面向信息安全等級測評的安全配置核查系統(tǒng).pdf

1、隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，我國信息化的進程也不斷加快，如何切實有效的保障信息安全已經(jīng)成為我國信息化建設(shè)的重要組成部分，信息安全等級保護制度已經(jīng)成為國家的基本制度。等級測評是信息安全等級保護實施中的重要環(huán)節(jié)，在等級測評實施過程中，傳統(tǒng)的人工單點檢測方式任務(wù)繁重，難以保證結(jié)果的效率和完備性，而目前已有的自動化配置核查工具，大多采用的是風(fēng)險評估的標(biāo)準(zhǔn)和模型，無法應(yīng)用到信息安全等級測評中。因此需要一套能針對等保指標(biāo)設(shè)計，面向等級測評的自

2、動化安全配置核查以及符合性判定的系統(tǒng)來輔助人工作業(yè)，提高等級測評過程的效率和完備性。
　　針對這一需求，本文在對國內(nèi)外信息安全標(biāo)準(zhǔn)和安全基線模型進行深入細(xì)致的總結(jié)分析，研究比對了當(dāng)前信息安全等級測評的相關(guān)關(guān)鍵技術(shù)的基礎(chǔ)上，依據(jù)信息安全等保指標(biāo)體系，以層次化分解的方式構(gòu)建了一套面向等級測評的安全基線知識庫。該基線庫涵蓋了多數(shù)主機操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和常見應(yīng)用平臺，基于對不同級別的等保指標(biāo)要求的理解和各目標(biāo)系統(tǒng)資深特點，在安全極限知識

3、庫中規(guī)定了其應(yīng)具有的安全配置，進而基于這些安全配置構(gòu)造了相應(yīng)的配置核查列表集合，并衍生出相應(yīng)的自動化核查腳本和驗證規(guī)則。
　　圍繞該安全基線知識庫，借鑒插件化開發(fā)和自動測試的技術(shù)原理與思想，本文設(shè)計并實現(xiàn)了一個面向信息安全等級測評的安全配置核查系統(tǒng)。通過后臺維護系統(tǒng)對等保指標(biāo)、安全基線知識庫和配置核查腳本進行維護，通過主運行框架連接到目標(biāo)系統(tǒng)，加載核查腳本完成自動配置核查。經(jīng)過實際測評工作中使用驗證，該系統(tǒng)可以有效節(jié)省傳統(tǒng)人工測評