三所等保测评工具服务版.docxVIP

三所等保测评工具服务版

1产品背景及概述

1.1产品背景

随着信息技术的迅猛发展和广泛应用，特别是我国国民经济和社会信息化进程的全面加快，网络与信息系统的基础性、全局性作用日益增强，信息网络已成为国家和社会发展新的重要战略资源。党中央、国务院始终高度重视信息安全问题，多次指示公安部会同有关部委制定有效措施，切实加强管理，提高我国计算机信息系统安全保护水平，以确保社会政治稳定和经济建设的顺利进行。

2003年8月，国家信息化领导小组关于加强信息安全保障工作的意见（中办发[2003]27号）明确指出信息安全保障工作要“实行信息安全等级保护”。信息安全等级保护制度已经成为我国信息安全保护工作的基本国策，实行信息安全等级保护具有重大的现实和战略意义。为了进一步推动等级保护工作的进展，公安部、国家保密局、国家密码管理委员会办公室和国务院信息化工作办公室于2004年联合下发了《关于信息安全等级保护工作的实施意见》，明确指出要在三年内在全国范围内推广等级保护制度。

为了规范和指导各地的等级保护工作，公安部、全国信息安全标准化技术委员会委托公安部信息安全等级保护评估中心（以下简称评估中心）制定了一系列等级保护相关标准和文件。目前，国家推荐标准《信息系统安全保护等级定级指南》、《信息系统安全等级保护基本要求》和《信息系统安全等级保护实施指南》已经完成报批稿，《信息系统安全等级保护测评准则》已经完成征求意见稿。

2006年8月，公安部、国家保密局、国家密码局和国务院信息化办公室联合在北京举行了“信息安全等级保护工作会议”，向来自全国各地和各重要部委的近200名信息化工作主管、领导颁发了《信息安全等级保护试点工作实施方案》，涉及系统定级、等级测评、制度建设、系统改建、备案与监督检查等多项等级保护工作。同时，为了加强信息安全等级保护工作的组织领导，国家成立了由公安部副部长张新枫任组长，公安部、国家保密局、国家密码局和国务院信息化办公室有关局级领导为成员的信息安全等级保护协调小组，协调小组办公室设在公安部公共信息网络安全监察局。

和部门能够尽快掌握相关的评估测试技术标准与标准知识的应用，提高信息系统安全测评和检查的水平，并增加这些环节的工作效率，提高自动化程度。

等保测评支撑工具-服务版是为等级测评服务机构提供服务的，主要目标用户为：行业内信息系统等级安全保护评估、服务及管理人员。

2.2产品策略

本服务版系统是一款相对独立运行的软件，可独立于等保测评支撑工具项目的其他版本系统而运行，系统升级和维护应优先考虑离线安全升级维护方式，也可提供基于安全虚拟专网的加密传输升级。

在管理员操作系统的时候，需通过本系统才可登录。也就是说，在服务系统管理上，具有认证、授权、审计等安全特性。系统具有如下特点：

对系统操作人员所有维护动作、操作可进行审计；

为方便用户的使用，提供XLS格式的文件数据导入模式。

安全性方面扩展功能：

?用户登录可采用USBKey等强认证方式；

?离线数据的上传与下载可利用USBKey内置证书采用PKI体制增强安全性；

软件产品采用组件化的软件架构，可以通过组件扩充测评方法、数据分析与融合算法、报告生成方法——

?知识库包含安全产品测评与系统测评知识，支持XML的知识表示；

?支持等级保护体系模型中的测评方法；

?支持智能的结构化分析方法，能综合单独测评结果形成系统整体测评结论；

?灵活可定制的报表功能，支持Word、HTML、PDF等多种格式导出；

?提供API扩展接口，可以方便地驳接第三方软件工具（如扫描工具、渗透测试工具）等；?具有数据导入、导出接口，测评结果可以导出到其它系统；

?客户化定制功能，可根据组件配置选择，形成多个功能版本（包括知识库定制）或具有行业特色内容的版本等。

后续策略将根据市场反馈进一步及时升级和更新。

3产品执行标准

?中华人民共和国计算机信息系统安全等级保护条例，1994

?国家信息化领导小组关于加强信息安全保障工作意见（中发办[2003]27号）

?关于信息安全等级保护工作实施意见（公通字[2004]66号）

?等级保护管理办法（公通字[2007]43号）

?信息安全等级保护管理办法（试行）

?计算机信息系统等级保护划分准则GB17859

?信息系统安全等级保护实施指南（送审稿）

?信息系统安全保护等级定级指南（GB/T22240-2008）

?信息系统安全等级保护基本要求（GB/T22239-2008）

?信息系统安全等级保护测评要求（送审稿）

?GA/T387-2002《计算机信息系统安全等级保护网络技术要求》

?GA388