信息系統(tǒng)安全等級(jí)測(cè)評(píng)工具服務(wù)版

信息系統(tǒng)平安等級(jí)測(cè)評(píng)工具效勞版文檔編碼CRBJ-PMD-PSI工程管理號(hào)1001-GFCSP-Tech信息系統(tǒng)平安等級(jí)測(cè)評(píng)工具【效勞版】產(chǎn)品規(guī)格說明書〔PSI〕ProductSpecificationInstructions公安部第三研究所SAVEDATE\@"yyyy年MM月dd日"2024年04月27日版權(quán)所有侵權(quán)必究產(chǎn)品規(guī)格說明書〔PSI〕公安部第三研究所-PAGE1-[文檔信息]文檔名稱產(chǎn)品規(guī)格說明書〔PSI〕文檔管理編號(hào)CRBJ-PMD-PSI-1001-GFCSP-Tech保密級(jí)別文檔版本號(hào)制作人制作日期復(fù)審人復(fù)審日期擴(kuò)散范圍擴(kuò)散批準(zhǔn)人[版本變更記錄]時(shí)間版本說明修改人[文檔送呈]單位目的總辦匯報(bào)產(chǎn)品規(guī)格情況，供技術(shù)支持、售前使用研發(fā)部存檔及支持

目錄TOC\o"1-4"\h\z\u1 產(chǎn)品背景及概述 11.1 產(chǎn)品背景 11.2 產(chǎn)品概述 32 產(chǎn)品目標(biāo)及策略 42.1 產(chǎn)品目標(biāo) 42.2 產(chǎn)品策略 53 產(chǎn)品執(zhí)行標(biāo)準(zhǔn) 64 產(chǎn)品說明 75 結(jié)論 11產(chǎn)品規(guī)格說明書〔PSI〕公安部第三研究所產(chǎn)品背景及概述產(chǎn)品背景隨著信息技術(shù)的迅猛開展和廣泛應(yīng)用，特別是我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程的全面加快，網(wǎng)絡(luò)與信息系統(tǒng)的根底性、全局性作用日益增強(qiáng)，信息網(wǎng)絡(luò)已成為國(guó)家和社會(huì)開展新的重要戰(zhàn)略資源。黨中央、國(guó)務(wù)院始終高度重視信息平安問題，屢次指示公安部會(huì)同有關(guān)部委制定有效措施，切實(shí)加強(qiáng)管理，提高我國(guó)計(jì)算機(jī)信息系統(tǒng)平安保護(hù)水平，以確保社會(huì)政治穩(wěn)定和經(jīng)濟(jì)建設(shè)的順利進(jìn)行。2024年8月，國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息平安保障工作的意見〔中辦發(fā)[2024]27號(hào)〕明確指出信息平安保障工作要“實(shí)行信息平安等級(jí)保護(hù)〞。信息平安等級(jí)保護(hù)制度已經(jīng)成為我國(guó)信息平安保護(hù)工作的根本國(guó)策，實(shí)行信息平安等級(jí)保護(hù)具有重大的現(xiàn)實(shí)和戰(zhàn)略意義。為了進(jìn)一步推動(dòng)等級(jí)保護(hù)工作的進(jìn)展，公安部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)辦公室和國(guó)務(wù)院信息化工作辦公室于2024年聯(lián)合下發(fā)了?關(guān)于信息平安等級(jí)保護(hù)工作的實(shí)施意見?，明確指出要在三年內(nèi)在全國(guó)范圍內(nèi)推廣等級(jí)保護(hù)制度。為了標(biāo)準(zhǔn)和指導(dǎo)各地的等級(jí)保護(hù)工作，公安部、全國(guó)信息平安標(biāo)準(zhǔn)化技術(shù)委員會(huì)委托公安部信息平安等級(jí)保護(hù)評(píng)估中心〔以下簡(jiǎn)稱評(píng)估中心〕制定了一系列等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和文件。目前，國(guó)家推薦標(biāo)準(zhǔn)?信息系統(tǒng)平安保護(hù)等級(jí)定級(jí)指南?、?信息系統(tǒng)平安等級(jí)保護(hù)根本要求?和?信息系統(tǒng)平安等級(jí)保護(hù)實(shí)施指南?已經(jīng)完成報(bào)批稿，?信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)那么?已經(jīng)完成征求意見稿。2024年8月，公安部、國(guó)家保密局、國(guó)家密碼局和國(guó)務(wù)院信息化辦公室聯(lián)合在北京舉行了“信息平安等級(jí)保護(hù)工作會(huì)議〞，向來自全國(guó)各地和各重要部委的近200名信息化工作主管、領(lǐng)導(dǎo)頒發(fā)了?信息平安等級(jí)保護(hù)試點(diǎn)工作實(shí)施方案?，涉及系統(tǒng)定級(jí)、等級(jí)測(cè)評(píng)、制度建設(shè)、系統(tǒng)改建、備案與監(jiān)督檢查等多項(xiàng)等級(jí)保護(hù)工作。同時(shí)，為了加強(qiáng)信息平安等級(jí)保護(hù)工作的組織領(lǐng)導(dǎo)，國(guó)家成立了由公安部副部長(zhǎng)張新楓任組長(zhǎng)，公安部、國(guó)家保密局、國(guó)家密碼局和國(guó)務(wù)院信息化辦公室有關(guān)局級(jí)領(lǐng)導(dǎo)為成員的信息平安等級(jí)保護(hù)協(xié)調(diào)小組，協(xié)調(diào)小組辦公室設(shè)在公安部公共信息網(wǎng)絡(luò)平安監(jiān)察局。試點(diǎn)工作的經(jīng)驗(yàn)說明，等級(jí)測(cè)評(píng)活動(dòng)是確保信息平安等級(jí)保護(hù)工作的關(guān)鍵環(huán)節(jié)。等級(jí)測(cè)評(píng)能夠幫助信息系統(tǒng)的運(yùn)營(yíng)、使用單位進(jìn)行信息系統(tǒng)平安自查，了解系統(tǒng)的平安現(xiàn)狀與國(guó)家要求之間的差距，明確平安整改的目標(biāo)與方向。市場(chǎng)調(diào)查說明，目前信息平安相關(guān)的商用測(cè)評(píng)工具主要集中在漏洞掃描和問卷評(píng)估系統(tǒng)等方面，無法準(zhǔn)確、全面的提供信息系統(tǒng)平安等級(jí)保護(hù)的整體測(cè)評(píng)結(jié)論。由于信息平安等級(jí)保護(hù)制度已經(jīng)成為我國(guó)信息平安保護(hù)工作的根本國(guó)策，國(guó)家相關(guān)文件規(guī)定信息系統(tǒng)必須定期進(jìn)行自查和定期委托專業(yè)測(cè)評(píng)機(jī)構(gòu)進(jìn)行等級(jí)符合性測(cè)評(píng)。為了確保信息平安等級(jí)保護(hù)工作的順利開展，實(shí)現(xiàn)國(guó)家在三年內(nèi)全面實(shí)施信息平安等級(jí)保護(hù)工作的目標(biāo)，迫切需要信息系和效勞的系列工具，并已投入多個(gè)測(cè)評(píng)工程實(shí)際應(yīng)用。海盾系列工具軟件主要面向信息系統(tǒng)運(yùn)營(yíng)使用單位的平安管理人員和測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)技術(shù)人員，指導(dǎo)他們按照標(biāo)準(zhǔn)和標(biāo)準(zhǔn)的測(cè)評(píng)方法進(jìn)行測(cè)評(píng)或自測(cè)，并能實(shí)現(xiàn)測(cè)評(píng)的數(shù)據(jù)、過程標(biāo)準(zhǔn)化管理。本產(chǎn)品名稱為“信息系統(tǒng)平安等級(jí)測(cè)評(píng)工具-效勞版〞〔InformationSystemsClassifiedSecurityProtectionEvaluationUtilityforOrganization〕，簡(jiǎn)稱等保測(cè)評(píng)工具效勞版，產(chǎn)品編碼為CRIT-CS-TB。產(chǎn)品目標(biāo)及策略產(chǎn)品目標(biāo)為配合信息平安等級(jí)保護(hù)體系的貫徹和實(shí)施，需要根據(jù)等級(jí)保護(hù)的標(biāo)準(zhǔn)體系，開發(fā)一系列輔助的工具，為：等級(jí)測(cè)評(píng)效勞機(jī)構(gòu)；監(jiān)管部門；信息系統(tǒng)運(yùn)行維護(hù)管理部門；行業(yè)主管部門；提供測(cè)評(píng)和監(jiān)督檢查的輔助工具，以使相關(guān)單位和部門能夠盡快掌握相關(guān)的評(píng)估測(cè)試技術(shù)標(biāo)準(zhǔn)與標(biāo)準(zhǔn)知識(shí)的應(yīng)用，提高信息系統(tǒng)平安測(cè)評(píng)和檢查的水平，并增加這些環(huán)節(jié)的工作效率，提高自動(dòng)化程度。等保測(cè)評(píng)支撐工具-效勞版是為等級(jí)測(cè)評(píng)效勞機(jī)構(gòu)提供效勞的，主要目標(biāo)用戶為：行業(yè)內(nèi)信息系統(tǒng)等級(jí)平安保護(hù)評(píng)估、效勞及管理人員。產(chǎn)品策略本效勞版系統(tǒng)是一款相對(duì)獨(dú)立運(yùn)行的軟件，可獨(dú)立于等保測(cè)評(píng)支撐工具工程的其他版本系統(tǒng)而運(yùn)行，系統(tǒng)升級(jí)和維護(hù)應(yīng)優(yōu)先考慮離線平安升級(jí)維護(hù)方式，也可提供基于平安虛擬專網(wǎng)的加密傳輸升級(jí)。在管理員操作系統(tǒng)的時(shí)候，需通過本系統(tǒng)才可登錄。也就是說，在效勞系統(tǒng)管理上，具有認(rèn)證、授權(quán)、審計(jì)等平安特性。系統(tǒng)具有如下特點(diǎn)：對(duì)系統(tǒng)操作人員所有維護(hù)動(dòng)作、操作可進(jìn)行審計(jì)；為方便用戶的使用，提供XLS格式的文件數(shù)據(jù)導(dǎo)入模式。平安性方面擴(kuò)展功能：用戶登錄可采用USBKey等強(qiáng)認(rèn)證方式；離線數(shù)據(jù)的上傳與下載可利用USBKey內(nèi)置證書采用PKI體制增強(qiáng)平安性；軟件產(chǎn)品采用組件化的軟件架構(gòu)，可以通過組件擴(kuò)充測(cè)評(píng)方法、數(shù)據(jù)分析與融合算法、報(bào)告生成方法——知識(shí)庫(kù)包含平安產(chǎn)品測(cè)評(píng)與系統(tǒng)測(cè)評(píng)知識(shí)，支持XML的知識(shí)表示；支持等級(jí)保護(hù)體系模型中的測(cè)評(píng)方法；支持智能的結(jié)構(gòu)化分析方法，能綜合單獨(dú)測(cè)評(píng)結(jié)果形成系統(tǒng)整體測(cè)評(píng)結(jié)論；靈巧可定制的報(bào)表功能，支持Word、HTML、PDF等多種格式導(dǎo)出；提供API擴(kuò)展接口，可以方便地駁接第三方軟件工具〔如掃描工具、滲透測(cè)試工具〕等；具有數(shù)據(jù)導(dǎo)入、導(dǎo)出接口，測(cè)評(píng)結(jié)果可以導(dǎo)出到其它系統(tǒng)；客戶化定制功能，可根據(jù)組件配置選擇，形成多個(gè)功能版本〔包括知識(shí)庫(kù)定制〕或具有行業(yè)特色內(nèi)容的版本等。后續(xù)策略將根據(jù)市場(chǎng)反應(yīng)進(jìn)一步及時(shí)升級(jí)和更新。產(chǎn)品執(zhí)行標(biāo)準(zhǔn)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)平安等級(jí)保護(hù)條例，1994國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息平安保障工作意見〔中發(fā)辦[2024]27號(hào)〕關(guān)于信息平安等級(jí)保護(hù)工作實(shí)施意見〔公通字[2024]66號(hào)〕等級(jí)保護(hù)管理方法〔公通字[2024]43號(hào)〕信息平安等級(jí)保護(hù)管理方法〔試行〕計(jì)算機(jī)信息系統(tǒng)等級(jí)保護(hù)劃分準(zhǔn)那么GB17859信息系統(tǒng)平安等級(jí)保護(hù)實(shí)施指南〔送審稿〕信息系統(tǒng)平安保護(hù)等級(jí)定級(jí)指南〔GB/T22240-2024〕信息系統(tǒng)平安等級(jí)保護(hù)根本要求〔GB/T22239-2024〕信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)要求〔送審稿〕GA/T387-2024?計(jì)算機(jī)信息系統(tǒng)平安等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求?GA388-2024?計(jì)算機(jī)信息系統(tǒng)平安等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求?GA/T389-2024?計(jì)算機(jī)信息系統(tǒng)平安等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理系統(tǒng)技術(shù)要求?GA/T390-2024?計(jì)算機(jī)信息系統(tǒng)平安等級(jí)保護(hù)通用技術(shù)要求?GA391-2024?計(jì)算機(jī)信息系統(tǒng)平安等級(jí)保護(hù)管理要求?產(chǎn)品說明根據(jù)?信息系統(tǒng)等級(jí)保護(hù)模型研究報(bào)告?、?信息系統(tǒng)等級(jí)測(cè)評(píng)模型研究報(bào)告?、?等級(jí)保護(hù)測(cè)評(píng)工作知識(shí)表達(dá)方法研究報(bào)告?、?等級(jí)保護(hù)測(cè)評(píng)知識(shí)庫(kù)與方法庫(kù)設(shè)計(jì)報(bào)告?的研究成果，支撐工具完成了以下主要功能：通過選用測(cè)評(píng)對(duì)象選擇方法和測(cè)評(píng)指標(biāo)選擇方法方法庫(kù)〔內(nèi)建于方法庫(kù)中〕的方法并計(jì)算，可根據(jù)系統(tǒng)等級(jí)、威脅分析自動(dòng)形成測(cè)評(píng)指標(biāo)。根據(jù)知識(shí)庫(kù)的測(cè)評(píng)指標(biāo)知識(shí)內(nèi)容，將測(cè)評(píng)指標(biāo)對(duì)應(yīng)到測(cè)評(píng)對(duì)象，并自動(dòng)生成測(cè)評(píng)方案。按照測(cè)評(píng)對(duì)象選擇方法和內(nèi)置的作業(yè)指導(dǎo)書知識(shí)庫(kù)，生成技術(shù)和管理兩方面的測(cè)評(píng)檢查表。支持漏洞掃描數(shù)據(jù)的導(dǎo)入，實(shí)現(xiàn)可擴(kuò)展的API接口，能實(shí)現(xiàn)1個(gè)以上廠商工具的掃描數(shù)據(jù)導(dǎo)入。通過測(cè)評(píng)分析和推理機(jī)的實(shí)現(xiàn)，調(diào)用內(nèi)置測(cè)評(píng)指標(biāo)權(quán)重集知識(shí)庫(kù)，可對(duì)測(cè)評(píng)結(jié)果進(jìn)行匯總、統(tǒng)計(jì)和計(jì)算，并按要求給出測(cè)評(píng)分析結(jié)論。自動(dòng)生成測(cè)評(píng)報(bào)告，并根據(jù)要求輸出指定格式〔Word、PDF、HTML〕的數(shù)據(jù)。測(cè)評(píng)效勞版工具分為測(cè)評(píng)管理系統(tǒng)和現(xiàn)場(chǎng)測(cè)評(píng)系統(tǒng)2個(gè)產(chǎn)品子系統(tǒng)，測(cè)評(píng)管理系統(tǒng)放在測(cè)評(píng)機(jī)構(gòu)內(nèi)部效勞器上，主要完成工程管理和查詢統(tǒng)計(jì)等功能；每個(gè)工程需要下發(fā)調(diào)查工具〔XLS格式電子表格〕給信息系統(tǒng)用戶或測(cè)評(píng)工程小組，讓用戶〔由測(cè)評(píng)工程小組人員配合〕將信息系統(tǒng)的狀況填寫完成后上傳到測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)管理系統(tǒng)中；現(xiàn)場(chǎng)測(cè)評(píng)系統(tǒng)主要是輔助測(cè)評(píng)人員對(duì)信息系統(tǒng)進(jìn)行現(xiàn)場(chǎng)測(cè)評(píng)分析，在測(cè)評(píng)完成時(shí)，需要將各種輔助工具的測(cè)試結(jié)果導(dǎo)入到測(cè)評(píng)管理系統(tǒng)中進(jìn)行統(tǒng)一分析。圖1 平安等級(jí)測(cè)評(píng)工具-效勞版產(chǎn)品部署效勞版是等級(jí)測(cè)評(píng)系列中功能最齊全的工具，用于測(cè)評(píng)機(jī)構(gòu)〔效勞機(jī)構(gòu)〕對(duì)信息系統(tǒng)提供全面的、公正的、有效的測(cè)評(píng)效勞。解決系統(tǒng)全面測(cè)評(píng)工作量大，系統(tǒng)數(shù)據(jù)多，分析困難，綜合評(píng)判困難等問題。效勞版提供了訪談、檢查和測(cè)試等評(píng)估方法，測(cè)評(píng)人員在工具的引導(dǎo)下對(duì)信息系統(tǒng)、制度和人員等進(jìn)行全面的平安性證據(jù)的獲取，并提供多種自動(dòng)化的測(cè)試手段，測(cè)評(píng)人員通過接入客戶的信息系統(tǒng)對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行信息調(diào)查、平安漏洞分析或滲透攻擊等測(cè)評(píng)活動(dòng)，獲取大量全面的系統(tǒng)平安性數(shù)據(jù)，同時(shí)測(cè)評(píng)人員在工具的引導(dǎo)下，手工輸入非工具自動(dòng)收集的證據(jù)數(shù)據(jù)，在知識(shí)庫(kù)的輔助分析下，綜合得出系統(tǒng)的平安現(xiàn)狀和保護(hù)等級(jí)的符合度，并以多種格式的測(cè)評(píng)報(bào)告形式輸出測(cè)評(píng)結(jié)果。圖2結(jié)合測(cè)評(píng)工具的測(cè)評(píng)工作流程效勞版的使用用戶應(yīng)具有根本的計(jì)算機(jī)信息平安知識(shí)和數(shù)據(jù)庫(kù)知識(shí)，熟悉數(shù)據(jù)庫(kù)維護(hù)、