信息安全等级保护检查工具箱技术白皮书

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息安全

等级保护检查工具箱系统

技术白皮书

国家信息技术安全研究中心

版权声明

本技术白皮书是国家信息技术安全研究中心研制的信息系统安全等级保护

检查工具箱产品的描述。与内容相关的权利归国家信息技术安全研究中心所有。白皮书中的任何内容未经本中心许可,不得转印、复制。

联系方式:

国家信息技术安全研究中心

地址:北京市海淀区农大南路1号硅谷亮城 2号楼C座4层

电话:0

简介

国家信息技术安全研究中心(以下简称,中心)是适应国家信息安全保障需要批准组建的国家级科研机构,是从事信息安全核心技术研究、为国家信息安全保障服务的事业单位。

中心成立于2005年,是国家有关部门明确的信息安全风险评估专控队伍、等级保护测评单位、国家网络与信息安全应急响应技术支撑团队和国家电子政务非保密项目信息安全专业测评机构。

中心通过系统安全性检测、产品安全性检测、信息安全技术支持、信息安全理论研究、远程监控服务等项目,为国家基础信息网络和重要信息系统及社会各界提供多种形式的信息安全技术服务。

为提高我国基础信息网络和重要信息系统的安全防护水平,中心自主研发了一系列安全防护和检测工具产品。主要有:恶意代码综合监控系统、信息系统等级保护检查/测评工具箱、安全内网管控系统、网上银行安全控件、系统安全检测工具集、网络数据流安全监测系统、商品密码安全性检测工具集、漏洞扫描评估系统等。

中心还积极承担国家“863”、国家发改委专项和密码发展基金等国家重点科研项目;积极承担国家下达的多项信息安全标准制定和研究任务;紧密跟踪国内外信息安全发展,采取多种形式为国家有关部门和行业提供信息安全咨询和培训服务。

经过多年的发展,中心服务的足迹遍及30余个省市自治区,为政府机关、电信、电力、金融、海关、铁路、广电、税务等行业部门的数百个单位、上千个重要信息系统提供了信息安全产品、咨询和测评服务。

目录

1前言

随着信息技术的迅速发展,社会对信息化的依赖程度越来越高,网络与信息系统的安全问题也更加的突出,为了保障基础网络和重要信息系统安全,更好地维护国家安全与社会秩序,我国推出了等级保护制度。自1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》以来,等级保护相关工作大致经过了起步、发展及推行三个阶段,颁布了《中华人民共和国计算机信息系统安全保护条例》、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)、《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66 号)、《电子政务信息安全等级保护实施指南(试行)》(国信办25号文)、《信息系统安全保护等级定级指南》(公信安[2005]1431号)等多项国家或部门级法令制度及管理办法,并制定了《计算机信息系统安全保护等级划分准则》、《计算机信息系统安全等级保护操作系统技术要求》、《计算机信息系统安全等级保护数据库管理系统技术要求》、《计算机信息系统安全等级保护通用技术要求》、《计算机信息系统安全等级保护管理要求》等多组国家或行业信息安全标准,支持国家信息安全等级保护制度的落实工作。

信息安全等级保护的工作内容,包括:系统定级、系统备案、系统建设与整改、系统等级测评以及系统等级保护检查五个阶段。其中,系统定级由用户单位自主完成,然后在公安机关完成系统备案;用户单位依据等保标准以及测评、检查工作的意见进行系统建设与整改;系统等级测评工作由专业测评机构承担;公安机关负责信息安全等级保护的监督检查工作。

公安机关作为信息安全等级保护检查的执法单位,随着信息安全等级保护工作不断推进,在等级保护检查工作中面临诸多的困难:

1.公安机关等保检查工作的现状

等级保护检查的人员较少;信息安全知识的水平平均较低,甚至是

别的公安岗位转岗而来,IT系统知识从零开始。

有些地区的等保工作刚开始开展,那具体工作如何实施。

对辖区内等保检查工作如何管理、检查结果如何汇总评价。

如何指导等级保护检查工作的改进。

2.等级保护检查的系统数量多,检查工作量大

备案系统数量多,目前全国已经备案的系统约有20000个。

依据系统等级要求检查次数,三级系统每一年检查一次,四级系统

每半年检查一次。

3.系统类型不同,检查的安全及应用要求存在差异

行业类型,包括:电信、银行、广电、铁路、教育等。

应用类型,包括:生产作业、指挥调度、管理控制、内部办公、公

众服务。

同一等级的系统中SAG有区别,例如三级系统区分:S3A3G3、S2A2G3、

S3A1G3等。

4.具体系统检查中需要检查对象范围广

物理安全:机房、办公环境、机房相关文档等

网络安全:交换机、防火墙、路由器、IDS等

主机安全:操作系统、数据库系统等

应用安全:应用软件、应用平台等

管理安全:文档(制度、规程、记彔)、人员等

5.技术检查的实施过程和方法不具体

等保检查的标准依据,包括《信息安全技术信息系统安全等级保护

基本要求》和《公安机关信息安全等级保护检查工作规范》(公信安

[2008]736号),但是对具体设备类型的具体检查过程并没有指导;

同时也缺乏这方面的指导文档。

因此,信息安全等级保护检查工作从管理上要求对基础备案信息数据的采集汇总、结果分析,指导检查等保落实;同时对单位系统的现场检查要求提供一个便携的检查终端,通过规范化、流程化的方法步骤完成等保检查的数据采集。

2系统介绍

“等级保护检查管理平台”和“等保检查工具箱”融入了国家信息技术安全研究中心多年积累的对信息系统安全专业检测的方法、经验和工具,是面向公安机关实施等级保护检查工作的完整的系统工作平台。

等级保护检查管理平台:主要完成等保备案信息的管理以及等保检

查结果的分析。

等保检查工具箱:主要完成等级保护单位现场检查工作以及检查结

果的数据采集,并将数据提交给等级保护检查管理平台。支持12

类检测工具。

等保执法工具箱:公安执法过程中,用到的信息采集和输出设备。

2.1等级保护检查管理平台

等级保护检查管理平台通过等保备案的单位系统信息和等保检查结果的数据分析,能够对等级保护工作提供多角度、多维度的数据分析呈现,进而为等保工作的推进落实提供指导和数据支撑。

等级保护检查管理平台的主要功能:

内置了等级保护检查方法的知识库,包括:信息系统安全等级保护

标准库、信息系统安全检查方法用例库,以及支持的设备类型库。

支持等保备案信息的管理。

支持等保检查计划的逐级管理、集中管理。

支持对等级保护检查结果的数据分析

2.2等保检查工具箱

等保检查工具箱内置了等级保护检查方法的知识库,通过公安机关等级保护工作的执法流程,完成等级保护现场检查工作的数据采集,实现了等级保护检查工作的流程工具化、检查规范化、工作协同化、报告自动化。

等保检查工具箱遵从等保检查标准和检查规范,通过明确的执法步

骤,同时兼顾实际检查中需要抽查资产对象的客观需求,从等保检

查的依据、执行过程、范围三个方面,保证等保检查有效实施。

相关文档
最新文档