等保产品白皮书.doc

2011版 GooAnn—信息系统等级保护综合管理系统白皮书 北京谷安天下科技有限公司 2011年3月 一、 信息系统等级保护综合管理系统简介 信息系统等级保护项目建设管理系统是谷安天下根据国家信息系统等级保护标准研发的管理系统平台，专为等级保护项目的建设过程提供工具和知识支持。 包括日常管理、定级&备案、现状调研、风险评估、差距分析、整改建设和统计报表七大功能模块，提供数据信息管理、表单方案报告自动生成和数据汇总分析支撑，帮助客户快速实施信息系统等级保护项目的建设工作。 该软件平台满足： u GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》 u GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》 u 《信息安全技术 信息系统安全等级保护测评要求》（报批稿） u 《信息安全技术 信息系统等级保护测评过程指南》（报批稿） u 《信息安全技术 信息系统等级保护实施指南》（报批稿） 二、 信息系统等级保护的重要性 我国正面临等级保护工作的大好机遇，在现已定级的信息系统，大多数在建设之初并没有将等级保护需求加以考虑，通过这几年试点经验的积累，以及政策环境的大力推动，已经具备大规模等级保护整改建设的基础环境。 但等级保护是一项全新的课题，需要从实际出发、扎实实践、稳步推进，需要全社会共同努力。通过开展等级保护工作，按照等级保护相关要求进行设计、规划，确实推动等级保整改建设实施。使得相关信息系统能够达到相应等级的基本保护和防护能力。 国家相关主管部门高度重视等级保护，1994年国务院发布的中华人民共和国国务院令（147号）《中华人民共和国计算机信息系统安全保护条例》中的第九条指出：计算机信息系统应实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。 从147号令起，国家相关主管部门陆续起草并发布了多项政策及标准，等级保护作为国家信息安全保障整改建设的标准，逐步进入落地阶段，谷安天下在为用户提供等级保护服务的过程中，重点参考的政策和标准包括： Ø 2003年中办国办联合发布的中办发[2003]27号文件-（关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知），文件中提出了关于加强信息安全保障工作的“积极防御，综合防范”的八字方针，以及实行信息安全等级保护的要求； Ø 2004年公安部、保密局、国密办以及国信办联合发布的公通字[2004]66号文件-（《关于信息安全等级保护工作的实施意见》），确认等级保护是国家信息安全的基本制度，也是电子政务安全工作的根本方法； Ø 2005年公安部陆续发布的《信息系统安全等级保护实施指南》（内审稿）、《信息系统安全等级保护定级指南》（内审稿）、《信息系统安全等级保护基本要求》（内审稿）和《信息系统安全等级保护测评指南》（内审稿），提出了等级保护的定级方法、实施办法，并对不同等级需要达到的安全能力要求进行了详细定义，同时对系统保护能力等级测评指出了具体的指标，这些标准的提出形成等级保护的基本理论框架，制定了方法、过程和标准； Ø 2006年公安部在原发布的内审稿的基础上，连续发布的《信息系统安全等级保护实施指南》（待批稿）、《信息系统安全等级保护定级指南》（待批稿）和《信息系统安全等级保护基本要求》（待批稿），取代2005年制定的相关标准，成为信息系统安全等级保护建设的标准性文件； Ø 2007年公安部、保密局、国密办和国信办联合发布的公通字[2007]43号文件-（《信息安全等级保护管理办法》），提出了等级保护的推进和管理的办法，和法律责任，同时也定义了公安部、保密局、国密办和国信办在信息安全等级保护建设过程中的职责分工。 三、 系统设计思想 当前等级保护建设存在诸多难点，而现有的一些通用产品只是在单点技术领域进行安全管理，缺乏对企业安全整改建设的支撑。太极信息系统等级保护综合管理平台根据实际项目经验，创新性的提出了平台化概念，综合等级保护与其他标准的融合，采取组件化与模块化技术，满足不同行业不同准则的安全体系化建设要求。 等级保护综合管理平台是参照相关等级保护政策标准，通过软件开发实现等级保护建设支撑平台。按照以重要信息系统为基础、以等级保护建设工作流为核心、以等级保护基本要求进行建模、加以等级保护控制措施进行分析，采用等级保护建设支撑平台能够：通过风险评估看清风险，通过整改建设制定任务，通过体系保障完整建设。 等级保护建设维护国家及社会的安全与稳定，这也是太极股份作为IT服务国家队的责任和使命，如何能够快速进行等级保护合规性建设，提高综合信息安全防范能力，是我们等级保护综合管理平台的发展目标。 信息系统等级保护项目建设专用管理平台的内部结构模块如下图所示： 四、 模块功能 系统初始化设置 系统初始化设置主要用于管理系统本身，包括用户管理、群组管理、角色配置、组织管理、操作日志管理、知识库设置等功能。 日常管理 日常管理模块主要对组织部门、人员权限、信息资产、业务流程进行定义，对文档进行管理，以便于进行等保项目和风险评估工作的实施。组织部门可以是企业、政府机构以及任何单位的各级部门机构；人员权限可以对人员及群组进行权限管理；信息资产包括网络基础设施、系统平台、业务应用系统、信息、等几大类；业务流程（静态）主要包括通用的基本流程和自定义的业务流程两大类；文档管理主要用于管理项目过程中产生的各类体系文件、过程文件、证据文件等。 本模块主要用于相关各种对象的范围定义 主要功能包括： l 单位信息：定义系统的主管单位信息，包括所属行业类别、负责人信息、责任部门、隶属关系、单位类型、所拥有的信息系统总数等功能。 l 定义组织部门：支持定义树状结构的部门组织机构（支持多级层次结构），具有良好的展现形式。定义部门时需要输入部门属性，部门属性包括部门名称、部门描述等。对部门对象的风险分析主要是控制差距分析。 l 定义信息资产：定义组织内部各个部门的IT资产，比如电脑、服务器、路由器等，包括资产名称、资产编号、资源类别、管理者、所有者、使用者等相关属性； l 定义人员权限：支持角色管理、人员权限功能，通过定义不同的权限组，可分别定义不同的人员权限。 l 定义业务（静态）：业务是指政府、企业的信息系统为用户提供服务的行为及过程，通过本功能可以让用户清晰的了解业务流程。 l 文档管理：文档管理主要分为两块功能，文档分类管理和文档库。文档分类管理主要用于从宏观上对文档进行管理，通过对文档类型的划分，方便用户管理和查找；文档库主要用于存放和管理具体文档。 定级&备案 定级模块主要用于创建、维护和保存定级相关的基本信息并形成表单。 主要包括： 1) 系统详细信息：建立信息系统的基本信息，如：系统名称、支撑信息资产、责任人、审核人等； 2) 系统定级情况：保存系统定级的基本情况，如：系统定级表、主管部门（监管单位）等； 3) 系统相关材料：建立并保存信息系统的相关信息，如：系统拓扑结构、系统安全组织、机构及管理制度、系统等级测评报告等； 备案模块主要用于创建、维护和保存备案相关的基本表单。 主要包括： 1) 信息系统安全等级保护备案表：将备案表固化在系统中存档备份； 2) 单位信息系统备案记录表：可用于查看本单位内各个系统的定级备案情况； 现状调研 提供访谈问卷、人工检查列表，为安全管理与安全技术的现状调查提供工具支撑。支持谷安天下网络风险评估系统、Nessus、WEBSCAN等扫描工具报告的自动导入，帮助客户有效分析安全现状，并符合相关标准。 本模块主要实现调查控制范围内相关控制对象的控制现状，主要子功能包括： l 问卷调查与访谈：问卷调查与访谈主要调查控制范围内相关控制对象的控制设计情况，包括在线和离线两种方式，前者针对控制对象的每个控制目标或措施要求，可以通过在线录入调查结果；后者针对控制对象，主要完成相关控制对象的离线调查记录归档，调查记录可以是DOC或XLS格式的文档，可以上传、修改、浏览调查信息及调查记录。 l 网络风险工具检查：实现与当前最流行的谷安天下扫描器、Nessus扫描器的集成，将扫描报告导入到系统中，根据扫描器扫描结果分析信息系统存在的漏洞和风险。 l 应用风险工具检查：通过技术手段对WEB应用系统进行检查，实现与WEBSCAN扫描器的集成，将扫描报告导入到系统中，根据扫描器扫描结果分析信息系统存在的漏洞和风险。 风险评估 对所有IT资源（资产）进行安全风险评估，包括资产价值评估、威胁可能性评估、弱点严重程度评估、综合风险评价、风险处置以及残余风险分析，其中包括：资产价值评估；资产威胁评估；资产弱点评估；风险评估和处置措施。软件提供了资产、系统、流程、业务、部门等各种风险综合视图，并提供了分行业的信息资产风险库，可快速生成风险评估结果，客户再根据自身情况调整，大大加快了风险评估的过程，提高了风险评估的质量。 本模块实现对组织、IT资产和流程三种控制对象进行风险评估。主要子功能包括： 1) 组织分析：针对各个部门分析组织中存在的风险，进行高中低分级； 2) 资产安全风险评估：对所有IT资产进行安全风险评估，包括资产价值评估、威胁可能性评估（包括威胁类别、威胁来源、威胁可能性）、弱点严重程度评估（弱点类别、弱点严重程度、弱点详细描述）、风险评价与处置（风险值评分、风险处置方式、残余风险等）。 3) 系统安全风险评估：对所有IT系统能够进行安全风险评估，包括系统价值评估、威胁可能性评估（包括威胁类别、威胁来源、威胁可能性）、弱点严重程度评估（弱点类别、弱点严重程度、弱点详细描述）、风险评价与处置（风险值评分、风险处置方式、残余风险等）、相关资产风险。 4) 风险归并：将相同的风险进行归并，提炼出用户需要面对处理的风险并可以进行整体处理。 差距分析 本模块主要实现对信息系统与相应等级要求之间的符合程度进行差距分析，包括子模块：标准细则、差距分析、差距分析报告。 1) 标准细则：本模块主要集成了信息系统等级保护标、ISO27000、商业银行风险指引等国内主要标准的索引及细则 2) 差距分析：对等级保护中技术要求和管理要求分别进行差距分析，从管理和技术层面对信息系统进行检查，按照控制域->控制点->控制项拆分评估问题形成检查单，实现在线评估。 3) 差距分析报告：将差距分析结果形成丰富而详细的图型及报表，如：雷达图和柱状图等。可列出所有不符合项，并可以导出为PDF或EXCEL格式。 整改建设 整改建设提供了信息系统等级保护安全体系规划与管理整改建设的方法论和行业模板库，包括整改规划，整改设计，整改实施，任务执行保障等主要功能，帮助客户快速建立安全管理体系，保障体系的有效运行。 1) 整改规划 系统根据差距分析分析出的不符合项自动推荐控制措施，然后分析识别出的改进措施，将需要增加或改进的措施分解成一项项任务或项目，明确每个任务或项目的目标及工作内容。 2) 整改建设 整改建设阶段将解决方案建设项目进行汇总，分析任务或项目的实施优先级，根据实施优先级规划这些任务或项目的实施时间、实施范围及参与人员，最后进行时间规划，系统自动生成甘特图。 l 项目立项：将体系规划阶段汇总的解决方案进行打包立项，形成可以执行的项目； l 优先级分析：对规划的任务进行优先级规划，从紧迫性、可实施性、实施难易程度、预期效果分析等各个方面进行量化的分析，最后得出优先级赋值； l 项目职责分配：明确项目的 责任人和责任部门； l 时间规划：规划出每个任务的开始时间和结束时间，最后自动生成甘特图； 3) 任务执行保障 任务执行保障阶段主要对整改项目进行跟踪和检查，并形成阶段性报告并与评估过程中发现的不符合项进行关联。 l 项目跟踪：对项目的执行过程进行状态跟踪，展现项目执行进度。 l 项目日程检查：对项目日常工作进行检查和记录，辅助项目跟踪模块的完成。 l 项目报告：辅助生成项目阶段性报告和项目总结报告。 l 不符合项关联：将项目与解决的不符合项进行关联。 统计分析 本模块实现各种统计分析，主要以报表和报告方式实现，可多维度多层次自动生成各类评估报告。主要分为资产统计、等级保护报告和风险评估三部分： 资产统计主要子功能如下： l 部门资产清单：可根据部门查看详细资产清单，如具体类型、使用者、管理者等信息。 l 信息系统清单：显示所以信息系统基本情况，并且可以显示信息系统所拥有的IT资产。 l 部分资产数量统计：按部门统计资产的数量，并可将结果导出为EXCEL格式的文件。 l 资产类型统计：显示部门或组织所拥有的资产类型。 l 资产价值统计：显示资产价值信息，为进行风险评估提供依据。 l 信息系统价值统计：显示信息系统价值信息，为进行风险评估提供依据。 等级保护报告主要子功能如下： l 信息系统定级情况表：显示信息系统基本情况及定级情况等信息，如果是三级以上信息系统可输出拓扑图、系统安全组织机构及管理制度等。 l 现状调研统计表：将现状调研的信息以图表的形式综合显示在此处，包括问题调查、工具检查两大部分。 l 差距分析统计图：以雷达图或柱状图直观的展现出信息系统与标准的差距，清楚的了解的信息系统防护的方向 l 不符合项统计表：通过不符合项统计表列出目前系统中存在的缺陷，不符合项将作为初始任务清单。 l 建设任务清单：列出进行等级保护项目建设的任务清单，使用者可以清晰的看出建设任务。 l 项目建设进度图：以甘特图的形式展示出等级保护建设项目的项目进度。 五、 产品特点 产品特点 ： l 为信息系统等级保护建设工作提供全方位工具支撑 l 加信息系统强等级保护建设工作的规范性，降低专业难度 l 减少信息系统强等级保护建设工作的工作量 l 将信息系统强等级保护建设工作过程、管理、工具一体化 l 以等级保护知识库为现状调研、差距分析、整改建设的核心基础 产品优势 ： l 国内唯一一款为等级保护项目建设而研发的管理工具，具有国内领先性 l 谷安天下丰富的咨询经验汇总了大量的相关知识，供客户选择 给用户带来的收益 ： l 信息系统等级保护建设管理平台主要用于帮助企业在等级保护项目建设中降低管理成本，提高管理效率，增进管理效果 六、 运行环境 系统开发环境 分类 描述 系统平台 Microsoft Windows Server2003/XP Professional 数据库系统 Microsoft SQLServer 2005 应用服务器 Tomcat 5 开发语言 Java EE、Javascript 开发工具 Eclipse 3.1.2 Java环境 Sun JDK1.5 Java开发框架 Spring、Struts、Hibernate 系统运行环境 应用服务器 n CPU: Intel PIV 2G以上 n 内存: 2GB以上 n 磁盘空间: 10GB以上 n 操作系统支持: Windows Server2003、Windows XP Professional、Linux (CentOS 4) 数据库服务器 n Microsoft SQLServer 2005、Oracle、MySql 客户端 n PIII 以上计算机，1GB内存 n IE 6.0或更高版本 系统部署图 七、 成功案例 • 某运营商研究院 • 某证券交易所 • 某大型银行 • 某大型保险公司 • 某大型央企集团 某软件外包公司 八、 联系我们 北京谷安天下科技有限公司 地址：北京海淀区中关村南大街2号数码大厦A座806 联系我们：(8610)-51626887 传真：(8610)-51626887-816 网址： 电子邮件：market@