一種面向等級(jí)保護(hù)的信息系統(tǒng)安全合規(guī)性檢查方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明是關(guān)于信息安全等級(jí)保護(hù)領(lǐng)域���,特別涉及一種面向等級(jí)保護(hù)的信息系統(tǒng)安全合規(guī)性檢查方法����。
【背景技術(shù)】
[0002]信息安全等級(jí)保護(hù)是對(duì)信息和信息載體按照重要性等級(jí)分別進(jìn)行保護(hù)的一種工作���。信息安全等級(jí)保護(hù)測(cè)評(píng)工作是等級(jí)測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定��,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)�,對(duì)非涉及國(guó)家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢查評(píng)估的活動(dòng)。等級(jí)保護(hù)測(cè)評(píng)工作涉及的信息系統(tǒng)范圍廣���,敏感性強(qiáng)�����。
[0003]目前�,無(wú)論公安機(jī)關(guān)還是測(cè)評(píng)機(jī)構(gòu)在信息系統(tǒng)安全等級(jí)測(cè)評(píng)過(guò)程中��,均缺少科學(xué)規(guī)范�、客觀高效的技術(shù)檢查工具。測(cè)評(píng)人員的技術(shù)能力和水平影響檢查和測(cè)評(píng)結(jié)果���,難以保證等級(jí)測(cè)評(píng)的客觀��、公正和安全����。
[0004]綜上���,在現(xiàn)有技術(shù)中等級(jí)保護(hù)測(cè)評(píng)基本都是采用半人工��、半工具的方法����。而且整個(gè)測(cè)評(píng)過(guò)程�����,測(cè)評(píng)人員需要耗費(fèi)大量的時(shí)間���,多次運(yùn)行不同的工具���,人工輸入命令,一步步配置環(huán)境進(jìn)行測(cè)評(píng)���,測(cè)評(píng)數(shù)據(jù)和結(jié)果記錄需要人工確認(rèn)��。測(cè)評(píng)結(jié)果受測(cè)評(píng)人員的技能影響���,操作過(guò)程不規(guī)范,效率低��,缺乏對(duì)數(shù)據(jù)的深入分析和挖掘。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的主要目的在于克服現(xiàn)有技術(shù)中的不足�����,提供一種通過(guò)等級(jí)保護(hù)檢查知識(shí)庫(kù)����,將技術(shù)檢查結(jié)果和標(biāo)準(zhǔn)法規(guī)結(jié)合分析,能實(shí)現(xiàn)專業(yè)的技術(shù)檢查���、全面的安全訪談指導(dǎo)的信息系統(tǒng)安全合規(guī)性檢查方法���。為解決上述技術(shù)問(wèn)題,本發(fā)明的解決方案是:
[0006]提供一種面向等級(jí)保護(hù)的信息系統(tǒng)安全合規(guī)性檢查方法����,用于對(duì)信息系統(tǒng)進(jìn)行檢查并評(píng)判,所述面向等級(jí)保護(hù)的信息系統(tǒng)安全合規(guī)性檢查方法利用等級(jí)保護(hù)檢查管理系統(tǒng)�����,對(duì)信息系統(tǒng)進(jìn)行集中智能關(guān)聯(lián)和合規(guī)評(píng)判��,具體包括下述步驟:
[0007](I)建立檢查指標(biāo)庫(kù):根據(jù)GB/T 22239-2008標(biāo)準(zhǔn)�����,在等級(jí)保護(hù)檢查管理系統(tǒng)中,按層級(jí)細(xì)分建立等級(jí)保護(hù)檢查指標(biāo)�,將檢查指標(biāo)和安全保護(hù)等級(jí)一一對(duì)應(yīng)組成檢查指標(biāo)庫(kù)����;
[0008]所述檢查指標(biāo)包括檢查控制點(diǎn)、檢查項(xiàng)����、檢查要點(diǎn);
[0009](2)定義檢查任務(wù)或檢查計(jì)劃:向等級(jí)保護(hù)檢查管理系統(tǒng)錄入檢查任務(wù)�����,檢查任務(wù)包括檢查單位信息��、安全保護(hù)等級(jí)�����;
[0010](3)對(duì)檢查對(duì)象進(jìn)行掃描:根據(jù)檢查任務(wù)錄入的安全保護(hù)等級(jí)�����,選擇檢查指標(biāo)庫(kù)對(duì)應(yīng)的檢查指標(biāo),通過(guò)遠(yuǎn)程掃描或本地掃描的方式�����,選用技術(shù)檢查工具集中的技術(shù)檢查工具對(duì)待檢查信息系統(tǒng)進(jìn)行自動(dòng)掃描�,生成掃描結(jié)果;
[0011]根據(jù)編碼對(duì)照表對(duì)掃描結(jié)果進(jìn)行編碼處理�,生成檢查結(jié)果編碼,再對(duì)檢查結(jié)果編碼進(jìn)行加密�,得到加密后的掃描結(jié)果;
[0012]所述編碼對(duì)照表是將GB/T 22239-2008標(biāo)準(zhǔn)中的要求按層級(jí)細(xì)分為工具檢查控制點(diǎn)��、工具檢查要點(diǎn)�����、工具檢查記錄并對(duì)其編碼�����,所形成的唯一編碼對(duì)照表�;
[0013](4)導(dǎo)入檢查結(jié)果:將加密后的掃描結(jié)果,導(dǎo)入等級(jí)保護(hù)檢查管理系統(tǒng)��;
[0014](5)對(duì)掃描結(jié)果進(jìn)行解密:等級(jí)保護(hù)檢查管理系統(tǒng)對(duì)導(dǎo)入后的掃描結(jié)果進(jìn)行解密���,得到掃描結(jié)果編碼���;
[0015](6)對(duì)掃描結(jié)果編碼進(jìn)行解碼:等級(jí)保護(hù)檢查管理系統(tǒng)根據(jù)編碼對(duì)照表����,對(duì)步驟(5)中得到的掃描結(jié)果編碼進(jìn)行解碼����,還原掃描結(jié)果���;
[0016](7)對(duì)掃描結(jié)果進(jìn)行評(píng)判:等級(jí)保護(hù)檢查管理系統(tǒng)將檢查任務(wù)所對(duì)應(yīng)的檢查指標(biāo)�,與步驟(6)中還原得到的掃描結(jié)果�,進(jìn)行關(guān)聯(lián)處理得到相應(yīng)的檢查記錄單;利用知識(shí)庫(kù)中內(nèi)置的知識(shí)�、模型和規(guī)則,針對(duì)檢查記錄單中的每一個(gè)檢查項(xiàng)�����,將掃描結(jié)果中的該檢查項(xiàng)����,與知識(shí)庫(kù)內(nèi)的若干項(xiàng)檢查要點(diǎn)權(quán)重和關(guān)聯(lián)關(guān)系進(jìn)行對(duì)應(yīng)比較���,評(píng)判掃描結(jié)果中的該檢查項(xiàng)是否符合等級(jí)保護(hù)要求,并得到判定結(jié)果����,判定結(jié)果分為符合、不符合或者不適用���;
[0017]所述知識(shí)庫(kù)中封裝有信息系統(tǒng)安全檢查工作實(shí)施經(jīng)驗(yàn)�、專家知識(shí)和分析模型�,用于作為信息系統(tǒng)安全等級(jí)評(píng)判的依據(jù);
[0018](8)對(duì)判定結(jié)果進(jìn)行評(píng)分:將步驟(7)中得到的每一個(gè)檢查項(xiàng)的判定結(jié)果進(jìn)行匯總����,并按照知識(shí)庫(kù)對(duì)應(yīng)的若干檢查項(xiàng)權(quán)重和關(guān)聯(lián)關(guān)系,對(duì)匯總的判定結(jié)果進(jìn)行綜合評(píng)分�;
[0019](9)生成等級(jí)保護(hù)合規(guī)性報(bào)告:利用步驟(7)中獲得的每一個(gè)檢查項(xiàng)判定結(jié)果,以及步驟(8)中獲得的綜合評(píng)分��,生成該所需檢查的IT資產(chǎn)的等級(jí)保護(hù)合規(guī)性報(bào)告�。
[0020]在本發(fā)明中,所述技術(shù)檢查工具用于搜集信息系統(tǒng)的配置和脆弱性數(shù)據(jù)��,不同的待檢查信息系統(tǒng)對(duì)應(yīng)有不同的技術(shù)檢查工具,所有技術(shù)檢查工具構(gòu)成整個(gè)技術(shù)檢查工具集���。
[0021]在本發(fā)明中�,所述技術(shù)檢查工具集采用U盤工具和在線工具���;其中����,U盤工具是具備自我防病毒保護(hù)功能的技術(shù)檢查工具�,且利用U盤工具掃描生成的掃描結(jié)果保存在U盤工具中;在線工具是集成在等級(jí)保護(hù)檢查管理系統(tǒng)中的技術(shù)檢查工具�����,且利用在線工具掃描生成的掃描結(jié)果保存在等級(jí)保護(hù)檢查管理系統(tǒng)配置的目錄中�。
[0022]在本發(fā)明中�����,所述步驟(4)中�����,將檢查結(jié)果導(dǎo)入等級(jí)保護(hù)檢查管理系統(tǒng)時(shí),等級(jí)保護(hù)檢查管理系統(tǒng)能支持一鍵導(dǎo)入���,能自動(dòng)讀取技術(shù)檢查工具的掃描結(jié)果�����。
[0023]在本發(fā)明中����,所述步驟(3)和步驟(5)中���,加密���、解密均采用國(guó)產(chǎn)商用密碼算法實(shí)現(xiàn)。
[0024]本發(fā)明的實(shí)現(xiàn)原理是:
[0025]1����、通過(guò)技術(shù)工具集掃描目標(biāo)設(shè)備,獲取目標(biāo)設(shè)備安全結(jié)果���,并對(duì)結(jié)果進(jìn)行編碼以及加密保存���;
[0026]2���、新建任務(wù),在等級(jí)保護(hù)檢查管理系統(tǒng)中新建任務(wù):選擇任務(wù)類型��,包括重要信息系統(tǒng)��、專項(xiàng)檢查��、行業(yè)主管部門����、備案單位、網(wǎng)站檢查���,然后根據(jù)任務(wù)類型從指標(biāo)庫(kù)中匹配檢查項(xiàng)���;
[0027]3����、結(jié)果導(dǎo)入,將得到的掃描結(jié)果導(dǎo)入等級(jí)保護(hù)檢查管理系統(tǒng)后自動(dòng)進(jìn)行解密�����、解碼處理;
[0028]4���、結(jié)果判定����,等級(jí)保護(hù)檢查管理系統(tǒng)根據(jù)建的任務(wù)對(duì)應(yīng)檢查指標(biāo)與3中還原得到的掃描結(jié)果����,進(jìn)行關(guān)聯(lián)處理得到相應(yīng)的檢查記錄單調(diào)用知識(shí)庫(kù)通過(guò)參數(shù)SAG等級(jí)、工具檢查控制點(diǎn)編碼����、設(shè)備類別編號(hào)、設(shè)備型號(hào)編號(hào)��、工具檢查要點(diǎn)編碼���、工具檢查要點(diǎn)記錄編號(hào)得到判定結(jié)果(檢查要點(diǎn)編號(hào)�����、判定結(jié)果編號(hào))����;
[0029]4、由于指標(biāo)庫(kù)中沒(méi)有單位檢查知識(shí)內(nèi)容及單位檢查預(yù)期結(jié)果�����,所以接著調(diào)用知識(shí)庫(kù)通過(guò)參數(shù)單位檢查要點(diǎn)編號(hào)�����、任務(wù)編號(hào)得到單位檢查知識(shí)內(nèi)容及單位檢查預(yù)期結(jié)果�����;
[0030]5�����、根據(jù)得到的判定結(jié)果調(diào)用知識(shí)庫(kù)計(jì)算目標(biāo)設(shè)備檢查得分���;
[0031]6��、生成報(bào)告����,包括等保檢查報(bào)告��、管理問(wèn)卷檢查報(bào)告����、工具檢查記錄報(bào)告。
[0032]與現(xiàn)有技術(shù)相比����,本發(fā)明的有益效果是:
[0033]1、使得信息系統(tǒng)安全等級(jí)保護(hù)檢查工作客觀���、規(guī)范��、公正�;
[0034]2���、極大降低信息安全等級(jí)保護(hù)檢查工作難度���、復(fù)雜度;
[0035]3����、極大提高信息安全等級(jí)保護(hù)檢查工作效率。
【附圖說(shuō)明】
[0036]圖1是行業(yè)主管部門及備案單位指標(biāo)庫(kù)表結(jié)構(gòu)����。
[0037]圖2是重要信息系統(tǒng)指標(biāo)庫(kù)表結(jié)構(gòu)�。
[0038]圖3是專項(xiàng)檢查指標(biāo)庫(kù)表結(jié)構(gòu)��。
[0039]圖4是等保知識(shí)庫(kù)總體結(jié)構(gòu)�。
[0040]圖5是面向等級(jí)保護(hù)的信息系統(tǒng)安全合規(guī)性檢查工具檢查編碼規(guī)則。
[0041]圖6是面向等級(jí)保護(hù)的信息系統(tǒng)安全合規(guī)性檢查系統(tǒng)工作流程圖�。
【具體實(shí)施方式】
[0042]首先需要說(shuō)明的是,本發(fā)明涉及數(shù)據(jù)庫(kù)技術(shù)���、網(wǎng)絡(luò)通信技術(shù)以及數(shù)據(jù)加密技術(shù)��,是計(jì)算機(jī)技術(shù)在信息安全技術(shù)領(lǐng)域的一種應(yīng)用�。在本發(fā)明的實(shí)現(xiàn)過(guò)程中��,會(huì)涉及到多個(gè)軟件功能模塊的應(yīng)用���。申請(qǐng)人認(rèn)為�,如在仔細(xì)閱讀申請(qǐng)文件��、準(zhǔn)確理解本發(fā)明的實(shí)現(xiàn)原理和發(fā)明目的以后��,在結(jié)合現(xiàn)有公知技術(shù)的情況下,本領(lǐng)域技術(shù)人員完全可以運(yùn)用其掌握的軟件編程技能實(shí)現(xiàn)本發(fā)明�����。凡本發(fā)明申請(qǐng)文件提及的均屬此范疇����,申請(qǐng)人不再一一列舉����。
[0043]下面結(jié)合附圖與【具體實(shí)施方式】對(duì)本發(fā)明作進(jìn)一步詳細(xì)描述:
[0044]如圖6所示,一種面向等級(jí)保護(hù)的信息系統(tǒng)安全合規(guī)性檢查方法�����,包括技術(shù)檢查工具集和等級(jí)保護(hù)檢查管理系統(tǒng)����。技術(shù)檢查工具集分為U盤工具和在線工具。
[0045]在線工具�����,集成在等級(jí)保護(hù)檢查管理系統(tǒng)中����。其掃描結(jié)果保存在等保保護(hù)檢查管里系統(tǒng)配置的目錄���。
[0046]U盤工具,是技術(shù)檢查工具(除在線工具以外)的不同組合�����。其具備自我防病毒保護(hù)功能����。檢查時(shí),將U盤工具插入檢查對(duì)象USB 口����,掃描結(jié)果保存在U盤工具中。
[0047]等級(jí)保護(hù)檢查管理系統(tǒng)支持一鍵導(dǎo)入在線工具和U盤工具檢查結(jié)果��。
[0048]一��、技術(shù)檢查工具集用于搜集I