信息安全等级保护检查工具箱技术白皮书

1、信息平安等级保护普工具箱系统技术白皮书国家信息技术平安研究中央版权声明本技术白皮书是国家信息技术平安研究中央研制的信息系统平安等级保护检查工具箱产品的描述.与内容相关的权利归国家信息技术平安研究中央所有.白皮书中的任何内容未经本中央许可,不得转印、复制.联系方式：国家信息技术平安研究中央地址：北京市海淀区农大南路1号硅谷亮城2号楼C座4层：0简介国家信息技术平安研究中央以下简称,中央是适应国家信息平安保证需要批准组建的国家级科研机构,是从事信息平安核心技术研究、为国家信息平安保证效劳的事业单位.中央成立于2005年,是国家有关部门明确的信息平安风险评估专控队伍、等级保护测评单位、国家网络与信息

2、平安应急响应技术支撑团队和国家电子政务非保密工程信息平安专业测评机构.中央通过系统平安性检测、产品平安性检测、信息平安技术支持、信息平安理论研究、远程监控效劳等工程,为国家根底信息网络和重要信息系统及社会各界提供多种形式的信息平安技术效劳.为提升我国根底信息网络和重要信息系统的平安防护水平,中央自主研发了一系列平安防护和检测工具产品.主要有：恶意代码综合监控系统、信息系统等级保护检查/测评工具箱、平安内网管控系统、网上银行平安控件、系统平安检测工具集、网络数据流平安监测系统、商品密码平安性检测工具集、漏洞扫描评估系统等.中央还积极承当国家“863、国家发改委专项和密码开展基金等国家重点科研项目

3、；积极承当国家下达的多项信息平安标准制定和研究任务；紧密跟踪国内外信息安全开展,采取多种形式为国家有关部门和行业提供信息平安咨询和培训效劳.经过多年的开展,中央效劳的足迹普及30余个省市自治区,为政府机关、电信、电力、金融、海关、铁路、广电、税务等行业部门的数百个单位、上千个重要信息系统提供了信息平安产品、咨询和测评效劳.目录1前言随着信息技术的迅速开展,社会对信息化的依赖程度越来越高,网络与信息系统的平安问题也更加的突出,为了保证根底网络和重要信息系统平安,更好地维护国家平安与社会秩序,我国推出了等级保护制度.自1994年国务院公布?中华人民共和国计算机信息系统平安保护条例?以来,等级保护相

4、关工作大致经过了起步、开展及推行三个阶段,公布了?中华人民共和国计算机信息系统平安保护条例?、?国家信息化领导小组关于增强信息平安保证工作的意见?中办发200327号、?关于信息系统平安等级保护工作的实施意见?公通字200466号、?电子政务信息平安等级保护实施指南试行?国信办25号文、?信息系统平安保护等级定级指南?公信安20051431号等多项国家或部门级法令制度及治理方法,并制定了?计算机信息系统平安保护等级划分准那么?、?计算机信息系统平安等级保护操作系统技术要求?、?计算机信息系统平安等级保护数据库治理系统技术要求?、?计算机信息系统平安等级保护通用技术要求?、?计算机信息系统平安等

5、级保护治理要求?等多组国家或行业信息平安标准,支持国家信息平安等级保护制度的落实工作.信息平安等级保护的工作内容,包括：系统定级、系统备案、系统建设与整改、系统等级测评以及系统等级保护检查五个阶段.其中,系统定级由用户单位自主完成,然后在公安机关完成系统备案；用户单位依据等保标准以及测评、检查工作的意见进行系统建设与整改；系统等级测评工作由专业测评机构承当；公安机关负责信息平安等级保护的监督检查工作.公安机关作为信息平安等级保护检查的执法单位,随着信息平安等级保护工作不断推进,在等级保护检查工作中面临诸多的困难：1 .公安机关等保检查工作的现状等级保护检查的人员较少；信息平安知识的水平平均较低

6、,甚至是别的公安岗位转岗而来,IT系统知识从零开始.有些地区的等保工作刚开始开展,那具体工作如何实施.对辖区内等保检查工作如何治理、检查结果如何汇总评价.如何指导等级保护检查工作的改良.2 .等级保护检查的系统数量多,检查工作量大备案系统数量多,目前全国已经备案的系统约有20000个.依据系统等级要求检查次数,三级系统每一年检查一次,四级系统每半年检查一次.3 .系统类型不同,检查的平安及应用要求存在差异行业类型,包括：电信、银行、广电、铁路、教育等.应用类型,包括：生产作业、指挥调度、治理限制、内部办公、公众效劳.同一等级的系统中SAG有区别,例如三级系统区分：S3A3G3、S2A2G3、S

7、3A1G3等.4 .具体系统检查中需要检查对象范围广物理平安：机房、办公环境、机房相关文档等网络平安：交换机、防火墙、路由器、IDS等主机平安：操作系统、数据库系统等应用平安：应用软件、应用平台等治理平安：文档制度、规程、记余、人员等5 .技术检查的实施过程和方法不具体等保检查的标准依据,包括?信息平安技术信息系统平安等级保护根本要求?和?公安机关信息平安等级保护检查工作标准?公信安2021736号,但是对具体设备类型的具体检查过程并没有指导；同时也缺乏这方面的指导文档.因此,信息平安等级保护检查工作从治理上要求对根底备案信息数据的采集汇总、结果分析,指导检查等保落实；同时对单位系统的现场检查

8、要求提供一个便携的检查终端,通过标准化、流程化的方法步骤完成等保检查的数据采集.2 系统介绍“等级保护检查治理平台和“等保检查工具箱融入了国家信息技术平安研究中心多年积累的对信息系统平安专业检测的方法、经验和工具,是面向公安机关实施等级保护检查工作的完整的系统工作平台.等级保护检查治理平台：主要完成等保备案信息的治理以及等保检查结果的分析.等保检查工具箱：主要完成等级保护单位现场检查工作以及检查结果的数据采集,并将数据提交给等级保护检查治理平台.支持12类检测工具.等保执法工具箱：公安执法过程中,用到的信息采集和输出设备.2.1 等级保护检查治理平台等级保护检查治理平台通过等保备案的单位系统信

9、息和等保检查结果的数据分析,能够对等级保护工作提供多角度、多维度的数据分析呈现,进而为等保工作的推进落实提供指导和数据支撑.等级保护检查治理平台的主要功能：内置了等级保护检查方法的知识库,包括：信息系统平安等级保护标准库、信息系统平安检查方法用例库,以及支持的设备类型库.支持等保备案信息的治理.支持等保检查方案的逐级治理、集中治理.支持对等级保护检查结果的数据分析2.2 等保检查工具箱等保检查工具箱内置了等级保护检查方法的知识库,通过公安机关等级保护工作的执法流程,完成等级保护现场检查工作的数据采集,实现了等级保护检查工作的流程工具化、检查标准化、工作协同化、报告自动化.等保检查工具箱遵从等保

10、检查标准和检查标准,通过明确的执法步骤,同时兼顾实际检查中需要抽查资产对象的客观需求,从等保检查的依据、执行过程、范围三个方面,保证等保检查有效实施.内置的检查方法知识库和扫描检查工具结果的分析利用,有效降低了等保检查执行的难度.等保检查工具箱检查方法知识库,支持1100多条检查要求、4000多条检查方法、140种资产类型以及3类检查扫描工具.检测工具包括：网络嗅探工具、信息采集工具、配置分析工具、保密检查工具、终端平安工具、远程治理工具、漏洞利用工具、密码破解工具、注入检测工具、漏洞扫描工具、漏洞扫描工具WEB、合规检查工具等保检查工具箱系统架构,见图1.信息平安等级保护检查工具箱备案信息治

11、理检查机关治理检查方案治理检查方案及单位治理模块等保自查结果治理检查用例生成资产治理治理检查过程步骤治理等级保护的法规标准库检杳用例执行等级管方法备类型库知识库治理模块数据查询分析模块报表治理模块等保检查工具箱的等级保护检查流程,见图2位保查段单等自阶3导入等保自查结果1公安机关对被检查下发£信息平安等级保护监督检查通知书?2等保自查由被检查单位完成,自查模板类型包括：单位整体等保工作情况表系统等保符合情况表系统资产登记表单位检查?公安机关信息平安等级保护检查工作标准?公信安2021736号4制定等保检查方案1检查内容治理要求定查案段制检方阶系统检查2抽查方案5按检查人员分配等保检查

12、任务技术要求按测评不符合项按自查不符合项按检查项重要性抽查3检查对象单fi®智蠡跖登记资产检查方案说明场查行段现检执阶检查记录包括：信息平安等级保护监督检查记录系统检查符合记录治理和及技术出检结阶7冷查任务结果d检查任务结果审核A生成检查结论报告一提交最终报告文件8完成的检结果汇总至效劳器结论报告包括：信息平安等级保护检查情况通报书信息系统平安等级保护限期整改通知仔图22.3 等保执法工具箱公安执法过程中,会用到的多种信息采集和输出设备,包括：便携式打印机、便携式扫描仪、数码相机、录音笔、执法记录仪.3 解决的问题“等级保护检查治理平台和“等保检查工具箱为用户解决的问题,包括：1 .

13、等级保护检查工作的多级治理、集中治理公安机关可以集中制定等保检查方案,实现检查工作的逐级部署、集中治理.如,市级公安机关向下级的区县级公安机关部署等保检查工作.2,基于等保标准要求的检查粒度,提升了检查结果的准确性.公安机关当前采用的纸质检查表的检查粒度比拟粗放的,因此对检查系统的等保符合情况评价不够准确.通过等保检查工具箱基于等保标准的检查粒度,提升了检查结果的准确性,保证了检查质量；同时提升了民警等保检查的水平.3 .强化公安机关执法流程,降低了检查执行难度.当前的等级保护检查工作已经形成了一定的流程,但是检查人员对用户系统的应用环境了解以及等保要求的达标的情况判断,主要依赖检查人员的个人

14、理解情况,而且过程中使用的各种文档模板、检查记录、检查结果、检查手段都是离散的存储在检查人员手中,没有形成统一的自动化标准治理模式.等保检查工具箱首先标准并强化了检查的内容、步骤和标准文书,而且通过知识库中等级保护检查方法用例库动态的生成检查内容,并对具体的检查对象,说明了具体检查实施过程,这个大大降低了检查执行的难度,保证了检查水平质量.4 .强调等保自查工作重要性,降低了检查的执行难度,提升工作效率.被检查单位最理解和熟悉自己系统的应用环境和需求,公安机关在指导被检查单位落实等级保护工作时,被检查单位进行等保自查工作是重要的手段和方法.等保检查工具箱能够依据被检查单位的备案信息,生成等保自

15、查工作模板,由被检查单位来完成等保自查工作.等保自查的结果将作为公安机关进行等保检查的参考或依据,这既降低了检查人员录入系统的检查对象的工作量,也降低了等保检查的执行难度,提升了工作效率.5 .检查扫描工具的结果利用,有效降低了检查执行的难度等保检查工具箱支持主机漏扫、web弱点扫描和网络设备配置检查工具的检查结果的分析,是利用工具检查的效率和结果客观性优点,有效降低了等保检查执行的难度.6 .与信息系统等级保护相关工作的快速衔接,提升工作效率.对公安机关以及备案的单位系统信息和等级测评的报告,等保检查工具箱提供数据的导入接口,方便公安机关快速开展等级保护检查工作,提升工作效率.7 .检查结果

16、的多维度数据分析等保检查工具箱的效劳器能够对已完成检查的备案单位的采集数据进行多角度、多维度的数据分析,并能提供比照分析,进而为等保工作的推进落实提供指导和数据支撑.8 .提供等级保护工作的知识与检查方法的学习平台等保检查工具箱的等级保护专家知识库,融入了国家信息技术平安研究中央多年积累的专业检查方法经验和工具,包含等级保护各类法规与标准库、等级保护检查方法用例库、检查对象类型库,是等级保护检查的人员理想的知识学习工具.此外,专家知识库具有更新功能,可以不断改良优化、补充和完善.9 .保证等级保护检查测评过程的用户信息的平安保护在等级保护检查过程中,不标准的检查过程,可能造成用户的资产信息的泄

17、露,等保检查工具箱通过有效的数据信息的平安保护机制,保护用户单位及系统信息的保密平安.10 .指导等级保护工作的持续改良等保检查工具箱可以作为跟踪等保落实及改良工作的重要平台,为公安机关指导用户进行等保落实工作的数据支撑,有利于等保工作的持续改良.4产品特点4.1 分级的检查指导书,基于资产的检查用例设计通过国家信息技术平安研究中央的丰富等级保护检测经验总结,等保检查工具箱设计开发了按不同等保级别的等级保护检查指导书.指导书按等保级别分级开发由于信息系统的重要性不同,那么系统划分的等级也不相同,那么指导书中各检查点的要求也不相同,所以我们根据不同等级分别开发了不同的检查指导书,共四个等级,分别

18、对物理层面、网络层面、主机层面、应用层面、数据和备份恢备层面和治理层面作了详细说明.检测用例的设计通用与专用相结合无论网络产品、操作系统,或是应用效劳与中间件等,由于生产的厂家不同,对相同的检查项,检查时所使用的命令及实施手段会有所不同,比方检查项“C应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的限制",Checkpoint防火墙实施手段应为“启动客户端软件SmartDashboard,查看security页签下内容,而Cisco防火墙的实施手段为“使用命令showaccess-list.为常见网络设备、网络平安设备、操作

19、系统、应用效劳与中间件等开发了专用的测试用例.但由于世面上的网络产品、网络平安产品、操作系统、数据库等非常多样化,无法开发出系统所有的测试用例,这就要求开发出一种通用测试用例,当专用测试用例无法使用时,便使用这种通用的测试用例对检查、检查、自检查进行指导.我们还提供测试用例模版,可以在实际检查、检查、自检查过程中不添加与丰曷°每个检测用例检查方法、过程和预期结果相结合检查指导书不但对检查的实施过程给以详细说明,还对预期应产生的结要给了详细解释,这为系统加固提供了指导意见,并将内容细化到命令级.检查指书在给出检测内容、方法与检测是结果的同时,又推荐了相对应的检测工具.检测用例涵盖主流平

20、安网络设备检测用例涵盖主流效劳器、操作系统及平安设备的检测方法与步骤.检测用例涵盖6家主流平安设备厂商、8家主流网络设备厂商的产品测试方法,6类常见应用效劳与中间件和11种操作系统的检测方法与步骤.平安厂商：天融信、联想网域、绿盟、启明、东软、Juniper、H3C等网络厂商:CISCO、华为、中兴、北电、H3C、神州数码、D-link等数据库：ORACL、EDB2、SQLSERVE、RMYSQ>LINFOMIX、Sybase等操作系统：WINDOW、SLINUX各发行版本等4.2 流程化的检查步骤,检查内容符合公安检查标准等保检查工具箱遵从等保检查标准和公安检查标准736文件,通过明确

21、的执法步骤,首先标准并强化了检查的内容、步骤和标准文书,而且通过知识库中等级保护检查方法用例库动态的生成检查内容,并对具体的检查对象,说明了具体检查实施过程,通过流程化的步骤限制,大大降低了检查执行的难度,保证了检查水平质量.4.3 基于标准的检查粒度,多种检查项筛选符合客观需要根据等级保护相关标准要求,基于信息平安理论知识对等保标准中治理和技术要求的十个层面进行分析,包括：平安治理制度、平安治理机构、人员平安治理、系统建设治理、系统运维治理、物理安全、网络平安、主机平安、应用平安、数据平安及备份恢复,建立了等保检查项筛选的重要性、代表性、广泛性、差异性相关原那么；依此检查粒度形成的筛选算法智

22、能化地生成检测用例及检查方案,保证检查结果的准确性,同时也可以简化检查人员的实施检查的复杂度,从而保证检查工作的质量.4.4 等保检查方案的逐级治理、集中治理通过等保检查工具箱系统,支持公安机关集中制定等保检查方案,实现检查工作逐级部署、集中治理.如,市级公安机关向下级的区县级公安机关部署等保检查工作.4.5 专业的技术检测工具,工具结果导入的接口面向系统技术检查的网络平安、主机平安和应用平安3个层面,等保检查工具箱支持三类扫描工具的结果分析利用,提升检查结果的客观性.三类扫描工具包括：RJ-iTopweb应用平安扫描工具、RJ-iTop网络隐患扫描系统、配置文件检查工具.4.6 多角度多维度

23、的等保检查数据分析等保检查工具箱支持等保检查数据的多种分析,目前包括：信息系统类型分析平安保护达标分析已实施的平安举措分析与比照存在的平安问题分析与比照等保工作进度分析等保检查工作量分析4.7 与公安机关的等级保护信息治理系统的数据接口对公安机关已有的备案单位及系统信息,等保检查工具箱提供数据的导入接口,方便公安机关快速开展等级保护检查工作,提升工作效率.4.8 检测端便携、操作界面直观易用等保检查工具箱的检测端作为便携式的移动设备符合用户现场检查测评的实际要求；而且向导式的操作界面表达检查工作的标准流程.用户现场等级保护检查工作的8大检查步骤：单位自查导入、制定检查内容、分配检查任务、执行检

24、查任务、检查结果汇总、检查记录审核、生成报告模板和提交结论整改报告.4.9 适合团队工作方式一次等级保护检查任务一般可以分为平安治理制度检查和平安技术检查两大局部,或者按多人员共同完成一次检查任务；等保检查工具箱支持多个任务、多人员检查的工作方式.5.1 等级保护检查治理平台序号类型名称软件规格功能说明数量备注1治理平台等级保护检查治理平台软件,运行环境要求：CPU"双核；1*10/100/1000M以太网电口；硬盘容量N500G；内存N4G.支持备案单位信息治理,包括备案信息的导入、录入和查询等支持等保检查工作计划治理支持公安机关对辖区内各级检查机关的等保检查工作的多种汇总分析,包

25、括：检查对象按单位行业类型、应用系统类型、检查机关进行汇总分析,检查结果根据达标情况、存在问题、改良情况等进行汇总分析支持公安机关的上下级组织管理以及人员治理1套标配5.2 等保检查工具箱序号类型名称硬件规格.功能说明数量备注治理平台等级保护检查终端联想笔记本ThinkPad本；CPU:i3；内存：4GB；硬盘：500GB°B/S治理模式；支持单位现场检查流程支持检查负责人等角色配置支持一次检查计划分配为多个检查任务,由多个检查人员完成.检查内容符合检查标准,包括单位检查和系统检查支持等保检查方法库治理,基于等保国标的等保检查用例.支持多种方式的检查项筛选方式支持检查工具结果导入接口

26、,将工具的结果作为等保检查的记录支持生成标准模板的等保检查记录单支持1100多条检查要求支持4000多条检查方法支持140种资产类型1台标配检查工具网络嗅探工具4G高速U盘；USB包含软件：Iris网络抓1个标配包；Wireshark网络抓包信息采集工具4G高速U盘；USB包含软件：系统信息采集与分析工具1个标配配置分析工具4G高速U盘；USB包含软件：nipper网络设备平安审核；package-envjogparser日志分析1个标配保密检查工具4G高速U盘；USB包含软件：保密检查系统1个标配终端平安工具4G高速U盘；USB包含软件：Sysinspector进程分析1个标配远程治理工具4

27、G高速U盘；USB包含软件：SSHSecureShellClient连接工具1个标配漏洞利用工具4G高速U盘；USB包含软件：个标配密码破解工具4G高速U盘；USB包含软件：Pwdump7令破解；johntheripper令破解1个标配注入检测工具4G高速U盘；USB包含软件：Domain35注入工具；Pangolin注入工具1个标配漏洞扫描工具4G高速U盘；USB包含软件：RJ-iTop网络隐患扫描系统IV支持在线对主机、设备和应用进行脆弱性扫描榕基网络隐患扫描系统可以对不同操作系统下的计算机在可扫描IP范围内进行漏洞检测.主要用于分析和指出有关网络的平安漏洞及被测系统的薄弱环节,给出详细的检测报告,并针对检测到的网络安全隐患给出相应的修补举措和平安建议.RJ-iTop网络隐患扫描系统完备的检测漏洞库,能够支持扫描网络设备、平安设备、主机操作系统、常见web应用效劳、常见应用软件客户端以及主流数据库系统.1个可选漏洞扫描工具4G高速U盘；USB包含软件：榕基WEB应用1个可选(WEB)隐患扫描系统RJ-WAS支持在线对网站进行平安评估WEB应用平安评估系统可以对Web综合网站进行平安检测的系统.主要用于检测并分析网站存在SQL注入漏洞、XSS跨站脚本攻击漏洞、可疑挂马等,给出详细的