统等级保护综合管理平台技术白皮书V2.docx
《统等级保护综合管理平台技术白皮书V2.docx》由会员分享,可在线阅读,更多相关《统等级保护综合管理平台技术白皮书V2.docx(29页珍藏版)》请在冰豆网上搜索。
统等级保护综合管理平台技术白皮书V2
文档说明
本文档以提供信息为目的,所含信息可随时更改,恕不另行通知。
由此情况引起的与之有关的直接或间接的损失本公司均不负责。
文档主要用于介绍产品功能及特点,不包括完整的太极信息系统等级保护综合管理平台通常所包含的所有功能。
除非另行说明,否则在文档中涉及的组织、产品、客户和事件示例都是虚构的,与任何真实的组织、产品、客户和事件示例没有任何刻意或隐含的联系。
遵从所有适用的版权法规是用户的义务。
在不限制版权权利的前提下,未经太极计算机股份有限公司明确的书面许可,不得对本文档的任何部分进行复制、存储或引入到任何检索系统中,或者以任何形式或任何途径(电子、机械、影印、录制或其它手段)或出于任何目的进行传播。
本文档所涉及到的文字、图表等,仅限于太极计算机股份有限公司及被呈送方内部使用,未经太极计算机股份有限公司书面许可,请勿扩散到第三方。
文档属性
文档名称
太极信息系统等级保护综合管理平台技术白皮书
文档类型
内部文档
阅读范围
太极计算机股份有限公司及被呈送方内部人员
最后更新
2010年5月
文档作者
太极计算机股份有限公司
文档历史
版本号
完成日期
编辑
说明
V1.1
2007年10月
太极
基础版正式发布
V1.5
2008年2月
太极
标准版正式发布
V2.0
2008年9月
太极
高级版正式发布
V2.2
2009年5月
太极
升级版正式发布
第一章前言
我国正面临等级保护工作的大好机遇,在现已定级的信息系统,大多数在建设之初并没有将等级保护需求加以考虑,通过这几年试点经验的积累,以及政策环境的大力推动,已经具备大规模等级保护整改建设的基础环境。
但等级保护是一项全新的课题,需要从实际出发、扎实实践、稳步推进,需要全社会共同努力。
通过开展等级保护工作,按照等级保护相关要求进行设计、规划,确实推动等级保整改建设实施。
使得相关信息系统能够达到相应等级的基本保护和防护能力。
随着国内经济的发展,国内重要信息系统的数量还在不断以每年20%的速度增加。
公信安[2009]1429号文件明确指出,力争在2012年底前完成已定级信息系统安全建设整改工作,通过等级保护相关测评。
从2004年公安部、保密局、国密办以及国信办联合发布的公通字[2004]66号文件-(《关于信息安全等级保护工作的实施意见》开始到2010年,作为国家信息安全的基本制度的等级保护已经积累了大量的工作经验,并且制定了定级指南、实施指南、基本要求、设计指南、测评指南等相关文件和标准,但是相应的建设单位对如何把握这些标准和指南来指导等级保护建设工作还缺乏经验,需要大量的人力物力资源支持这项工作。
等级保护综合管理平台是太极股份针对国内等级保护整改建设落地工作完全自主研发的综合管理支撑平台,专为等级保护项目的整改建设过程提供支撑工具平台和知识支持。
支撑平台按照等级保护实施指南,开发包括定级、备案、现状调研、风险评估、差距分析、体系建设和测评资料汇总以及知识库等几大功能模块,提供基础数据信息管理、对应标准进行风险评估和差距分析,并且将等级保护建设任务以及解决方案分析出来,通过工作流模块结合日常的工作方式进行等级保护体系建设,统计表单方案报告自动生成和数据汇总分析支撑,帮助客户快速实施信息系统等级保护项目的建设工作。
最终达到对整个重要信息系统全面整体的整改建设和安全防护支撑。
等级保护综合管理平台通过在软件开发、将系统中固化等级保护相关基本要求和相关标准,以及风险管理与等级保护体系建设方法及过程,建立与等级保护控制相关技术工具和法规制度标准指南相对应的等级保护控制目标要求,建设知识库和各种标准工具软件,从而规范等级保护建设管理与控制体系的建设过程,提升组织信息安全风险管理与控制体系的完备性及有效性.
第二章用户面临的挑战
等级保护是当前我国信息安全业界的热点,尽管在实施的过程中部分用户还存在着一些疑问,还有一些难点问题有待解决,但不可否认,等级保护工作在我国上上下下各方的努力推动下,正在积极的前进中。
等级保护是围绕信息安全保障全过程的一项基础性工作,通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是系统化地解决信息安全问题的一个非常有效的方法。
但是用户在建设等级保护项目时通常会遇到许多问题,而不知如何能够合规的进行等级保护项目。
通常用户会有以下疑问:
Ø等级保护建设从哪里开始,如何开始,
Ø等级保护建设如何确保合规性建设;
Ø信息系统定级如何定级,是否准确、完整;
Ø基础数据收集是否完整,是否可长期保存;
Ø信息系统定级备案是否准确、完整、及时;
Ø风险评估是否按照管理、技术全面进行;
Ø不符合项如何优先排序任务归并环境是否具备;
Ø等级保护建设过程是否清晰,职责明确;
Ø等级保护建设只是特定部门、特定人的工作;
Ø等级保护建设侧重技术,不侧重管理;
Ø等级保护建设培训工作持续进行,但效果不佳;
Ø等级保护建设如何高效、标准、可管理、审计;
Ø等级保护测评及定期复测的数据还需要重新收集
Ø……
第三章系统概述
1.1什么是等级保护
等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。
如何对信息系统实行分等级保护一直是社会各方关注的热点。
信息安全等级保护是国家信息安全保障的基本制度,等级保护的实施主要包括等级保护定级与备案、等级保护差距分析、安全设计与实施、等级测评等几个阶段。
信息系统定级与备案是等级保护实施的基础性工作,是进行相应等级安全建设的依据。
信息系统定级即可在新建系统之初进行,也可以在已建系统中进行。
对于新建系统虽尚未建成,但我们可以分析该系统将提供哪些主要业务、侵害客体、侵害程度等基本情况,确定信息系统的等级。
对于已建系统,可以通过系统基本情况调查、调查结果分析、确定等级,形成定级报告等过程完成。
在进行信息系统等级确定过程中,需进一步制定适合自身行业特点的信息系统定级指导意见。
定级和备案完成以后,需要根据等级保护相关要求,进行风险评估和等级保护差距分析。
通过风险评估可发现信息系统的安全现状与目标安全等级之间的差异,可以从技术和管理两方面提供详细的报告,为日后的信息安全保障体系建设提供了有针对性的信息。
安全设计与实施阶段的目标是按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,分期分步落实安全措施。
我们将根据差距分析报告,结合《信息系统安全等级保护基本要求》中的技术和管理方面要求,以及用户的实际需求提供符合等级保护要求的安全整改建设方案。
在信息系统进行完成定级和整改实施之后,需要通过测试手段对信息系统的安全技术和安全管理上各个层面的安全控制进行整体性验证。
1.2什么是等保综合管理平台
等级保护综合管理平台是太极股份根据国家信息系统等级保护标准研发的管理系统平台,专为等级保护项目的建设过程提供工具和知识支持。
包括定级、备案、现状调研、差距分析、体系建设和统计分析等几大功能模块,提供数据信息管理、表单方案报告自动生成和数据汇总分析支撑,帮助客户快速实施信息系统等级保护项目的建设工作。
等级保护综合管理平台是将等级保护建设的步骤及程序,依据国家等级保护政策、标准以及相关建设过程(包括等保定级、备案、现状调研、差距分析、体系建设和等级测评、风险管理、知识管理等)进行软件化、工具化、平台化。
太极公司在多年的安全服务与咨询经验以及安全产品研发的基础上,详细设计了等级保护合综合管理平台框架,将等级保护的政策、标准和建设步骤固化在软件支撑平台系统中,最终用户可以根据支撑平台进行相关等级保护定级、备案、风险评估、差距分析、体系设计、体系建设、等保测评、知识管理、风险管理,完全将这些步骤按照项目管理依次执行,从而完成相关组织重要信息系统的等级保护体系化建设工作,以及后续对其他监管要求的合规性建设工作。
等级保护综合管理平台通过在软件系统中固化等级保护相关基本要求以及风险管理与控制体系建设方法及过程,建立与各种等级保护控制相关技术工具和法规制度标准指南相对应的等级保护控制目标要求知识库和各种标准工具软件,从而规范等级保护建设管理与控制体系的建设过程,提升组织信息安全风险管理与控制体系的完备性及有效性。
该软件平台满足:
◆GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》
◆GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》
◆《信息安全技术信息系统安全等级保护测评要求》(报批稿)
◆《信息安全技术信息系统等级保护测评过程指南》(报批稿)
◆《信息安全技术信息系统等级保护实施指南》(报批稿)
1.3系统设计思想
当前等级保护建设存在诸多难点,而现有的一些通用产品只是在单点技术领域进行安全管理,缺乏对企业安全体系建设的支撑。
太极信息系统等级保护综合管理平台根据实际项目经验,创新性的提出了平台化概念,综合等级保护与其他标准的融合,采取组件化与模块化技术,满足不同行业不同准则的安全体系化建设要求。
等级保护综合管理平台是参照相关等级保护政策标准,通过软件开发实现等级保护建设支撑平台。
按照以重要信息系统为基础、以等级保护建设工作流为核心、以等级保护基本要求进行建模、加以等级保护控制措施进行分析,采用等级保护建设支撑平台能够:
通过风险评估看清风险,通过体系建设制定任务,通过体系保障完整建设。
等级保护建设维护国家及社会的安全与稳定,这也是太极股份作为IT服务国家队的责任和使命,如何能够快速进行等级保护合规性建设,提高综合信息安全防范能力,是我们等级保护综合管理平台的发展目标。
1.4产品定位
在国家信息安全等级保护建设的大背景环境下,太极股份结合自己多年的信息安全咨询、建设、实施、测评、服务的经验,进行了较为深入的市场分析。
从目前项目的市场调研来看,国家中央部委、企业单位、金融、军队以及具有涉密电子资产的科研院所、企业对安全产品的需求最为旺盛。
在这些组织或企业中,信息化的水平相对较高,IT技术相对领先,更能迫切的意识到信息安全产品对于组织或企业发展的重要性,这些都为项目在社会中的成功实施应用提供了广阔的市场机会。
这些单位的重要信息系统关系着国家的政治、经济以及社会稳定,因此信息安全建设显得尤为重要。
因此太极股份根据以往在全国人大、全国政协、国务院办公厅、发改委、卫生部、外交部、公安部、中国人民银行、国家工商总局、审计署、民航总局以及中国石油、中国电信、中国石化、国家电网、中国农业银行等政府机关、事业单位以及大型企业的客户基础和行业经验,将主要把市场定位在国家政府机关及关系到国家国计民生的重点行业上。
并将太极股份IT服务国家队的定位充分发挥出来。
1.5系统运行环境
Ø服务器
CPU:
IntelPIV2G以上
内存:
2GB以上
磁盘空间:
10GB以上
操作系统支持:
Windows2003,Linux(CentOS4)
Ø数据库
SQLServer2005,Oracle,Mysql4,5
Ø客户端
PIII以上计算机,1GB内存
IE5.5或更高版本
1.6系统架构
第四章平台模块介绍
1.7基础平台
基础平台主要用于管理系统本身以及为后期进行风险评估、等保建设提供保障,主要包括系统配置、用户管理、群组管理、角色配置、参数配置、项目配置、知识库设置、密码修改等功能。
基础数据
基础数据模块主要对组织部门、人员权限、信息资产、业务流程进行定义,以便于进行风险评估和等保项目的实施。
组织部门可以是企业、政府机构以及任何单位的各级部门机构;人员权限可以对人员及群组进行权限管理;信息资产包括网络基础设施、系统平台、业务应用系统、信息、等几大类;业务流程(静态)主要包括通用的基本流程和自定义的业务流程两大类。
本模块主要用于相关各种对象的范围定义
主要功能包括:
●定义组织部门:
定义树状结构的企业部门组织机构(支持多级层次结构);
●定义信息资产:
定义组织内部各个部门的IT资产,比如电脑、服务器、路由器等,包括资产名称、资产编号、资源类别、管理者、所有者、使用者等相关属性;
●定义人员权限:
定义用户及群组权限,以及定义不同的权限角色。
●定义业务(静态):
业务是指政府、企业的信息系统为用户提供服务的行为及过程,通过本功能可以让用户清晰的了解业务流程。
1.8信息安全风险评估版
现状调研
提供人工检查列表,为安全管理与安全技术的现状调查提供工具支撑。
支持太极网络风险评估系统、Nessus、WEBSCAN等扫描工具报告的自动导入,帮助客户有效分析安全现状,并符合相关标准。
本模块主要实现调查控制范围内相关控制对象的控制现状,主要子功能包括:
1)人工检查:
人工检查IT资产控制措施是否到位;
2)工具检查:
实现与当前最流行的太极扫描器、nessus和Webscan等扫描器的集成,将扫描报告导入到系统中,根据扫描器扫描结果分析组织内部存在的漏洞和风险。
风险评估
对所有IT资源(资产)进行安全风险评估,包括资产价值评估、威胁可能性评估、弱点严重程度评估、综合风险评价、风险处置以及残余风险分析,其中包括:
资产价值评估;资产威胁评估;资产弱点评估;风险评估和处置措施。
软件提供了资产、系统、流程、业务、部门等各种风险综合视图,并提供了分行业的信息资产风险库,可快速生成风险评估结果,客户再根据自身情况调整,大大加快了风险评估的过程,提高了风险评估的质量。
本模块实现对组织、IT资产和流程三种控制对象进行风险评估。
主要子功能包括:
●组织分析:
针对各个部门分析组织中存在的风险,进行高中低分级;
●资产安全风险评估:
对所有IT资产进行安全风险评估,包括资产价值评估、威胁可能性评估(包括威胁类别、威胁来源、威胁可能性)、弱点严重程度评估(弱点类别、弱点严重程度、弱点详细描述)、风险评价与处置(风险值评分、风险处置方式、残余风险等)。
●系统安全风险评估:
对所有IT系统能够进行安全风险评估,包括系统价值评估、威胁可能性评估(包括威胁类别、威胁来源、威胁可能性)、弱点严重程度评估(弱点类别、弱点严重程度、弱点详细描述)、风险评价与处置(风险值评分、风险处置方式、残余风险等)、相关资产风险。
●风险归并:
将相同的风险进行归并,提炼出用户需要面对处理的风险并可以进行整体处理。
统计分析
本模块实现各种统计分析,主要以报表和报告方式实现,可多维度多层次自动生成各类评估报告。
资产统计主要子功能如下:
●部门资产清单:
可根据部门查看详细资产清单,如具体类型、使用者、管理者等信息。
●信息系统清单:
显示所以信息系统基本情况,并且可以显示信息系统所拥有的IT资产。
●部分资产数量统计:
按部门统计资产的数量,并可将结果导出为EXCEL格式的文件。
●资产类型统计:
显示部门或组织所拥有的资产类型。
●资产价值统计:
显示资产价值信息,为进行风险评估提供依据。
●信息系统价值统计:
显示信息系统价值信息,为进行风险评估提供依据。
风险统计主要子功能如下:
●部门风险统计:
自动统计各个部门资产风险中高、中、低的比例;
●部门风险分类分布统计:
自动统计各个部门不同类型风险分布情况;
●部门风险分布图表:
柱状图和饼状图各个部门不同类型风险中高中低分布情况;
●残余风险统计:
统计部门资产残余风险情况
●残余风险严重程度:
用柱状图比较各部门资产风险和残余风险情况;
●资产类型统计:
统计各个部门资产类型分布情况;
1.9信息安全等级保护标准版
定级&备案
定级模块主要用于创建、维护和保存定级相关的基本信息并形成表单。
主要包括:
1)单位基本信息:
保存项目单位的基本信息,如:
单位名称、责任部门等;
2)系统详细信息:
建立信息系统的基本信息,如:
系统名称、支撑信息资产、责任人、审核人等;
3)系统定级情况:
保存系统定级的基本情况,如:
系统定级表、主管部门(监管单位)等;
4)系统相关材料:
建立并保存信息系统的相关信息,如:
系统拓扑结构、系统安全组织、机构及管理制度、系统等级测评报告等;
备案模块主要用于创建、维护和保存备案相关的基本表单。
主要包括:
1)信息系统安全等级保护备案表:
将备案表固化在系统中存档备份;
2)单位信息系统备案记录表:
可用于查看本单位内各个系统的定级备案情况;
现状调研
提供人工检查列表,为安全管理与安全技术的现状调查提供工具支撑。
支持太极网络风险评估系统、Nessus、WEBSCAN等扫描工具报告的自动导入,帮助客户有效分析安全现状,并符合相关标准。
本模块主要实现调查控制范围内相关控制对象的控制现状,主要子功能包括:
3)人工检查:
人工检查IT资产控制措施是否到位;
4)工具检查:
实现与当前最流行的nessus、Webscan以及太极自主的漏洞扫描系统等扫描器的集成,将扫描报告导入到系统中,根据扫描器扫描结果分析组织内部存在的漏洞和风险。
差距分析
本模块主要实现对信息系统与相应等级要求之间的符合程度进行差距分析,包括子模块:
技术评估:
根据标准从技术层面对信息系统进行检查,按照控制域->控制点->控制项拆分评估问题形成检查单(checklist),实现在线评估;
1)管理评估:
根据标准从管理层面对信息系统进行检查,按照控制域->控制点->控制项拆分评估问题形成检查单(checklist),实现在线评估;
2)整体评估:
站在更高的视角评估信息系统的安全性,主要包括:
区域间安全评估、安全控制间评估、层面间安全评估、系统结构安全评估、安全防范合理性评估、风险处置报告等。
体系建设
体系建设提供了信息系统等级保护安全体系规划与管理体系建设的方法论和行业模板库,包括体系规划,体系设计,体系实施,体系保障等主要功能,帮助客户快速建立安全管理体系,通过内部审计、管理评审等管理过程,保障体系的有效运行。
1)体系规划
系统根据差距分析分析出的不符合项自动推荐控制措施,然后分析识别出的改进措施,将需要增加或改进的措施分解成一项项任务或项目,明确每个任务或项目的目标及工作内容。
2)体系建设
体系建设阶段将解决方案建设项目进行汇总,分析任务或项目的实施优先级,根据实施优先级规划这些任务或项目的实施时间、实施范围及参与人员,最后进行时间规划,系统自动生成甘特图。
●项目立项:
将体系规划阶段汇总的解决方案进行打包立项,形成可以执行的项目;
●优先级分析:
对规划的任务进行优先级规划,从紧迫性、可实施性、实施难易程度、预期效果分析等各个方面进行量化的分析,最后得出优先级赋值;
●项目职责分配:
明确项目的责任人和责任部门;
●时间规划:
规划出每个任务的开始时间和结束时间,最后自动生成甘特图;
3)体系完善
体系完善阶段主要对整改项目进行跟踪和检查,并形成阶段性报告并与评估过程中发现的不符合项进行关联。
●项目跟踪:
对项目的执行过程进行状态跟踪,展现项目执行进度。
●项目日程检查:
对项目日常工作进行检查和记录,辅助项目跟踪模块的完成。
●项目报告:
辅助生成项目阶段性报告和项目总结报告。
●不符合项关联:
将项目与解决的不符合项进行关联。
4)体系保障
体系保障模块主要用于体系保障工作,包括体系内部审核、管理评审的记录,控制测量的录,体系有效性测量,以及不符合项的记录。
统计分析
本模块实现各种统计分析,主要以报表和报告方式实现,可多维度多层次自动生成各类评估报告。
主要分为资产统计和等级保护报告两部分:
资产统计主要子功能如下:
●部门资产清单:
可根据部门查看详细资产清单,如具体类型、使用者、管理者等信息。
●信息系统清单:
显示所以信息系统基本情况,并且可以显示信息系统所拥有的IT资产。
●部分资产数量统计:
按部门统计资产的数量,并可将结果导出为EXCEL格式的文件。
●资产类型统计:
显示部门或组织所拥有的资产类型。
等级保护报告主要子功能如下:
●信息系统定级情况表:
显示信息系统基本情况及定级情况等信息,如果是三级以上信息系统可输出拓扑图、系统安全组织机构及管理制度等。
●现状调研统计表:
将现状调研的信息以图表的形式综合显示在此处,包括问题调查、工具检查两大部分。
●差距分析统计图:
以雷达图或柱状图直观的展现出信息系统与标准的差距,清楚的了解的信息系统防护的方向
●不符合项统计表:
通过不符合项统计表列出目前系统中存在的缺陷,不符合项将作为初始任务清单。
●建设任务清单:
列出进行等级保护项目建设的任务清单,使用者可以清晰的看出建设任务。
●项目建设进度图:
以甘特图的形式展示出等级保护建设项目的项目进度。
1.10信息安全等级保护高级版
定级&备案
定级模块主要用于创建、维护和保存定级相关的基本信息并形成表单。
主要包括:
1)单位基本信息:
保存项目单位的基本信息,如:
单位名称、责任部门等;
2)系统详细信息:
建立信息系统的基本信息,如:
系统名称、支撑信息资产、责任人、审核人等;
3)系统定级情况:
保存系统定级的基本情况,如:
系统定级表、主管部门(监管单位)等;
4)系统相关材料:
建立并保存信息系统的相关信息,如:
系统拓扑结构、系统安全组织、机构及管理制度、系统等级测评报告等;
备案模块主要用于创建、维护和保存备案相关的基本表单。
主要包括:
1)信息系统安全等级保护备案表:
将备案表固化在系统中存档备份;
2)单位信息系统备案记录表:
可用于查看本单位内各个系统的定级备案情况;
现状调研
提供人工检查列表,为安全管理与安全技术的现状调查提供工具支撑。
支持太极网络风险评估系统、Nessus、WEBSCAN等扫描工具报告的自动导入,帮助客户有效分析安全现状,并符合相关标准。
本模块主要实现调查控制范围内相关控制对象的控制现状,主要子功能包括:
1)人工检查:
人工检查IT资产控制措施是否到位;
2)工具检查:
实现与当前最流行的nessus、Webscan以及太极自主的漏洞扫描系统等扫描器的集成,将扫描报告导入到系统中,根据扫描器扫描结果分析组织内部存在的漏洞和风险。
差距分析
本模块主要实现对信息系统与相应等级要求之间的符合程度进行差距分析,包括子模块:
技术评估:
根据标准从技术层面对信息系统进行检查,按照控制域->控制点->控制项拆分评估问题形成检查单(checklist),实现在线评估;
1)管理评估:
根据标准从管理层面对信息系统进行检查,按照控制域->控制点->控制项拆分评估问题形成检查单(checklist),实现在线评估;
2)整体评估:
站在更高的视角评估信息系统的安全性,主要包括:
区域间安全评估、安全控制间评估、层面间安全评估、系统结构安全评估、安全防范合理性评估、风险处置报告等。
体系建设
体系建设提供了信息系统等级保护安全体系规划与管理体系建设的方法论和行业模板库,包括体系规划,体系设计,体系实施,体系保障等主要功能,帮助客户快速建立安全管理体系,通过内部审计、管理评审等管理过程,保障体系的有效运行。
1)体系规划
系统根据差距分析分析出的不符合项自动推荐控制措施,然后分析识别出的改进措施,将需要增加或改进的措施分解成一项项任务或项目,明确每个任务或项目的目标及工作内容。
2)体系建设
体系建设阶段将解决方案建设项目进行汇总,分析任务或项目的实施优先级,根据实施优先级规划这些任务或项目的实施时间、实施范围及参与人员,最后进行时间规划,系统自动生成甘特图。
●项目立项:
将体系规划阶段汇总的解决方案进行打包立项,形成可以执行的项目;
●优先级分析:
对规划的任务进行优先级规划,从紧迫性、可实施性、实施难易程度、预期效果分析等各个方面进行量化的分析,最后得出优先级赋值;
●项目职责分配:
明确项目的责任人和责任部门;
●时间规划:
规划出每个任务的开
升级会员 