明鉴信息安全等级保护检查工具箱产品白皮书(监管版)

【文档密级：限制分发】
明鉴®信息安全等级保护检查工具箱
( 监管版 )
产品白皮书
杭州安恒信息技术有限公司
二〇一四年十月
目录
1.背景 (3)
2.产品概述 (4)
2.1.产品概述 (4)
2.2.产品硬件组成 (4)
2.3.产品功能概要 (5)
3.产品介绍 (7)
3.1.产品功能结构 (7)
3.1.1平台管理模块 (7)
3.1.2任务执行模块 (7)
3.1.3检查功能模块 (8)
3.1.4工具检查模块 (8)
3.1.5取证模块 (8)
3.2.检查工具 (8)
3.2.1标配工具 (8)
3.2.2选配工具 (11)
3.3.辅助检查设备 (12)
4.产品特点 (13)
4.1.前瞻性、落地性 (13)
4.2.便携性、易用性 (13)
4.3.专业性、标准性 (13)
4.4.规范性、扩展性 (13)
4.5.安全性、保密性 (13)
5.客户受益 (14)
1.背景
从1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》，我国第一次提出信息系统由公安部门牵头实行等级保护开始。

截止目前,等级保护工作已经形成主管明确、标准完善、流程清晰、执行积极的良好态势。

各方已经形成共识。

等级保护工作是关系到国家安全、社会稳定、经济命脉、法人利益的战略性系统工程。

等级保护的具体工作是一个针对信息系统“定级、备案、测评、整改、安全自查和监督检查”的过程。

过去对信息系统测评的方法主要是采用访谈，专业扫描工具扫描，然后测评人员再根据各个专业工具的测评结果，结合访谈内容，依据等级保护基本要求，为每一个被测评的信息系统编写、整理、分析出具报告。

这种工作方法耗时、耗力，对人员专业要求高，测评结果主观化，结果不可管理。

伴随等级保护工作广泛推行，公安部门对等级保护过程的管理和监督检查环节，以及测评机构对信息系统的测评环节越来越成为等级保护工作中的重点和难点。

具体表现在：
⏹公安网安民警的等级保护监管工作主要靠访谈和询问，缺乏对信息系统安全性的客观了解；
⏹公安网安民警技术水平参差不齐，检查结果难以被被检查单位认可；
⏹原始信息系统陈旧、无法对收集的数据进行汇总、统计、分析和关联；
⏹公安网安部门缺乏符合标准的专业测评工具，无法对重点信息系统进行全方面检查和抽查；
⏹等级保护工作信息化水平差，数据质量低，格式不统一，大量错填漏填现象
⏹等级保护工作共享程度低，无法实现信息整合，导致对重要信息系统现状发展动态把握不准确；
拥有一套全面满足公安网安部门民警对重要信息系统监管监察工作需要的集成工具，对于公安部门显得尤为迫切。

在此背景下，明鉴®信息安全等级保护检查工具箱应运而生！
2.产品概述
2.1. 产品概述
明鉴®信息安全等级保护检查工具箱（监管版）（以下简称：等保工具箱或工具箱）是公安机关网安部门开展网络安全检查工作的一体化专用便携式监察装备，具有规范检查、工具调用、结果展示等功能，集成定制有专门的安全检查工具，为公安机关网络安全执法检查提供专业检查知识和检查方法，并实现对获取数据的关联分析、统计比对、处理流转等功能，提高网络安全执法检查的常态化、标准化和规范化水平。

杭州安恒信息技术有限公司依据《信息安全等级保护检查工具箱技术规范》，并深入分析与研究常见安全漏洞以及流行的攻击技术基础上，通过安恒安全团队攻防研究和风险评估项目经验并结合信息安全等级保护相关标准总结归纳大量的安全漏洞信息和攻击方式后，研制开发的一款针对物理安全、主机安全、网络安全、应用安全、数据库安全等系统及配置检查，以及支持对管理安全层面检查，检查内容支持自定义筛选导出填写后导入。

实现对信息系统“定级、备案、测评、整改、安全自查和监督检查”全过程的监督管理，并预留了与公安部重要信息系统基础数据库的接口。

等保工具箱将成为各省、市（县）两级公安网安等级保护监察管理工作的必要装备。

依托等保工具箱，可以动态掌握全省重要信息系统安全保护状况，为公安机关监督、检查、指导全省等级保护工作提供重要支撑，进一步提高信息安全等级保护监察水平，为保障重要信息系统安全取得良好社会效益。

2.2. 产品硬件组成
等保工具箱配备了1台加固三防笔记本电脑、U口检查工具（Windows主机配置检查工具、主机病毒检查工具、主机木马检查工具、网站恶意代码检查工具）、在线检查工具（Linux主机配置检查工具、网络及安全设备配置检查工具、弱口令检查工具、数据库安全检查工具、网站安全检查工具、系统漏洞检查工具）和其他检查工具（协同工作处理机、网络设备信息侦测工具、无线WIFI检查工具、网站监测预警工具），其中，其他工具为选配工具。

同时，为了方便公安网警的现场检查携带方便和取证，还配备了1个安全防护箱和5个辅助检查设备（报告现场打印机、取证数码相机、取证录音笔、取证扫描仪、取证执法记录仪），详见图2-1。

图2-1 等保工具箱组成
2.3. 产品功能概要
等保工具箱将13个资产发现、配置核查、技术脆弱性检查工具通过“信息安全等级保护检查知识库”、管理要求访谈内容，与《信息安全技术信息系统安全等级保护基本要求GB/T 22239-2008》完美结合，将等级保护基本要求落地，使信息系统运营和使用单位从技术和管理角度明确了自身系统与等级保护相关等级要求的具体差异，是等级保护整改，也是信息安全建设的最佳依据。

详见图2-2：等保工具箱功能流程概要图。

图2-2等保工具箱功能流程概要图
图2-3 等保工具箱界面图
3.产品介绍
3.1. 产品功能结构
如图3-1所示，等保工具箱功能由“平台管理模块”、“任务执行模块”、“检查功能模块”、“工具检查模块”、“取证模块”五个模块组成。

图3-1 产品功能结构图
3.1.1平台管理模块
平台管理模块是整个工具箱的基础数据支撑模块，主要实现了整个工具箱管理平台的资源管理，包括检查任务的创建、导入、编辑、删除、上报任务等，检查工具类型的管理，检查工具升级的管理，等级保护监察相关文档管理，监察指标管理以及平台系统用户及平台升级的管理等。

3.1.2任务执行模块
任务执行模块是整个工具箱的任务流程管理模块，是公安网安部门检查监察
工作主要的操作模块，首先录入或导入检测任务、资产信息等，通过技术检测、人工检查、人员访谈等手段，关联等级保护知识库完成对备案单位重要信息系统检查监察的全过程管理。

3.1.3检查功能模块
检查功能模块是公安网安部门对等级保护检查监察成果的汇总、分析和展示模块。

系统内置多种检查任务模板，并且也可以根据各地网安部门的工作内容自定义检查内容。

3.1.4工具检查模块
工具检查模块是等级保护检查中技术检测模块，是公安网安监管落地的最佳实践，该模块提供了U口检查工具（Windows主机配置检查工具、主机病毒检查工具、主机木马检查工具、网站恶意代码检查工具）、在线检查工具（Linux主机配置检查工具、网络及安全设备配置检查工具、弱口令检查工具、数据库安全检查工具、网站安全检查工具、系统漏洞检查工具）和其他检查工具（协同工作处理机、网络设备信息侦测工具、无线WIFI检查工具、网站监测预警工具）。

详细功能详见本文档3.2章节。

3.1.5取证模块
为了保证等级保护检查监察的客观、真实、不可抵赖，取证模块配备了多维度、多方法取证设备，使得公安网安民警在现场检查过程有据可依，有理可辨。

详细情况请见本文档3.3章节。

3.2. 检查工具
3.2.1标配工具
3.2.1.1 Windows主机配置检查工具
Windows主机配置检查工具实现对系统信息、硬件信息、系统开机启动项、异常服务、安全策略、帐户信息、审计策略、系统补丁、进程扫描、软件安装、活动端口、用户权限、安全选项、组策略、运行保护、浏览器上网记录、USB使用记录及工具特性等众多配置项进行安全检查，工具支持Windows XP/7，Windows server 2000/2003/2008等操作系统环境。

3.2.1.2 L inux主机配置检查工具
Linux主机配置检查工具实现对系统信息、硬件信息、异常服务、安全策略、帐户信息、服务信息、系统补丁、活动端口、用户权限、审计策略、SNMP信息、SSH信息、资源控制等配置项进行安全检查，工具支持RadHat、Debian、Fedora、Centos、Ubuntu等操作系统环境。

3.2.1.3 网络及安全设备配置检查工具
网络设备配置检查工具支持检查账户安全策略信息，包含口令长度、复杂度、定期更换、登录失败、锁定次数等，支持检查安全审计策略，包含事件类型、SYSLOG 服务器，支持检查不必要的服务和端口（如TELNET、FTP、SNMP、HTTP、Sendmail），支持SNMP、SSH服务、版本信息检查等检查。

工具支持H3C、华为、Cisco等全系列交换机。

同时，支持天融信、启明星辰、网御星云、网神、Juniper等防火墙产品安全配置检查。

3.2.1.4 主机病毒检查工具
主机病毒检查工具实现对操作系统的关键机制，如系统服务、内存、注册表、启动进程；检测操作系统的安全模型，包括访问控制、特权和审计；反馈系统安全配置、文件访问，驱动、引导等系统深度进行流氓软件、蠕虫病毒、其它恶意程序的检查工作。

3.2.1.5 主机木马检查工具
主机木马检查工具实现系统中的木马程序、Rootkit、间谍程序等木马检查，提取操作系统的关键机制，如系统服务、内存、注册表、启动进程；检测操作系统的安全模型，包括访问控制、特权和审计；反馈系统安全配置、文件访问，驱动、引导等系统深度信息进行检查。

3.2.1.6 网站恶意代码检查工具
网站恶意代码检查工具实现对网站代码的安全检查，支持.asp、.aspx、.php、.jsp、.css等文件格式检查，支持自定义文件后缀格式，支持自定义策略，异性、变异WEBSHELL后门代码检查，支持关键恶意特征码定位等扫描策略，并支持自定义文件大小扫描。

3.2.1.7 弱口令检查工具
弱口令检查工具实现应用程序协议的弱口令检查，如SMB、RDP 、TELNET、SSH、Pop3、FTP 、SQL Server、Oracle、My SQL等应用程序协议；工具内置了国内使用最频繁TOP 1000弱口令字典，并支口令字典自定义添加、修改。

3.2.1.8 数据库安全检查工具
数据库安全检查工具实现对Oracle、Sybase、DB2、Informix、MySQL、SQL Server等主流数据库系统进行安全检查，检查的内容主要包含了不安全配置、安全策略、补丁升级、权限分配、访问控制、弱口令等。

3.2.1.9 网站安全检查工具
网站安全检查工具实现对信息系统的WEB安全检查，支持对SQL注入、XSS 跨站脚本、伪造跨站点请求、网页木马、隐藏字段、表单绕过、AJAX注入、弱配置、敏感信息泄漏、HI－JACK攻击、弱口令、Xpath注入、LDAP注入、框架注入、操作系统命令注入、Flash源代码泄漏、Flash跨域攻击、Cookies注入、敏感文件、第三方软件、其他各类CGI等漏洞进行扫描；支持易通、织梦、Discuz、Ecshop、方欣、大汉、通达OA、SHOPEX、亿邮邮件系统命令执行等国内外众多知名WEB应用程序漏洞扫描；支持Oracle、SQL Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Access、 Ingres等后台数据库类型识别；用户根据自己网站的实际情况选择不同的扫描策略，同时对检查出来的问题提供弱点描述、修改和改进建议。

3.2.1.10 系统漏洞扫描工具
系统漏洞扫描工具实现了对Microsoft Windows XP/2003/Vista/2008/7、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等操作系统进行漏洞扫描，以及Web、FTP、电子邮件等应用系统以及Office、Apache等常用软件漏洞扫描。

同时也可以对网络设备进行漏洞扫描。

可以自动统计总体漏洞数量、统计不同操作系统类型的主机数量、统计所有开发端口、可用帐户、可列出每一个漏洞所存在的主机、详细描述与修补建议。

漏洞详细描述包括：漏洞名称、详述、修补方案、CVE/Bugtraq/CNCVE/CNNVD编号、CVSS评分等。

3.2.2选配工具
3.2.2.1 协同工作处理机
协同工作处理机用于公安机关网安民警进行检查任务多人合作，提升检查工作效率。

协同工作处理机的功能包括“导入等级保护检查专用工具导出的检查任务”、“进行安全检查任务的多人协同工作”、“将检查数据汇总到等级保护检查专用工具中”。

3.2.2.2 网络设备信息侦测工具
网络设备信息侦测工具实现了对目标检查网段内的网络资产进行探测，可支持网络资产发现，对网络中主机、网络设备、安全设备、应用系统、数据库系统资产型号、类型、版本进行探测，并生成网络拓扑图，不同的资产用各自图标进行展示，且可以区分国内外资产。

3.2.2.3 无线WIFI检查工具
无线WIFI检查工具主要用来探测目标信息系统网络环境内部署的无线WIFI 访问节点、以及通过无线WIFI上网的终端的信息，包括定位无线WIFI访问节点、终端的物理位置，分析无线WIFI访问节点、终端的地址、通讯流量等设备信息。

该工具独立运行，不接入目标网络。

该工具可以发现目标信息系统网络中活动的无线WIFI访问节点、通过无线WIFI上网的终端，显示侦测到的无线WIFI访问节点的详细信息，包括SSID、MAC地址、频道、加密方式、信号强度，统计侦测到的无线WIFI访问节点的出现频率，包括首次出现时间、最近出现时间，分析每个无线WIFI访问节点下面连接的终端个数和详细信息，包括MAC地址、设备厂商、信道、出现时间等相关信息，通过无线WIFI访问节点和终端的无线信号强度变化定位其物理位置，发现隐藏的无线WIFI访问节点。

3.2.2.4 网站监测预警工具
网站监测预警工具主要用来检查目标网站的业务连续性，并监测目标网站的内容（文字、链接、图片）是否被篡改。

该工具需要通过互联网或局域网连接到目标网站，然后自动对目标网站进行监测。

该工具监测范围包括内容监测、暗链检测、敏感词监测、敏感词搜索、漏洞
监测、挂马监测、网站拓扑监测、首页实时监测、域名解析监测、错误页面数监测、内外部链接错误监测。

3.3. 辅助检查设备
等保工具箱辅助检查设备包括安全防护箱、加固三防笔记本电脑、取证打印机、取证数码照相机、取证录音笔、取证扫描仪、执法记录仪。

这些辅助检查设备集合以工具箱的形式统一由安全防护箱方便携带，确保检查或测评工作所有装备齐全，如图3-2所示。

这些设备取证数据通过辅助设备数据管理工具进行管理，以方便用户使用，辅助设备数据管理工具界面如图3-3所示。

图3-2辅助检查设备示意图
图3-3 等保工具箱辅助设备数据管理工具
4.产品特点
4.1. 前瞻性、落地性
安恒信息结合多年在应用安全等领域的安全检查最佳实践，开发出使得等级保护检查工作更加具有落地性的13款技术检查工具。

使网安民警在执法过程中体现了专业性和被检查目标的不可抵赖性。

4.2. 便携性、易用性
工具箱及检查工具便于公安网安民警携带和现场使用，界面友好，平台采用“一键式”操作界面，易于操作使用，检查任务可以并行。

4.3. 专业性、标准性
工具箱检查指标库严格依据了等级保护政策、标准研发，是公安网安部门开展网络安全检查工作的检查指标全集。

检查指标严格依据有关国家网络安全政策和标准进行研发，可以由公安网安民警自行选择和新增，形成检查模板，确保了检查数据的格式统一。

4.4. 规范性、扩展性
工具箱检查知识库封装专业检查知识和专业分析模型，确保检查工作的规范化，知识库是对大量网络安全工作（包括定级、备案、测评、建设整改、安全检查、灾备、应急和案事件处置）的实践经验和知识的提炼，对民警现场检查工作有明确和规范的引导作用，可以按照内置的分析模型对检查数据进行分类、统计、关联、分析和比对。

可以根据检查工作的需要，对检查内容进行扩展，检查工具的升级维护采用“一键式”升级方式，易于维护。

4.5. 安全性、保密性
工具箱中的检查工具安全可靠，再检查执法过程中不会影响检查对象的稳定运行，不会影响检查对象所在网络的正常通讯。

检查数据采用了国产密码算法加密，并具有检查数据的痕迹清除能力，确保检查数据的安全性和保密性。

5.客户受益
通过采用明鉴®信息安全等级保护检查工具箱，可以帮助用户获得以下收益：
⏹提升公安网安部门等级保护检查监察工作效率；
⏹使得公安网安部门等级保护检查监察工作有据可依；
⏹将公安网安部门等级保护检查工作标准化、专业化、统一化；
⏹促进等级保护加快发展；
⏹使公安网安部门常态化开展对等级保护协助测评、自查、检查工作；
⏹减少公安网安部门人员投入；
⏹使得公安网安等级保护监管立体化；
⏹持续集中化、规范化、公正化的日常检查、管理；
⏹自动化出具与等级保护标准无缝关联的检查报告；
杭州安恒信息技术有限公司的核心团队拥有多年互联网应用安全攻防、网络安全审计、数据库安全审计的深厚技术背景，拥有全球领先的具有完全知识产权的安全技术；为明鉴®信息安全等级保护工具箱的成功推出奠定了有力的基础。

作为一款专业级的信息安全等级保护检查工具箱，将在线安全检查、U盘安全检查工具技术层面和管理层面进行有机结合，使的等级保护主管单位、测评机构、信息系统运营单位在日常等级保护检查工作变得更加全面、专业、快捷。