信息系统安全等级测评工具自测版

文档编码CRBJ-PMD-PSI

项目管理号1001-GFCSP-Tech

信息系统安全等级测评工具

【自测版】

产品规格说明书（PSI）

Product Specification Instructions

公安部第三研究所

2010年07月06日版权所有侵权必究

[文档信息]

[版本变更记录]

[文档送呈]

目录

1 产品背景及概述 (1)

1.1 产品背景 (1)

1.2 产品概述 (3)

2 产品目标及策略 (4)

2.1 产品目标 (4)

2.2 产品策略 (4)

3 产品执行标准 (5)

4 产品说明 (6)

5 结论 (8)

1产品背景及概述

1.1 产品背景

随着信息技术的迅猛发展和广泛应用，特别是我国国民经济和社会信息化进程的全面加快，网络与信息系统的基础性、全局性作用日益增强，信息网络已成为国家和社会发展新的重要战略资源。党中央、国务院始终高度重视信息安全问题，多次指示公安部会同有关部委制定有效措施，切实加强管理，提高我国计算机信息系统安全保护水平，以确保社会政治稳定和经济建设的顺利进行。

2003年8月，国家信息化领导小组关于加强信息安全保障工作的意见（中办发[2003]27号）明确指出信息安全保障工作要“实行信息安全等级保护”。

信息安全等级保护制度已经成为我国信息安全保护工作的基本国策，实行信息安全等级保护具有重大的现实和战略意义。

为了进一步推动等级保护工作的进展，公安部、国家保密局、国家密码管理委员会办公室和国务院信息化工作办公室于2004年联合下发了《关于信息安全等级保护工作的实施意见》，明确指出要在三年内在全国范围内推广等级保护制度。

为了规范和指导各地的等级保护工作，公安部、全国信息安全标准化技术委员会委托公安部信息安全等级保护评估中心（以下简称评估中心）制定了一系列等级保护相关标准和文件。目前，国家推荐标准《信息系统安全保护等级定级指南》、《信息系统安全等级保护基本要求》和《信息系统安全等级保护实施指南》已经完成报批稿，《信息系统安全等级保护测评准则》已经完

成征求意见稿。

2006年8月，公安部、国家保密局、国家密码局和国务院信息化办公室联合在北京举行了“信息安全等级保护工作会议”，向来自全国各地和各重要部委的近200名信息化工作主管领导颁发了《信息安全等级保护试点工作实施方案》，涉及系统定级、等级测评、制度建设、系统改建、备案与监督检查等多项等级保护工作。同时，为了加强信息安全等级保护工作的组织领导，国家成立了由公安部副部长张新枫任组长，公安部、国家保密局、国家密码局和国务院信息化办公室有关局级领导为成员的信息安全等级保护协调小组，协调小组办公室设在公安部公共信息网络安全监察局。

试点工作的经验表明，等级测评活动是确保信息安全等级保护工作的关键关节。等级测评能够帮助信息系统的运营、使用单位进行信息系统安全自查，了解系统的安全现状与国家要求之间的差距，明确安全整改的目标与方向。

市场调查表明，目前信息安全相关的商用测评工具主要集中在漏洞扫描和问卷评估系统等方面，无法准确、全面的提供信息系统安全等级保护的整体测评结论。

由于信息安全等级保护制度已经成为我国信息安全保护工作的基本国策，国家相关文件规定信息系统必须定期进行自查和定期委托专业测评机构进行等级符合性测评。为了确保信息安全等级保护工作的顺利开展，实现国家在三年内全面实施信息安全等级保护工作的工作目标，迫切需要信息系统等级保护测评的专用工具，作为信息系统等级测评支撑工具，提供信息系统的运营单位、使用单位、安全服务机构、安全测评机构、重要行业的主管部门以及国家信息安全监管机构等部门，用于定期测试或符合性测评。

因此，专用测评工具将成为信息系统的运营单位、使用单位、安全服务机

构、安全测评机构、重要行业的主管部门以及国家信息安全监管机构等部门的必备工具，是信息安全等级保护工作的顺利开展和完成不可或缺的保障。

1.2 产品概述

海盾系列信息系统安全等级保护测评工具软件是由国内领先的等保测评专家团队在深入分析等级保护技术要求、国内信息系统面临安全威胁和典型案例的基础上研制而成。作为国内领先的等保测评工具软件，不仅提供了详细的操作流程、步骤说明，还具有融合自动化工具和第三方安全检查工具检查、扫描的功能，能够有效协助使用者按照等级保护标准要求推进信息系统安全等级保护工作。

本软件产品的原型来源于国家高技术研究发展计划（863计划）课题《等级保护体系模型、测评方法与支撑工具研究》（2007年01月10日，课题编号：2006AA01Z450）和国家发改委国家信息安全专项项目（发改办高技[2007]2035号文）。软件产品吸取了专家组的意见和建议，在公安部信息安全等级保护评估中心的指导下经过功能完善、适应测评工作指南要求、调整报告格式等大量工作，最终形成了可以为等级测评提供支持和服务的系列工具，并已投入多个测评项目实际应用。

海盾系列工具软件主要面向信息系统运营使用单位的安全管理人员和测评机构的测评技术人员，指导他们按照标准合规的测评方法进行测评或自测，并能实现测评的数据、过程标准化管理。

本产品名称为“信息系统安全等级测评工具-自测版”（Information Systems Classified Security Protection Evaluation Utility for Customer），简称等保测评工具自测版，产品编码为CRIT-CS-TA。

2产品目标及策略

2.1 产品目标

为配合信息安全等级保护体系的贯彻和实施，需要根据等级保护的标准体系，开发一系列辅助的工具，为：

➢等级测评服务机构；

➢监管部门；

➢信息系统运行维护管理部门；

➢行业主管部门。

提供测评和监督检查的辅助工具，以使相关单位和部门能够尽快掌握相关的评估测试技术标准与标准知识的应用，提高信息系统安全测评和检查的水平，并增加这些环节的工作效率，提高自动化程度。

等保测评支撑工具-自测版是为用户自查、系统自测评和定级信息系统差距分析提供服务的。主要目标用户为：信息系统运行维护单位的技术人员和管理人员。

2.2 产品策略

本自测版软件是独立运行的软件，采用USBKey认证方式进行登录，并提供数据导出功能，以便将自查数据导出，以便专业机构进行分析。

安全性方面扩展功能：

➢用户登录采用USBKey等强认证方式；

软件产品采用组件化的软件架构，可以通过组件扩充测评方法、数据分析与融合算法、报告生成方法——