信息安全等级保护检查工具箱技术白皮书.docx
22页
信息安全等级保护检查工具箱系统技术白皮书国家信息技术安全研究中心版权声明本技术白皮书是国家信息技术安全研究中心研制的信息系统安全等级保护 检查工具箱产品的描述与内容相关的权利归国家信息技术安全研究中心所有 白皮书中的任何内容未经本中心许可,不得转印、复制联系方式:国家信息技术安全研究中心地址:北京市海淀区农大南路1号 硅谷亮城2号楼C座4层:0简介国家信息技术安全研究中心(以下简称,中心)是适应国家信息安全保障需 要批准组建的国家级科研机构,是从事信息安全核心技术研究、为国家信息安全 保障服务的事业单位中心成立于2005年,是国家有关部门明确的信息安全风险评估专控队伍、 等级保护测评单位、国家网络与信息安全应急响应技术支撑团队和国家电子政务 非保密项目信息安全专业测评机构中心通过系统安全性检测、产品安全性检测、信息安全技术支持、信息安全 理论研究、远程监控服务等项目,为国家基础信息网络和重要信息系统及社会各 界提供多种形式的信息安全技术服务为提高我国基础信息网络和重要信息系统的安全防护水平,中心自主研发了 一系列安全防护和检测工具产品主要有:恶意代码综合监控系统、信息系统等 级保护检查/测评工具箱、安全内网管控系统、网上银行安全控件、系统安全检 测工具集、网络数据流安全监测系统、商品密码安全性检测工具集、漏洞扫描评 估系统等。
中心还积极承担国家“863”、国家发改委专项和密码发展基金等国家重点 科研项目;积极承担国家下达的多项信息安全标准制定和研究任务;紧密跟踪国 内外信息安全发展,采取多种形式为国家有关部门和行业提供信息安全咨询和培 训服务经过多年的发展,中心服务的足迹遍及30余个省市自治区,为政府机关、 电信、电力、金融、海关、铁路、广电、税务等行业部门的数百个单位、上千个 重要信息系统提供了信息安全产品、咨询和测评服务目录随着信息技术的迅速发展,社会对信息化的依赖程度越来越高,网络与信息 系统的安全问题也更加的突出,为了保障基础网络和重要信息系统安全,更好地 维护国家安全与社会秩序,我国推出了等级保护制度自1994年国务院颁布《中 华人民共和国计算机信息系统安全保护条例》以来,等级保护相关工作大致经过 了起步、发展及推行三个阶段,颁布了《中华人民共和国计算机信息系统安全保 护条例》、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27号)、《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66 号)、《电子政务信息安全等级保护实施指南(试行)》(国信办25号文)、 《信息系统安全保护等级定级指南》(公信安】2005] 1431号)等多项国家或 部门级法令制度及管理办法,并制定了《计算机信息系统安全保护等级划分准 则》、《计算机信息系统安全等级保护操作系统技术要求》、《计算机信息系统 安全等级保护数据库管理系统技术要求》、《计算机信息系统安全等级保护通用 技术要求》、《计算机信息系统安全等级保护管理要求》等多组国家或行业信息 安全标准,支持国家信息安全等级保护制度的落实工作。
信息安全等级保护的工作内容,包括:系统定级、系统备案、系统建设与整 改、系统等级测评以及系统等级保护检查五个阶段其中,系统定级由用户单位 自主完成,然后在公安机关完成系统备案;用户单位依据等保标准以及测评、检 查工作的意见进行系统建设与整改;系统等级测评工作由专业测评机构承担;公 安机关负责信息安全等级保护的监督检查工作公安机关作为信息安全等级保护检查的执法单位,随着信息安全等级保护工 作不断推进,在等级保护检查工作中面临诸多的困难:1. 公安机关等保检查工作的现状等级保护检查的人员较少;信息安全知识的水平平均较低,甚至是 别的公安岗位转岗而来,IT系统知识从零开始有些地区的等保工作刚开始开展,那具体工作如何实施 对辖区内等保检查工作如何管理、检查结果如何汇总评价 如何指导等级保护检查工作的改进2. 等级保护检查的系统数量多,检查工作量大备案系统数量多,目前全国已经备案的系统约有20000个依据系统等级要求检查次数,三级系统每一年检查一次,四级系统 每半年检查一次3. 系统类型不同,检查的安全及应用要求存在差异行业类型,包括:电信、银行、广电、铁路、教育等应用类型,包括:生产作业、指挥调度、管理控制、内部办公、公 众服务。
同一等级的系统中SAG有区别,例如三级系统区分:S3A3G3、S2A2G3、 S3A1G3 等4. 具体系统检查中需要检查对象范围广物理安全:机房、办公环境、机房相关文档等网络安全:交换机、防火墙、路由器、IDS等主机安全:操作系统、数据库系统等应用安全:应用软件、应用平台等管理安全:文档(制度、规程、记录)、人员等5. 技术检查的实施过程和方法不具体等保检查的标准依据,包括《信息安全技术信息系统安全等级保护 基本要求》和《公安机关信息安全等级保护检查工作规范》(公信安 [2008]736号),但是对具体设备类型的具体检查过程并没有指导; 同时也缺乏这方面的指导文档因此,信息安全等级保护检查工作从管理上要求对基础备案信息数据的采集 汇总、结果分析,指导检查等保落实;同时对单位系统的现场检查要求提供一个 便携的检查终端,通过规范化、流程化的方法步骤完成等保检查的数据采集等级保护检查管理平台”和“等保检查工具箱”融入了国家信息技术安全 研究中心多年积累的对信息系统安全专业检测的方法、经验和工具,是面向公安 机关实施等级保护检查工作的完整的系统工作平台等级保护检查管理平台:主要完成等保备案信息的管理以及等保检 查结果的分析。
等保检查工具箱:主要完成等级保护单位现场检查工作以及检查结 果的数据采集,并将数据提交给等级保护检查管理平台支持12 类检测工具等保执法工具箱:公安执法过程中,用到的信息采集和输出设备2.1等级保护检查管理平台等级保护检查管理平台通过等保备案的单位系统信息和等保检查结果的数 据分析,能够对等级保护工作提供多角度、多维度的数据分析呈现,进而为等保 工作的推进落实提供指导和数据支撑等级保护检查管理平台的主要功能:内置了等级保护检查方法的知识库,包括:信息系统安全等级保护 标准库、信息系统安全检查方法用例库,以及支持的设备类型库 支持等保备案信息的管理支持等保检查计划的逐级管理、集中管理支持对等级保护检查结果的数据分析2.2等保检查工具箱等保检查工具箱内置了等级保护检查方法的知识库,通过公安机关等级保护 工作的执法流程,完成等级保护现场检查工作的数据采集,实现了等级保护检查 工作的流程工具化、检查规范化、工作协同化、报告自动化等保检查工具箱遵从等保检查标准和检查规范,通过明确的执法步 骤,同时兼顾实际检查中需要抽查资产对象的客观需求,从等保检 查的依据、执行过程、范围三个方面,保证等保检查有效实施。
内置的检查方法知识库和扫描检查工具结果的分析利用,有效降低 了等保检查执行的难度等保检查工具箱检查方法知识库,支持 1100多条检查要求、4000多条检查方法、140种资产类型以及3类 检查扫描工具检测工具包括:网络嗅探工具、信息采集工具、配置分析工具、保 密检查工具、终端安全工具、远程管理工具、漏洞利用工具、密码 破解工具、注入检测工具、漏洞扫描工具、漏洞扫描工具(WEB)、 合规检查工具等保检查工具箱系统架构,见图1信息安全等级保护检查工具箱数据导入导出模块等保自查结果管理检查用例生成 检查用例执行资产管理管理检查过程步骤管理模块资产设备类型库知识库管理模块等级保护的法规 标准库等级保护检查方法 用例库数据 查询 分析 模块报表 管理 模块图1等保检查工具箱的等级保护检查流程,见图2单位 等保 自查 阶段1公安机关对被检查下发《信息安全等级保护监督检查通知书》2等保自查由被检查单位完成,自查模板类型 包括:-单位整体等保工作情况表- 系统等保符合情况表制定 检查 万案 阶段4制定等保检查方1r5按检查人员 分配等保检查任务1检查内容(2抽查方案单位检查 {《公安机关信息安全等级保护检查 工作规范》(公信安[2008]73号)管理要求系统检查技术要求按测评不符合项按自查不符合项按检查项重要性抽查自定义检查项3检查对象单位等保自查中的登记资产 检查方案说明现场 J检查|6执行等保检查用执行. 例阶段可选变更检查对象生成检查记录检查记录包括:• 信息安全等级保护监督 检查记录•系统检查符合记录(管 理和及技术)• 系统资产登记表出具 检查 结论 阶段2.3等保执法工具箱公安执法过程中,会用到的多种信息采集和输出设备,包括:便携式打印机、 便携式扫描仪、数码相机、录音笔、执法记录仪。
3解决的问题“等级保护检查管理平台”和“等保检查工具箱”为用户解决的问题,包括:1. 等级保护检查工作的多级管理、集中管理公安机关可以集中制定等保检查计划,实现检查工作的逐级部署、集中管理 如,市级公安机关向下级的区县级公安机关部署等保检查工作2. 基于等保标准要求的检查粒度,提高了检查结果的准确性公安机关当前采用的纸质检查表的检查粒度比较粗放的,因此对检查系统的 等保符合情况评价不够准确通过等保检查工具箱基于等保标准的检查粒度,提 高了检查结果的准确性,确保了检查质量;同时提高了民警等保检查的水平3. 强化公安机关执法流程,降低了检查执行难度当前的等级保护检查工作已经形成了一定的流程,但是检查人员对用户系统 的应用环境了解以及等保要求的达标的情况判断,主要依赖检查人员的个人理解 情况,而且过程中使用的各种文档模板、检查记录、检查结果、检查手段都是离 散的存储在检查人员手中,没有形成统一的自动化标准管理模式等保检查工具箱首先规范并强化了检查的内容、步骤和标准文书,而且通过 知识库中等级保护检查方法用例库动态的生成检查内容,并对具体的检查对象, 说明了具体检查实施过程,这个大大降低了检查执行的难度,保证了检查水平质 量。
4. 强调等保自查工作重要性,降低了检查的执行难度,提高工作效率被检查单位最理解和熟悉自己系统的应用环境和需求,公安机关在指导被检 查单位落实等级保护工作时,被检查单位进行等保自查工作是重要的手段和方 法等保检查工具箱能够依据被检查单位的备案信息,生成等保自查工作模板, 由被检查单位来完成等保自查工作等保自查的结果将作为公安机关进行等保检 查的参考或依据,这既降低了检查人员录入系统的检查对象的工作量,也降低了 等保检查的执行难度,提高了工作效率等保检查工具箱支持主机漏扫、web弱点扫描和网络设备配置检查工具的检 查结果的分析,是利用工具检查的效率和结果客观性优点,有效降低了等保检查 执行的难度6. 与信息系统等级保护相关工作的快速衔接,提高工作效率对公安机关以及备案的单位系统信息和等级测评的报告,等保检查工具箱提 供数据的导入接口,方便公安机关快速开展等级保护检查工作,提高工作效率7. 检查结果的多维度数据分析等保检查工具箱的服务器能够对已完成检查的备案单位的采集数据进行多 角度、多维度的数据分析,并能提供对比分析,进而为等保工作的推进落实提供 指导和数据支撑8. 提供等级保护工作的知识与检查方法的学习平台等保检查工具箱的等级保护专家知识库,融入了国家信息技术安全研究中心 多年积累的专业检查方法经验和工具,包含等级保护各类法规与标准库、等级保 护检查方法用例库、检查对。
