信息系统安全等级测评工具的研究和实现.pdfVIP

信息系统安全等级测评工具的研究与实现 信息系统安全等级测评工具的研究与实现‘ 李明 朱建平金波袁静 公安部第三研究所 摘要：信息安全等级保护制度已经成为国家实施信息安全保障工作的基本 国策，相关文件规定必须定期委托专业测评机构对信息系统进行等级符合性测评 和安全状况自杏。为确保测评过程的规范性和结果的准确性，迫切需要专业的等 级测评工具来支撑繁多、复杂的信息系统等级测评工作。本文从等级测评流程出 发，总结出等级测评工具的功能需求，提出了拓扑展示和测评知识表达方法，并 给出了基于知识库的信息系统安全等级测评工具的系统原型描述。 关键词：信息安全等级保护测评工具 1研究背景 信息安全等级保护制度已经成为国家实施信息安全保障工作的基本国策，《关 于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》等相关法 律法规和文件规定必须定期对信息系统安全等级保护现状进行自查并委托专业测 评机构进行符合性测评。 信息安全等级保护试点工作的经验表明，等级测评工作是一项专业水平要求 高、工作强度大的技术活动，无论是信息系统的运营、使用单位出于进行安全现 状自测或是专业测评机构或者安全服务机构出于实施安全测评的目的，完全依靠 人操作无法满足等级保护工作对时间和结果的要求。因此，信息系统等级测评工 具是信息系统运营、使用单位和专业测评机构的必备工具，是信息安全等级保护 工作在全国范围内顺利推进的有力保障。 相关调查结果表明，目前信息安全领域常用的商用测评工具及其研发主要集 Secur- 中在漏洞扫描(如极光远程安全评估系统)和问卷评估系统(如Automated ·本文工作由国家高技术研究发展计划(No．2006AA01ZA50)资助 -95· 第十八届全国信息保密学术会议(IS2008)论文集 Self-EvaluationRisk and ity Tool和CTA Method)等方面，无法 AnalysisManagement 为等级测评工作提供完整的规范、支撑功能以及准确的整体测评结论。本文研究 和实现的信息系统安全等级测评工具依据《信息系统安全等级保护基本要求》、 《信息系统安全等级测评要求》等相关标准，在人工辅助下基于测评知识库自动生 成测评方案、作业指导书和测评报告，有效提高了测评工作效率，较好地满足了 等级保护工作对测评实践工具化、智能化和规范化的需求。 2等级测评工具需求分析 2．1 等级测评流程与任务 信息系统安全等级测评的一般流程包括系统调研、测评准备、现场测评及报 告编制等四个阶段。 系统调研是等级测评工作的初始阶段，测评人员应通过现场调研和人员访谈 等方法了解目标系统的基本情况，包括安全保护等级、业务流程和数据、网络拓 扑、关键设备配置以及配合人员等信息，为后续测评活动提供必要的基础信息。 测评准备是测评阶段的关键阶段，主要完成现场测评方案、时间计划、作业 指导书和相关文档的编制以及测试工具的初始化和校验等任务，是整个等级测评 ’ 工作正确性和有效性的保证。 现场测评是等级测评工作的核心阶段，主要工作是依据测评方案规定的测试 内容，严格执行作业指导书，分步实施所有测评项目，全面、准确的获取并记录 证据，发现系统存在的安全问题。 报告编制是对被测系统整体安全保护能力的综合评价过程，主要任务是根据 现场测评结果和证据，分析整个系统的安全保护现状与相应等级的保护要求之间 的差距，给出测评结论。 2．2等级测评工具功能分析 作为辅助支撑工具，信息系统安全等级测评工具应提供系统调研、测评准备、 现场测评数据处理以及报告编制等等级测评功能，并利用已有的测评实践经验的 积累建立测评知识库，在人工辅助下实现相关功能的自动化，主要包括：