)以上的主要功能，將行業(yè)版的架構設計為b/s架構，同時提供便攜式客戶端，以便離線填報檢查結果，并且可以將離線填報結果導入到行業(yè)版中 。行業(yè)版的結構示意圖如下圖所示。圖 行業(yè)版的結構示意圖行業(yè)版的界面友好，使用方便，采用統(tǒng)一的登陸入口，便于進行安全檢查過程管理，檢查數(shù)據(jù)的動態(tài)統(tǒng)計。如下圖所示。圖 行業(yè)版的功能示意圖行業(yè)版在國內(nèi)某行業(yè)進行了實用，通過實際運行考驗和性能優(yōu)化，功能滿足實際行業(yè)的信息系統(tǒng)等級保護安全檢查需要，是國內(nèi)領先的等級保護安全檢查工作平臺。行業(yè)版的用戶應具有基本的計算機信息安全知識，具有獨立的安全檢查工具使用和維護的基本能力。5 結