面向信息安全等級測評的安全配置核查系統(tǒng).pdf

1、隨著信息技術和網(wǎng)絡技術的不斷發(fā)展，我國信息化的進程也不斷加快，如何切實有效的保障信息安全已經(jīng)成為我國信息化建設的重要組成部分，信息安全等級保護制度已經(jīng)成為國家的基本制度。等級測評是信息安全等級保護實施中的重要環(huán)節(jié)，在等級測評實施過程中，傳統(tǒng)的人工單點檢測方式任務繁重，難以保證結果的效率和完備性，而目前已有的自動化配置核查工具，大多采用的是風險評估的標準和模型，無法應用到信息安全等級測評中。因此需要一套能針對等保指標設計，面向等級測評的自

2、動化安全配置核查以及符合性判定的系統(tǒng)來輔助人工作業(yè)，提高等級測評過程的效率和完備性。
　　針對這一需求，本文在對國內(nèi)外信息安全標準和安全基線模型進行深入細致的總結分析，研究比對了當前信息安全等級測評的相關關鍵技術的基礎上，依據(jù)信息安全等保指標體系，以層次化分解的方式構建了一套面向等級測評的安全基線知識庫。該基線庫涵蓋了多數(shù)主機操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和常見應用平臺，基于對不同級別的等保指標要求的理解和各目標系統(tǒng)資深特點，在安全極限知識

3、庫中規(guī)定了其應具有的安全配置，進而基于這些安全配置構造了相應的配置核查列表集合，并衍生出相應的自動化核查腳本和驗證規(guī)則。
　　圍繞該安全基線知識庫，借鑒插件化開發(fā)和自動測試的技術原理與思想，本文設計并實現(xiàn)了一個面向信息安全等級測評的安全配置核查系統(tǒng)。通過后臺維護系統(tǒng)對等保指標、安全基線知識庫和配置核查腳本進行維護，通過主運行框架連接到目標系統(tǒng)，加載核查腳本完成自動配置核查。經(jīng)過實際測評工作中使用驗證，該系統(tǒng)可以有效節(jié)省傳統(tǒng)人工測評