- 1、本文档共14页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
三所等保测评工具服务版
1产品背景及概述
1.1产品背景
随着信息技术的迅猛发展和广泛应用,特别是我国国民经济和社会信息化进程的全面加快,网络与信息系统的基础性、全局性作用日益增强,信息网络已成为国家和社会发展新的重要战略资源。党中央、国务院始终高度重视信息安全问题,多次指示公安部会同有关部委制定有效措施,切实加强管理,提高我国计算机信息系统安全保护水平,以确保社会政治稳定和经济建设的顺利进行。
2003年8月,国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)明确指出信息安全保障工作要“实行信息安全等级保护”。信息安全等级保护制度已经成为我国信息安全保护工作的基本国策,实行信息安全等级保护具有重大的现实和战略意义。为了进一步推动等级保护工作的进展,公安部、国家保密局、国家密码管理委员会办公室和国务院信息化工作办公室于2004年联合下发了《关于信息安全等级保护工作的实施意见》,明确指出要在三年内在全国范围内推广等级保护制度。
为了规范和指导各地的等级保护工作,公安部、全国信息安全标准化技术委员会委托公安部信息安全等级保护评估中心(以下简称评估中心)制定了一系列等级保护相关标准和文件。目前,国家推荐标准《信息系统安全保护等级定级指南》、《信息系统安全等级保护基本要求》和《信息系统安全等级保护实施指南》已经完成报批稿,《信息系统安全等级保护测评准则》已经完成征求意见稿。
2006年8月,公安部、国家保密局、国家密码局和国务院信息化办公室联合在北京举行了“信息安全等级保护工作会议”,向来自全国各地和各重要部委的近200名信息化工作主管、领导颁发了《信息安全等级保护试点工作实施方案》,涉及系统定级、等级测评、制度建设、系统改建、备案与监督检查等多项等级保护工作。同时,为了加强信息安全等级保护工作的组织领导,国家成立了由公安部副部长张新枫任组长,公安部、国家保密局、国家密码局和国务院信息化办公室有关局级领导为成员的信息安全等级保护协调小组,协调小组办公室设在公安部公共信息网络安全监察局。
和部门能够尽快掌握相关的评估测试技术标准与标准知识的应用,提高信息系统安全测评和检查的水平,并增加这些环节的工作效率,提高自动化程度。
等保测评支撑工具-服务版是为等级测评服务机构提供服务的,主要目标用户为:行业内信息系统等级安全保护评估、服务及管理人员。
2.2产品策略
本服务版系统是一款相对独立运行的软件,可独立于等保测评支撑工具项目的其他版本系统而运行,系统升级和维护应优先考虑离线安全升级维护方式,也可提供基于安全虚拟专网的加密传输升级。
在管理员操作系统的时候,需通过本系统才可登录。也就是说,在服务系统管理上,具有认证、授权、审计等安全特性。系统具有如下特点:
对系统操作人员所有维护动作、操作可进行审计;
为方便用户的使用,提供XLS格式的文件数据导入模式。
安全性方面扩展功能:
?用户登录可采用USBKey等强认证方式;
?离线数据的上传与下载可利用USBKey内置证书采用PKI体制增强安全性;
软件产品采用组件化的软件架构,可以通过组件扩充测评方法、数据分析与融合算法、报告生成方法——
?知识库包含安全产品测评与系统测评知识,支持XML的知识表示;
?支持等级保护体系模型中的测评方法;
?支持智能的结构化分析方法,能综合单独测评结果形成系统整体测评结论;
?灵活可定制的报表功能,支持Word、HTML、PDF等多种格式导出;
?提供API扩展接口,可以方便地驳接第三方软件工具(如扫描工具、渗透测试工具)等;?具有数据导入、导出接口,测评结果可以导出到其它系统;
?客户化定制功能,可根据组件配置选择,形成多个功能版本(包括知识库定制)或具有行业特色内容的版本等。
后续策略将根据市场反馈进一步及时升级和更新。
3产品执行标准
?中华人民共和国计算机信息系统安全等级保护条例,1994
?国家信息化领导小组关于加强信息安全保障工作意见(中发办[2003]27号)
?关于信息安全等级保护工作实施意见(公通字[2004]66号)
?等级保护管理办法(公通字[2007]43号)
?信息安全等级保护管理办法(试行)
?计算机信息系统等级保护划分准则GB17859
?信息系统安全等级保护实施指南(送审稿)
?信息系统安全保护等级定级指南(GB/T22240-2008)
?信息系统安全等级保护基本要求(GB/T22239-2008)
?信息系统安全等级保护测评要求(送审稿)
?GA/T387-2002《计算机信息系统安全等级保护网络技术要求》
?GA388
文档评论(0)