信息安全等级保护检查工具箱技术白皮书-20140310.doc

1、信息系统安全等级保护检查工具箱系统技术白皮书 信息安全等级保护检查工具箱系统技术白皮书国家信息技术安全研究中心2Captech (China)Co.,Ltd. 版权声明本技术白皮书是国家信息技术安全研究中心研制的信息系统安全等级保护检查工具箱产品的描述。与内容相关的权利归国家信息技术安全研究中心所有。白皮书中的任何内容未经本中心许可，不得转印、复制。联系方式：国家信息技术安全研究中心地址：北京市海淀区农大南路1号 硅谷亮城 2号楼C座4层电话：01059613989简介国家信息技术安全研究中心（以下简称，中心）是适应国家信息安全保障需要批准组建的国家级科研机构，是从事信息安全核心技术研究、为国

2、家信息安全保障服务的事业单位。中心成立于2005年，是国家有关部门明确的信息安全风险评估专控队伍、等级保护测评单位、国家网络与信息安全应急响应技术支撑团队和国家电子政务非保密项目信息安全专业测评机构。中心通过系统安全性检测、产品安全性检测、信息安全技术支持、信息安全理论研究、远程监控服务等项目，为国家基础信息网络和重要信息系统及社会各界提供多种形式的信息安全技术服务.为提高我国基础信息网络和重要信息系统的安全防护水平,中心自主研发了一系列安全防护和检测工具产品。主要有：恶意代码综合监控系统、信息系统等级保护检查/测评工具箱、安全内网管控系统、网上银行安全控件、系统安全检测工具集、网络数据流安全

3、监测系统、商品密码安全性检测工具集、漏洞扫描评估系统等.中心还积极承担国家“863”、国家发改委专项和密码发展基金等国家重点科研项目；积极承担国家下达的多项信息安全标准制定和研究任务；紧密跟踪国内外信息安全发展，采取多种形式为国家有关部门和行业提供信息安全咨询和培训服务。经过多年的发展,中心服务的足迹遍及30余个省市自治区,为政府机关、电信、电力、金融、海关、铁路、广电、税务等行业部门的数百个单位、上千个重要信息系统提供了信息安全产品、咨询和测评服务。II 目录1前言12系统介绍42。1等级保护检查管理平台42.2等保检查工具箱52。3等保执法工具箱73解决的问题84产品特点114。1分级的检

4、查指导书，基于资产的检查用例设计114。2流程化的检查步骤，检查内容符合公安检查规范124。3基于标准的检查粒度，多种检查项筛选符合客观需要124.4等保检查计划的逐级管理、集中管理134。5专业的技术检测工具,工具结果导入的接口134。6多角度多维度的等保检查数据分析134.7与公安机关的等级保护信息管理系统的数据接口144.8检测端便携、操作界面直观易用144。9适合团队工作方式145产品规格155.1等级保护检查管理平台155.2等保检查工具箱155。3等保执法工具箱181 前言随着信息技术的迅速发展，社会对信息化的依赖程度越来越高，网络与信息系统的安全问题也更加的突出,为了保障基础网络

5、和重要信息系统安全，更好地维护国家安全与社会秩序，我国推出了等级保护制度。自1994年国务院颁布中华人民共和国计算机信息系统安全保护条例以来，等级保护相关工作大致经过了起步、发展及推行三个阶段,颁布了中华人民共和国计算机信息系统安全保护条例、国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327 号)、关于信息系统安全等级保护工作的实施意见（公通字200466 号)、电子政务信息安全等级保护实施指南（试行）(国信办25号文）、信息系统安全保护等级定级指南（公信安20051431号）等多项国家或部门级法令制度及管理办法,并制定了计算机信息系统安全保护等级划分准则、计算机信息系统安全

6、等级保护操作系统技术要求、计算机信息系统安全等级保护数据库管理系统技术要求、计算机信息系统安全等级保护通用技术要求、计算机信息系统安全等级保护管理要求等多组国家或行业信息安全标准,支持国家信息安全等级保护制度的落实工作。信息安全等级保护的工作内容，包括：系统定级、系统备案、系统建设与整改、系统等级测评以及系统等级保护检查五个阶段。其中，系统定级由用户单位自主完成，然后在公安机关完成系统备案；用户单位依据等保标准以及测评、检查工作的意见进行系统建设与整改；系统等级测评工作由专业测评机构承担；公安机关负责信息安全等级保护的监督检查工作。公安机关作为信息安全等级保护检查的执法单位，随着信息安全等级保

7、护工作不断推进，在等级保护检查工作中面临诸多的困难：1. 公安机关等保检查工作的现状l 等级保护检查的人员较少；信息安全知识的水平平均较低，甚至是别的公安岗位转岗而来，IT系统知识从零开始。l 有些地区的等保工作刚开始开展，那具体工作如何实施。l 对辖区内等保检查工作如何管理、检查结果如何汇总评价。l 如何指导等级保护检查工作的改进。2. 等级保护检查的系统数量多,检查工作量大l 备案系统数量多,目前全国已经备案的系统约有20000个.l 依据系统等级要求检查次数，三级系统每一年检查一次,四级系统每半年检查一次。3. 系统类型不同，检查的安全及应用要求存在差异l 行业类型,包括：电信、银行、广

8、电、铁路、教育等。l 应用类型，包括:生产作业、指挥调度、管理控制、内部办公、公众服务.l 同一等级的系统中SAG有区别，例如三级系统区分:S3A3G3、S2A2G3、S3A1G3等。4. 具体系统检查中需要检查对象范围广l 物理安全：机房、办公环境、机房相关文档等l 网络安全：交换机、防火墙、路由器、IDS等l 主机安全：操作系统、数据库系统等l 应用安全：应用软件、应用平台等l 管理安全：文档(制度、规程、记彔）、人员等5. 技术检查的实施过程和方法不具体l 等保检查的标准依据，包括信息安全技术 信息系统安全等级保护基本要求和公安机关信息安全等级保护检查工作规范（公信安2008736号），

9、但是对具体设备类型的具体检查过程并没有指导;同时也缺乏这方面的指导文档.因此,信息安全等级保护检查工作从管理上要求对基础备案信息数据的采集汇总、结果分析，指导检查等保落实；同时对单位系统的现场检查要求提供一个便携的检查终端，通过规范化、流程化的方法步骤完成等保检查的数据采集。2 系统介绍“等级保护检查管理平台”和“等保检查工具箱”融入了国家信息技术安全研究中心多年积累的对信息系统安全专业检测的方法、经验和工具,是面向公安机关实施等级保护检查工作的完整的系统工作平台。l 等级保护检查管理平台:主要完成等保备案信息的管理以及等保检查结果的分析。l 等保检查工具箱：主要完成等级保护单位现场检查工作以

10、及检查结果的数据采集，并将数据提交给等级保护检查管理平台。支持12类检测工具。l 等保执法工具箱：公安执法过程中,用到的信息采集和输出设备。2.1 等级保护检查管理平台等级保护检查管理平台通过等保备案的单位系统信息和等保检查结果的数据分析,能够对等级保护工作提供多角度、多维度的数据分析呈现,进而为等保工作的推进落实提供指导和数据支撑。等级保护检查管理平台的主要功能：l 内置了等级保护检查方法的知识库,包括:信息系统安全等级保护标准库、信息系统安全检查方法用例库，以及支持的设备类型库。l 支持等保备案信息的管理。l 支持等保检查计划的逐级管理、集中管理.l 支持对等级保护检查结果的数据分析2.2

11、 等保检查工具箱等保检查工具箱内置了等级保护检查方法的知识库，通过公安机关等级保护工作的执法流程,完成等级保护现场检查工作的数据采集，实现了等级保护检查工作的流程工具化、检查规范化、工作协同化、报告自动化。l 等保检查工具箱遵从等保检查标准和检查规范，通过明确的执法步骤，同时兼顾实际检查中需要抽查资产对象的客观需求，从等保检查的依据、执行过程、范围三个方面，保证等保检查有效实施.l 内置的检查方法知识库和扫描检查工具结果的分析利用，有效降低了等保检查执行的难度。等保检查工具箱检查方法知识库,支持1100多条检查要求、4000多条检查方法、140种资产类型以及3类检查扫描工具.l 检测工具包括：

12、网络嗅探工具、信息采集工具、配置分析工具、保密检查工具、终端安全工具、远程管理工具、漏洞利用工具、密码破解工具、注入检测工具、漏洞扫描工具、漏洞扫描工具（WEB)、合规检查工具等保检查工具箱系统架构，见图1.图1等保检查工具箱的等级保护检查流程，见图2.图22.3 等保执法工具箱公安执法过程中，会用到的多种信息采集和输出设备，包括：便携式打印机、便携式扫描仪、数码相机、录音笔、执法记录仪。3 解决的问题“等级保护检查管理平台和“等保检查工具箱”为用户解决的问题,包括：1. 等级保护检查工作的多级管理、集中管理公安机关可以集中制定等保检查计划，实现检查工作的逐级部署、集中管理。如,市级公安机关向

13、下级的区县级公安机关部署等保检查工作.2. 基于等保标准要求的检查粒度，提高了检查结果的准确性。公安机关当前采用的纸质检查表的检查粒度比较粗放的，因此对检查系统的等保符合情况评价不够准确.通过等保检查工具箱基于等保标准的检查粒度，提高了检查结果的准确性，确保了检查质量；同时提高了民警等保检查的水平。3. 强化公安机关执法流程，降低了检查执行难度.当前的等级保护检查工作已经形成了一定的流程,但是检查人员对用户系统的应用环境了解以及等保要求的达标的情况判断,主要依赖检查人员的个人理解情况，而且过程中使用的各种文档模板、检查记录、检查结果、检查手段都是离散的存储在检查人员手中，没有形成统一的自动化标

14、准管理模式.等保检查工具箱首先规范并强化了检查的内容、步骤和标准文书，而且通过知识库中等级保护检查方法用例库动态的生成检查内容,并对具体的检查对象，说明了具体检查实施过程，这个大大降低了检查执行的难度，保证了检查水平质量.4. 强调等保自查工作重要性，降低了检查的执行难度，提高工作效率。被检查单位最理解和熟悉自己系统的应用环境和需求，公安机关在指导被检查单位落实等级保护工作时，被检查单位进行等保自查工作是重要的手段和方法。等保检查工具箱能够依据被检查单位的备案信息，生成等保自查工作模板，由被检查单位来完成等保自查工作。等保自查的结果将作为公安机关进行等保检查的参考或依据，这既降低了检查人员录入

15、系统的检查对象的工作量，也降低了等保检查的执行难度，提高了工作效率。5. 检查扫描工具的结果利用，有效降低了检查执行的难度等保检查工具箱支持主机漏扫、web 弱点扫描和网络设备配置检查工具的检查结果的分析,是利用工具检查的效率和结果客观性优点，有效降低了等保检查执行的难度。6. 与信息系统等级保护相关工作的快速衔接，提高工作效率。对公安机关以及备案的单位系统信息和等级测评的报告，等保检查工具箱提供数据的导入接口,方便公安机关快速开展等级保护检查工作，提高工作效率.7. 检查结果的多维度数据分析等保检查工具箱的服务器能够对已完成检查的备案单位的采集数据进行多角度、多维度的数据分析，并能提供对比分

16、析，进而为等保工作的推进落实提供指导和数据支撑。8. 提供等级保护工作的知识与检查方法的学习平台等保检查工具箱的等级保护专家知识库，融入了国家信息技术安全研究中心多年积累的专业检查方法经验和工具，包含等级保护各类法规与标准库、等级保护检查方法用例库、检查对象类型库，是等级保护检查的人员理想的知识学习工具.此外，专家知识库具有更新功能，可以不断改进优化、补充和完善。9. 确保等级保护检查测评过程的用户信息的安全保护在等级保护检查过程中，不规范的检查过程，可能造成用户的资产信息的泄露，等保检查工具箱通过有效的数据信息的安全保护机制，保护用户单位及系统信息的保密安全。10. 指导等级保护工作的持续改

17、进等保检查工具箱可以作为跟踪等保落实及改进工作的重要平台，为公安机关指导用户进行等保落实工作的数据支撑,有利于等保工作的持续改进。4 产品特点4.1 分级的检查指导书,基于资产的检查用例设计通过国家信息技术安全研究中心的丰富等级保护检测经验总结，等保检查工具箱设计开发了按不同等保级别的等级保护检查指导书。 指导书按等保级别分级开发由于信息系统的重要性不同，则系统划分的等级也不相同，那么指导书中各检查点的要求也不相同,所以我们根据不同等级分别开发了不同的检查指导书,共四个等级，分别对物理层面、网络层面、主机层面、应用层面、数据和备份恢备层面和管理层面作了详细说明。 检测用例的设计通用与专用相结合

18、无论网络产品、操作系统，或是应用服务与中间件等，由于生产的厂家不同，对相同的检查项，检查时所使用的命令及实施手段会有所不同，比如检查项“c）应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制”,Checkpoint防火墙实施手段应为“启动客户端软件SmartDashboard，查看security页签下内容”，而Cisco防火墙的实施手段为“使用命令show access-list。为常见网络设备、网络安全设备、操作系统、应用服务与中间件等开发了专用的测试用例.但由于世面上的网络产品、网络安全产品、操作系统、数据库等非常多样化，无法

19、开发出系统所有的测试用例，这就要求开发出一种通用测试用例,当专用测试用例无法使用时，便使用这种通用的测试用例对检查、检查、自检查进行指导。我们还提供测试用例模版，可以在实际检查、检查、自检查过程中不添加与丰富。 每个检测用例检查方法、过程和预期结果相结合 检查指导书不但对检查的实施过程给以详细说明，还对预期应产生的结要给了详细解释，这为系统加固提供了指导意见,并将内容细化到命令级.检查指书在给出检测内容、方法与检测是结果的同时,又推荐了相对应的检测工具。 检测用例涵盖主流安全网络设备检测用例涵盖主流服务器、操作系统及安全设备的检测方法与步骤.检测用例涵盖6家主流安全设备厂商、8家主流网络设备厂

20、商的产品测试方法,6类常见应用服务与中间件和11种操作系统的检测方法与步骤。 安全厂商： 天融信、联想网域、绿盟、启明、东软、Juniper、H3C等 网络厂商： CISCO、华为 、中兴、北电、H3C、神州数码、D-link等 数据库:ORACLE、DB2、SQL SERVER、MYSQL、INFOMIX、Sybase等 操作系统：WINDOWS、LINUX 各发行版本等4.2 流程化的检查步骤，检查内容符合公安检查规范等保检查工具箱遵从等保检查标准和公安检查规范（736文件)，通过明确的执法步骤，首先规范并强化了检查的内容、步骤和标准文书，而且通过知识库中等级保护检查方法用例库动态的生成检

21、查内容，并对具体的检查对象，说明了具体检查实施过程，通过流程化的步骤控制，大大降低了检查执行的难度，保证了检查水平质量。4.3 基于标准的检查粒度，多种检查项筛选符合客观需要根据等级保护相关标准要求，基于信息安全理论知识对等保标准中管理和技术要求的十个层面进行分析，包括:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理、物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复，建立了等保检查项筛选的重要性、代表性、广泛性、差异性相关原则；依此检查粒度形成的筛选算法智能化地生成检测用例及检查方案,保证检查结果的准确性，同时也可以简化检查人员的实施检查的复杂度,从而保证检查工

22、作的质量。4.4 等保检查计划的逐级管理、集中管理通过等保检查工具箱系统，支持公安机关集中制定等保检查计划，实现检查工作逐级部署、集中管理。如，市级公安机关向下级的区县级公安机关部署等保检查工作。4.5 专业的技术检测工具，工具结果导入的接口面向系统技术检查的网络安全、主机安全和应用安全3个层面,等保检查工具箱支持三类扫描工具的结果分析利用,提高检查结果的客观性。三类扫描工具包括:RJ-iTop web应用安全扫描工具、RJiTop网络隐患扫描系统、配置文件检查工具.4.6 多角度多维度的等保检查数据分析等保检查工具箱支持等保检查数据的多种分析，目前包括：l 信息系统类型分析l 安全保护达标分

23、析l 已实施的安全措施分析与对比l 存在的安全问题分析与对比l 等保工作进度分析l 等保检查工作量分析4.7 与公安机关的等级保护信息管理系统的数据接口对公安机关已有的备案单位及系统信息，等保检查工具箱提供数据的导入接口,方便公安机关快速开展等级保护检查工作，提高工作效率。4.8 检测端便携、操作界面直观易用等保检查工具箱的检测端作为便携式的移动设备符合用户现场检查测评的实际要求；而且向导式的操作界面体现检查工作的标准流程。用户现场等级保护检查工作的8大检查步骤:单位自查导入、制定检查内容、分配检查任务、执行检查任务、检查结果汇总、检查记录审核、生成报告模板和提交结论(整改）报告。4.9 适合

24、团队工作方式一次等级保护检查任务一般可以分为安全管理制度检查和安全技术检查两大部分，或者按多人员共同完成一次检查任务；等保检查工具箱支持多个任务、多人员检查的工作方式。195 产品规格5.1 等级保护检查管理平台序号类型名称软件规格功能说明数量备注1管理平台等级保护检查管理平台软件，运行环境要求:CPU2。0G，双核；110/100/1000M以太网电口;硬盘容量500 G；内存4G.支持备案单位信息管理，包括备案信息的导入、录入和查询等支持等保检查工作计划管理支持公安机关对辖区内各级检查机关的等保检查工作的多种汇总分析，包括：检查对象按单位行业类型、应用系统类型、检查机关进行汇总分析，检查结

25、果按照达标情况、存在问题、改进情况等进行汇总分析支持公安机关的上下级组织管理以及人员管理1套标配5.2 等保检查工具箱序号类型名称硬件规格功能说明数量备注1.管理平台等级保护检查终端联想笔记本ThinkPad本；CPU：i3;内存:4GB；硬盘:500GB。B/S管理模式；支持单位现场检查流程支持检查负责人等角色配置支持一次检查计划分配为多个检查任务,由多个检查人员完成。检查内容符合检查规范，包括单位检查和系统检查支持等保检查方法库管理，基于等保国标的等保检查用例.支持多种方式的检查项筛选方式支持检查工具结果导入接口，将工具的结果作为等保检查的记录支持生成规范模板的等保检查记录单支持1100多

26、条检查要求支持4000多条检查方法支持140种资产类型1台标配2.检查工具网络嗅探工具4G 高速U盘；USB 2.0包含软件:Iris（网络抓包）；Wireshark(网络抓包）1个标配3.信息采集工具4G 高速U盘；USB 2。0包含软件：系统信息采集与分析工具1个标配4.配置分析工具4G 高速U盘；USB 2。0包含软件:nipper（网络设备安全审核)；packageenv_logparser（日志分析）1个标配5.保密检查工具4G 高速U盘；USB 2。0包含软件：保密检查系统1个标配6.终端安全工具4G 高速U盘；USB 2。0包含软件：Sysinspector（进程分析）1个标配7

27、.远程管理工具4G 高速U盘；USB 2。0包含软件：SSHSecureShellClient(连接工具）1个标配8.漏洞利用工具4G 高速U盘;USB 2.0包含软件:framework-3.4。01个标配9.密码破解工具4G 高速U盘；USB 2.0包含软件：Pwdump7（口令破解）；john the ripper(口令破解）1个标配10.注入检测工具4G 高速U盘；USB 2。0包含软件：Domain35（注入工具）；Pangolin（注入工具)1个标配11.漏洞扫描工具4G 高速U盘;USB 2.0包含软件：RJ-iTop网络隐患扫描系统IV (支持在线对主机、设备和应用进行脆弱性扫

28、描）榕基网络隐患扫描系统可以对不同操作系统下的计算机（在可扫描IP范围内）进行漏洞检测。主要用于分析和指出有关网络的安全漏洞及被测系统的薄弱环节，给出详细的检测报告，并针对检测到的网络安全隐患给出相应的修补措施和安全建议。RJ iTop网络隐患扫描系统完备的检测漏洞库，能够支持扫描网络设备、安全设备、主机操作系统、常见web应用服务、常见应用软件客户端以及主流数据库系统.1个可选12.漏洞扫描工具（WEB）4G 高速U盘；USB 2.0包含软件:榕基WEB应用隐患扫描系统RJWAS （支持在线对网站进行安全评估）WEB应用安全评估系统可以对Web综合网站进行安全检测的系统。主要用于检测并分析网

29、站存在SQL注入漏洞、XSS跨站脚本攻击漏洞、可疑挂马等,给出详细的检测报告，并针对检测到的网络安全隐患给出相应的修补措施和安全建议。产品采用先进的调度算法和执行引擎，在保证正确率的前提下大幅提高检测效率.为了扫描的方便性、灵活性和准确性，提供了新建任务、历史任务、打开任务、保存任务等功能。发现您的网站中可能被用以发起攻击的隐患和漏洞1个可选13.合规检查工具4G 高速U盘;USB 2.0包含软件：VNA网络运维自动化系统V1.0（配置合规检测工具)(网络设备的配置文件的等保合规检查)网络设备、安全设备是信息系统安全策略落实的重要设施,V-NA配置合规检查工具用于技术合规要求，安全合规要求以及

30、等级保护合规要求的检测功能.l 技术合规性：包括配置合规性、端口合规性检查l 安全合规性：包括密码合规性、权限合规性、加固配置合规性检查等。 VNA配置合规检查工具支持路由器、交换机等主流厂商的网络设备及型号,如：思科、华为、H3C等.1个可选14.配件手提箱铝制箱子;长宽高:490mm 320mm 110mm1个标配15.电源适配器1套标配16.网线长度：3.0m 1根标配5.3 等保执法工具箱序号类型名称硬件规格用途说明数量备注1.执法工具便携式打印机品牌:佳能 (HP）型号：iP 100 移动便携式打印机打印速度：黑白22ppm/彩色18ppm最高分辨率：4800x1200dpi标准打印

31、大小：A4用于对检查结果的输出.1台可选2.便携式扫描仪品牌：紫光（UNIS）型号：Uniscan H300 手持式扫描仪扫描速度：2.0秒光学分辨率:600x600dpi双面扫描:手动用于现场检查时对文本内容进行存档。1台可选3.数码相机品牌:三星(SAMSUNG）型号: ST72 数码相机有效像素:1610万光学变焦：5倍显示屏尺寸：3英寸 46.1万像素液最高分辨率：46083456高清摄像：全高清内置4G卡用于现场检查时执法记录1台可选4.录音笔品牌：爱国者（aigo)型号： R5503 远距离录音笔存储类型：内置闪存存储容量:4G内置：立体声麦克风用于现场检查时执法记录1台可选5.执法记录仪品牌:凡赛堤（Forseti） 传感器：1600万像素CMOS（防护等级IP67）显示屏:2.0英寸镜头：123度广角镜头存储方式:标配16G,最大支持32G用于现场检查时执法记录1台可选6.配件手提箱铝制箱子;长*宽*高：490mm 320mm 110mm可选