统等级保护综合管理平台技术白皮书V2

太极信息系统等级保护综合管理平台技术白皮书文档说明本文档以提供信息为目的，所含信息可随时更改，恕不另行通知。由此情况引起的与之有关的直接或间接的损失本公司均不负责。文档主要用于介绍产品功能及特点，不包括完整的太极信息系统等级保护综合管理平台通常所包含的所有功能。除非另行说明，否则在文档中涉及的组织、产品、客户和事件示例都是虚构的，与任何真实的组织、产品、客户和事件示例没有任何刻意或隐含的联系。遵从所有适用的版权法规是用户的义务。在不限制版权权利的前提下，未经太极计算机股份有限公司明确的书面许可，不得对本文档的任何部分进行复制、存储或引入到任何检索系统中，或者以任何形式或任何途径（电子、机械、影印、录制或其它手段）或出于任何目的进行传播。本文档所涉及到的文字、图表等，仅限于太极计算机股份有限公司及被呈送方内部使用，未经太极计算机股份有限公司书面许可，请勿扩散到第三方。文档属性文档名称太极信息系统等级保护综合管理平台技术白皮书文档类型内部文档阅读范围太极计算机股份有限公司及被呈送方内部人员最后更新2010年5月文档作者太极计算机股份有限公司文档历史版本号完成日期编辑说明V1.12007年10月太极基础版正式发布V1.52008年２月太极标准版正式发布V2.02008年9月太极高级版正式发布V2.22009年5月太极升级版正式发布太极信息系统等级保护综合管理平台技术白皮书第一章前言我国正面临等级保护工作的大好机遇，在现已定级的信息系统，大多数在建设之初并没有将等级保护需求加以考虑，通过这几年试点经验的积累，以及政策环境的大力推动，已经具备大规模等级保护整改建设的基础环境。但等级保护是一项全新的课题，需要从实际出发、扎实实践、稳步推进，需要全社会共同努力。通过开展等级保护工作，按照等级保护相关要求进行设计、规划，确实推动等级保整改建设实施。使得相关信息系统能够达到相应等级的基本保护和防护能力。随着国内经济的发展，国内重要信息系统的数量还在不断以每年20%的速度增加。公信安[2009]1429号文件明确指出,力争在2012年底前完成已定级信息系统安全建设整改工作，通过等级保护相关测评。从2004年公安部、保密局、国密办以及国信办联合发布的公通字[2004]66号文件-（《关于信息安全等级保护工作的实施意见》开始到2010年，作为国家信息安全的基本制度的等级保护已经积累了大量的工作经验，并且制定了定级指南、实施指南、基本要求、设计指南、测评指南等相关文件和标准，但是相应的建设单位对如何把握这些标准和指南来指导等级保护建设工作还缺乏经验，需要大量的人力物力资源支持这项工作。等级保护综合管理平台是太极股份针对国内等级保护整改建设落地工作完全自主研发的综合管理支撑平台，专为等级保护项目的整改建设过程提供支撑工具平台和知识支持。支撑平台按照等级保护实施指南,开发包括定级、备案、现状调研、风险评估、差距分析、体系建设和测评资料汇总以及知识库等几大功能模块，提供基础数据信息管理、对应标准进行风险评估和差距分析,并且将等级保护建设任务以及解决方案分析出来，通过工作流模块结合日常的工作方式进行等级保护体系建设，统计表单方案报告自动生成和数据汇总分析支撑，帮助客户快速实施信息系统等级保护项目的建设工作。最终达到对整个重要信息系统全面整体的整改建设和安全防护支撑。等级保护综合管理平台通过在软件开发、将系统中固化等级保护相关基本要求和相关标准，以及风险管理与等级保护体系建设方法及过程，建立与等级保护控制相关技术工具和法规制度标准指南相对应的等级保护控制目标要求，建设太极信息系统等级保护综合管理平台技术白皮书知识库和各种标准工具软件，从而规范等级保护建设管理与控制体系的建设过程，提升组织信息安全风险管理与控制体系的完备性及有效性.太极信息系统等级保护综合管理平台技术白皮书第二章用户面临的挑战等级保护是当前我国信息安全业界的热点，尽管在实施的过程中部分用户还存在着一些疑问，还有一些难点问题有待解决，但不可否认，等级保护工作在我国上上下下各方的努力推动下，正在积极的前进中。等级保护是围绕信息安全保障全过程的一项基础性工作，通过将等级化方法和安全体系方法有效结合，设计一套等级化的信息安全保障体系，是系统化地解决信息安全问题的一个非常有效的方法。但是用户在建设等级保护项目时通常会遇到许多问题，而不知如何能够合规的进行等级保护项目。通常用户会有以下疑问：等级保护建设从哪里开始，如何开始，等级保护建设如何确保合规性建设；信息系统定级如何定级，是否准确、完整；基础数据收集是否完整，是否可长期保存；信息系统定级备案是否准确、完整、及时；风险评估是否按照管理、技术全面进行；不符合项如何优先排序任务归并环境是否具备；等级保护建设过程是否清晰，职责明确；等级保护建设只是特定部门、特定人的工作；等级保护建设侧重技术，不侧重管理；等级保护建设培训工作持续进行，但效果不佳；等级保护建设如何高效、标准、可管理、审计；等级保护测评及定期复测的数据还需要重新收集……太极信息系统等级保护综合管理平台技术白皮书第三章系统概述1.1什么是等级保护等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。如何对信息系统实行分等级保护一直是社会各方关注的热点。信息安全等级保护是国家信息安全保障的基本制度，等级保护的实施主要包括等级保护定级与备案、等级保护差距分析、安全设计与实施、等级测评等几个阶段。太极信息系统等级保护综合管理平台技术白皮书信息系统定级与备案是等级保护实施的基础性工作，是进行相应等级安全建设的依据。信息系统定级即可在新建系统之初进行，也可以在已建系统中进行。对于新建系统虽尚未建成，但我们可以分析该系统将提供哪些主要业务、侵害客体、侵害程度等基本情况，确定信息系统的等级。对于已建系统，可以通过系统基本情况调查、调查结果分析、确定等级，形成定级报告等过程完成。在进行信息系统等级确定过程中，需进一步制定适合自身行业特点的信息系统定级指导意见。定级和备案完成以后，需要根据等级保护相关要求，进行风险评估和等级保护差距分析。通过风险评估可发现信息系统的安全现状与目标安全等级之间的差异，可以从技术和管理两方面提供详细的报告，为日后的信息安全保障体系建设提供了有针对性的信息。安全设计与实施阶段的目标是按照信息系统安全总体方案的要求，结合信息系统安全建设项目计划，分期分步落实安全措施。我们将根据差距分析报告，结合《信息系统安全等级保护基本要求》中的技术和管理方面要求，以及用户的实际需求提供符合等级保护要求的安全整改建设方案。在信息系统进行完成定级和整改实施之后，需要通过测试手段对信息系统的安全技术和安全管理上各个层面的安全控制进行整体性验证。1.2什么是等保综合管理平台等级保护综合管理平台是太极股份根据国家信息系统等级保护标准研发的管理系统平台，专为等级保护项目的建设过程提供工具和知识支持。包括定级、备案、现状调研、差距分析、体系建设和统计分析等几大功能模块，提供数据信息管理、表单方案报告自动生成和数据汇总分析支撑，帮助客户快速实施信息系统等级保护项目的建设工作。等级保护综合管理平台是将等级保护建设的步骤及程序，依据国家等级保护政策、标准以及相关建设过程（包括等保定级、备案、现状调研、差距分析、体系建设和等级测评、风险管理、知识管理等）进行软件化、工具化、平台化。太极公司在多年的安全服务与咨询经验以及安全产品研发的基础上，详细设计了等级保护合综合管理平台框架，将等级保护的政策、标准和建设步骤固化在太极信息系统等级保护综合管理平台技术白皮书软件支撑平台系统中，最终用户可以根据支撑平台进行相关等级保护定级、备案、风险评估、差距分析、体系设计、体系建设、等保测评、知识管理、风险管理，完全将这些步骤按照项目管理依次执行，从而完成相关组织重要信息系统的等级保护体系化建设工作，以及后续对其他监管要求的合规性建设工作。等级保护综合管理平台通过在软件系统中固化等级保护相关基本要求以及风险管理与控制体系建设方法及过程，建立与各种等级保护控制相关技术工具和法规制度标准指南相对应的等级保护控制目标要求知识库和各种标准工具软件，从而规范等级保护建设管理与控制体系的建设过程，提升组织信息安全风险管理与控制体系的完备性及有效性。该软件平台满足：GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》《信息安全技术信息系统安全等级保护测评要求》（报批稿）《信息安全技术信息系统等级保护测评过程指南》（报批稿）《信息安全技术信息系统等级保护实施指南》（报批稿）1.3系统设计思想当前等级保护建设存在诸多难点，而现有的一些通用产品只是在单点技术领域进行安全管理，缺乏对企业安全体系建设的支撑。太极信息系统等级保护综合管理平台根据实际项目经验，创新性的提出了平台化概念，综合等级保护与其他标准的融合，采取组件化与模块化技术，满足不同行业不同准则的安全体系化建设要求。等级保护综合管理平台是参照相关等级保护政策标准，通过软件开发实现等级保护建设支撑平台。按照以重要信息系统为基础、以等级保护建设工作流为核心、以等级保护基本要求进行建模、加以等级保护控制措施进行分析，采用等级保护建设支撑平台能够：通过风险评估看清风险，通过体系建设制定任务，通过体系保障完整建设。等级保护建设维护国家及社会的安全与稳定，这也是太极股份作为IT服务国家队的责任和使命，如何能够快速进行等级保护合规性建设，提高综合信息安太极信息系统等级保护综合管理平台技术白皮书全防范能力，是我们等级保护综合管理平台的发展目标。1.4产品定位在国家信息安全等级保护建设的大背景环境下，太极股份结合自己多年的信息安全咨询、建设、实施、测评、服务的经验，进行了较为深入的市场分析。从目前项目的市场调研来看，国家中央部委、企业单位、金融、军队以及具有涉密电子资产的科研院所、企业对安全产品的需求最为旺盛。在这些组织或企业中，信息化的水平相对较高，IT技术相对领先，更能迫切的意识到信息安全产品对于组织或企业发展的重要性，这些都为项目在社会中的成功实施应用提供了广阔的市场机会。这些单位的重要信息系统关系着国家的政治、经济以及社会稳定，因此信息安全建设显得尤为重要。因此太极股份根据以往在全国人大、全国政协、国务院办公厅、发改委、卫生部、外交部、公安部、中国人民银行、国家工商总局、审计署、民航总局以及中国石油、中国电信、中国石化、国家电网、中国农业银行等政府机关、事业单位以及大型企业的客户基础和行业经验，将主要把市场定位在国家政府机关及关系到国家国计民生的重点行业上。并将太极股份IT服务国家队的定位充分发挥出来。1.5系统运行环境服务器CPU:IntelPIV2G以上内存:2GB以上磁盘空间:10GB以上操作系统支持:Windows2003，Linux(CentOS4)数据库，Oracle，Mysql4,5客户端以上计算机，1GB内存或更高版本太极信息系统等级保护综合管理平台技术白皮书1.6系统架构太极信息系统等级保护综合管理平台技术白皮书第四章平台模块介绍1.7基础平台基础平台主要用于管理系统本身以及为后期进行风险评估、等保建设提供保障，主要包括系统配置、用户管理、群组管理、角色配置、参数配置、项目配置、知识库设置、密码修改等功能。基础数据基础数据模块主要对组织部门、人员权限、信息资产、业务流程进行定义，以便于进行风险评估和等保项目的实施。组织部门可以是企业、政府机构以及任何单位的各级部门机构；人员权限可以对人员及群组进行权限管理；信息资产包括网络基础设施、系统平台、业务应用系统、信息、等几大类；业务流程（静态）主要包括通用的基本流程和自定义的业务流程两大类。本模块主要用于相关各种对象的范围定义主要功能包括：定义组织部门：定义树状结构的企业部门组织机构（支持多级层次结构）；定义信息资产：定义组织内部各个部门的IT资产，比如电脑、服务器、路由器等，包括资产名称