CN101562535A - 一种闭环式信息系统安全等级测评工具 - Google Patents
一种闭环式信息系统安全等级测评工具 Download PDFInfo
- Publication number
- CN101562535A CN101562535A CNA200910051784XA CN200910051784A CN101562535A CN 101562535 A CN101562535 A CN 101562535A CN A200910051784X A CNA200910051784X A CN A200910051784XA CN 200910051784 A CN200910051784 A CN 200910051784A CN 101562535 A CN101562535 A CN 101562535A
- Authority
- CN
- China
- Prior art keywords
- appraisal
- test
- interface
- closed loop
- information system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种闭环式信息系统安全等级测评工具,其特征在于,它包括:一测评控制模块;及一测评工具模块;所述测评工具模块上设置有测评驱动接口和结果收集接口,所述测评工具模块通过测评驱动接口和结果收集接口与所述被测信息系统连接;所述测评工具模块采用配备测评驱动接口和结果收集接口的双接口设计,有效克服了已有工具系统在结果收集方面的局限,既实现闭环工作模式,又兼容常见的单链路直连工作模式支持针对复杂信息系统的等级测评,促进了信息系统安全等级测评的自动化和规范化,实现本发明的目的。
Description
技术领域
本发明涉及一种安全等级测评工具,特别涉及一种用于计算机信息安全领域,信息系统安全自动化测评的闭环式信息系统安全等级测评工具。
背景技术
随着信息技术的迅猛发展和广泛应用,网络与信息系统的基础性、全局性作用日益增强,信息网络已成为国家和社会发展新的重要战略资源。党中央、国务院始终高度重视信息安全问题,明确指出信息安全保障工作要“实行信息安全等级保护”,提高我国计算机信息系统安全保护水平,以确保社会政治稳定和经济建设的顺利进行。
作为信息安全等级保护工作承上启下的关键环节之一,安全等级测评承担着评判信息系统安全现状是否达标的重要任务,是相关单位开展等级保护建设、整改和监督检查的重要参照。同时,安全等级测评也是一项涉及范围广、知识密集、工作强度大的专业技术活动。因此,目前迫切需要一种自动化的测评工具系统来规范和简化等级测评活动,保证安全等级测评的质量和效果。
在全国开展的信息安全等级保护试点工作的经验表明,自动化的安全等级测评工具是确保安全等级测评活动在全国范围内展开的基础和保障。因此,专用安全等级测评工具必将成为信息系统的运营使用单位、信息安全服务机构、信息安全测评机构、重要行业的主管部门以及国家有关信息安全监管部门的必备工具,有效的规范和统一等级测评活动,是信息系统安全等级保护工作不可或缺的保障之一。
从技术角度看,安全等级测评是基于《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239)的符合性测评,技术指标涉及主机操作系统、数据库管理系统、网络操作系统和应用软件等。从实施角度看,安全等级测评包括符合性检查、结果数据收集和综合分析等步骤;同时,测评的目标设备类型复杂,包括承载应用服务的服务器以及负责数据转发和访问控制的网络互联与安全设备等。
目前,国内的信息系统安全测评活动以风险评估为主,由测评人员根据经验完成手工配置核查,并结合漏洞扫描和渗透测试的结果进行人工综合分析获得测评结果。人工方式对专业技术人员的严重依赖导致测评效率较低且难以大规模推广;而漏洞扫描工具由于采用了单点接入以及询问-应答的扫描模式,仅提供单链路工作模式,适用于能够反馈扫描器“询问”的信息系统/部件,不适用于提供数据转发服务的信息/部件(如网络互连设备)。国外的安全组织对信息系统安全测评自动化的研究开始的比较早,但是成果主要集中在对结果数据的分析方法上,对原始数据的收集还是依赖调查表格。
发明内容
本发明的目的在于提供一种闭环式信息系统安全等级测评工具,克服现有工具系统单链路工作模式导致的局限性,支持针对复杂信息系统的等级测评。
为实现上述发明目的,本发明所解决的技术问题可以采用以下技术方案来实现:
一种闭环式信息系统安全等级测评工具,其特征在于,它包括:
一用于驱动所述测评工具模块对被测信息系统进行综合分析与评价,从而得出安全等级测评结论的测评控制模块;及
一包含有各种工具模块的测评工具模块;
所述测评工具模块上设置有测评驱动接口和结果收集接口,所述测评工具模块通过测评驱动接口和结果收集接口与所述被测信息系统连接。
在本发明的一个实施例中,所述闭环式信息系统安全等级测评工具处于单链路直连工作模式时,所述测评工具模块的测评驱动接口与被测信息系统的目标设备的对应接口直接连接,通过所述测评驱动接口发送测评用例数据以及收集测评结果数据。
在本发明的一个实施例中,所述闭环式信息系统安全等级测评工具处于闭环工作模式时,所述测评工具模块的测评驱动接口与结果收集接口分别连接到被测信息系统的两侧的边界设备上,通过所述测评驱动接口发送测评用例数据,通过所述结果收集端口收集测评结果数据。
在本发明的一个实施例中,所述测评控制模块包括一用于驱动所述测评工具模块中的工具模块进行测评的测评管理模块和一存储测评所需的事实型知识和方法类知识并用于支持所述测评管理模块完成测评决策的测评知识库。
在本发明的一个实施例中,所述测评工具模块包括但不限于信息收集器、安全漏洞扫描仪、渗透测试工具、网络嗅探分析器、性能测试仪。
在本发明的一个实施例中,所述测评驱动接口为RJ-45以太网接口、SC光纤接口或者802.11x无线接口其中之一或之间的组合。
在本发明的一个实施例中,所述结果收集接口为RJ-45以太网接口、SC光纤接口或者802.11x无线接口其中之一或之间的组合。
本发明的一种闭环式信息系统安全等级测评工具,所述测评工具模块采用配备测评驱动接口和结果收集接口的双接口设计,有效克服了已有工具系统在结果收集方面的局限,既实现闭环工作模式,又兼容常见的单链路直连工作模式支持针对复杂信息系统的等级测评,促进了信息系统安全等级测评的自动化和规范化,实现本发明的目的。
附图说明
图1为本发明的闭环式信息系统安全等级测评工具的结构示意图;
图2为本发明的闭环式信息系统安全等级测评工具的单链路直连工作模式的示意图;
图3为本发明的闭环式信息系统安全等级测评工具的闭环工作模式的示意图;
图4为本发明的闭环式信息系统安全等级测评工具的WEB服务器测评的示意图;
图5为本发明的闭环式信息系统安全等级测评工具的步进式测评的示意图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
如图1所示,一种闭环式信息系统安全等级测评工具1,它包括:一测评控制模块10及一测评工具模块20;测评控制模块10包括一测评管理模块11和一测评知识库12;测评工具模块20上设置有测评驱动接口21和结果收集接口22,测评工具模块20通过测评驱动接口21和结果收集接口22与被测信息系统3连接。
测评控制模块10为基于X86架构的工控机系统,运行测评管理模块11和测评知识库12;测评管理模块11是闭环式信息系统安全等级测评工具1的测评逻辑驱动部件。在实施测评时,测评管理模块11在测评知识库12的支持下完成测评决策(如测评对象及指标选择、测评强度的确定、测评方法与工具的选择等),生成测评用例并通过测评驱动端口21作用于被测信息系统3;测评用例执行结束后,测评管理模块11通过结果收集端口22(或测评驱动端口21)收集结果数据,并基于测评知识库12提供的算法进行综合分析与评价,从而得出信息系统安全等级测评结论。
测评知识库12存储了等级测评自动化所需的事实型知识和方法类知识;其中,事实型知识包含测评对象知识、模板类知识和作业指导书等,方法类知识包括对象选择方法、测评结论评价方法等。
测评工具模块20为采用开放架构设计的测评工具集合,支持基于软件接口的轻量模块安装和基于硬件接口的标准组件安装,分别支持市售主流测评工具以及专用测评工具的集成;在本发明中,测评工具模块20集成的测评工具包括但不限于信息收集器、安全漏洞扫描仪、渗透测试工具、网络嗅探分析器、性能测试仪等。
在本发明,闭环式信息系统安全等级测评工具1分采用双接口设计,通过配备测评驱动接口21和结果收集接口22来实现闭环工作模式,支持针对业务模式为数据转发的信息系统实施的安全测评,或者针对纵深防御路径实施的步进式安全测评,同时兼容常见的单链路直连工作模式。
如图2所示,在本发明的中,闭环式信息系统安全等级测评工具1处于单链路直连工作模式时,单链路直连工作模式主要应用于针对业务模式为挑战-应答的信息系统实施的安全测评;测评工具模块20的测评驱动接口21与被测信息系统3的目标设备的对应接口直接连接,通过测评驱动接口21发送测评用例数据以及收集测评结果数据。
如图3所示,在本发明中,闭环式信息系统安全等级测评工具1处于闭环工作模式时,闭环工作模式应用于针对业务模式为数据转发的信息系统实施的安全测评,或者针对纵深防御路径实施的步进式安全测评;测评工具模块20的测评驱动接口21与结果收集接口22分别连接到被测信息系统3的两侧的边界设备上,通过测评驱动接口21发送测评用例数据,通过结果收集端口22收集测评结果数据。
鉴于被测信息系统3网络传输介质的复杂性,本发明通过集成不同的网络接口模块来实现工具系统对以太网络、光纤网络和无线网络的支持,保证工具系统的兼容性和使用范围;在本发明中,测评驱动接口21为RJ-45以太网接口、SC光纤接口或者802.11x无线接口其中之一或之间的组合;在本发明中,结果收集接口22为RJ-45以太网接口、SC光纤接口或者802.11x无线接口其中之一或之间的组合。
本发明的闭环式信息系统安全等级测评工具1为不同安全保护等级的信息系统提供标准符合性测评。典型的测评场景如图4和图5所示。
如图4所示,针对WEB服务器的安全测评,闭环式信息系统安全等级测评工具1工作在单链路直连方式下,连接方法如图中所示,闭环式信息系统安全等级测评工具1的测评驱动接口21并联接入防火墙的外网接口;在该工作模式中,测评人员完成测评参数初始化后,后续的测试步骤将在测评管理模块11和测评知识库12的控制下自动执行,测评用例的激励数据的发送和反馈数据的收集由测评驱动接口21独立完成,收集的测评结果由测评管理模块11调用测评知识库12中的算法进行分析和计算,形成测评结论。
如图5所示,针对从防火墙到核心服务器的纵深防御路径的安全性测评,闭环式信息系统安全等级测评工具1工作在闭环工作模式下,通过将测评驱动接口21并联接入防火墙外网口,并分别将结果收集端口22并联接入防火墙内侧接口以及核心服务器前端相连接,实现设备组合的步进式安全测评;在该工作模式中,测评人员完成测评参数初始化后,后续的测试步骤将在测评管理模块11和测评知识库12的控制下自动执行,测评管理模块11首先生成测评用例,并通过测评驱动接口21发送激励数据;通过结果收集接口22接收作用于被测信息系统3(或部件)后生成的反馈数据;调用测评知识库12中的算法对相关数据进行分析和计算,形成测评结论。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内,本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (7)
1、一种闭环式信息系统安全等级测评工具,其特征在于,它包括:
一用于驱动所述测评工具模块对被测信息系统进行综合分析与评价,从而得出安全等级测评结论的测评控制模块;及
一包含有各种工具模块的测评工具模块;
所述测评工具模块上设置有测评驱动接口和结果收集接口,所述测评工具模块通过测评驱动接口和结果收集接口与所述被测信息系统连接。
2、如权利要求1所述的闭环式信息系统安全等级测评工具,其特征在于,所述闭环式信息系统安全等级测评工具处于单链路直连工作模式时,所述测评工具模块的测评驱动接口与被测信息系统的目标设备的对应接口直接连接,通过所述测评驱动接口发送测评用例数据以及收集测评结果数据。
3、如权利要求1所述的闭环式信息系统安全等级测评工具,其特征在于,所述闭环式信息系统安全等级测评工具处于闭环工作模式时,所述测评工具模块的测评驱动接口与结果收集接口分别连接到被测信息系统的两侧的边界设备上,通过所述测评驱动接口发送测评用例数据,通过所述结果收集端口收集测评结果数据。
4、如权利要求1所述的闭环式信息系统安全等级测评工具,其特征在于,所述测评控制模块包括一用于驱动所述测评工具模块中的工具模块进行测评的测评管理模块和一存储测评所需的事实型知识和方法类知识并用于支持所述测评管理模块完成测评决策的测评知识库。
5、如权利要求1所述的闭环式信息系统安全等级测评工具,其特征在于,所述测评工具模块包括但不限于信息收集器、安全漏洞扫描仪、渗透测试工具、网络嗅探分析器、性能测试仪。
6、如权利要求1所述的闭环式信息系统安全等级测评工具,其特征在于,所述测评驱动接口为RJ-45以太网接口、SC光纤接口或者802.11x无线接口其中之一或之间的组合。
7、如权利要求1所述的闭环式信息系统安全等级测评工具,其特征在于,所述结果收集接口为RJ-45以太网接口、SC光纤接口或者802.11x无线接口其中之一或之间的组合。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA200910051784XA CN101562535A (zh) | 2009-05-22 | 2009-05-22 | 一种闭环式信息系统安全等级测评工具 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA200910051784XA CN101562535A (zh) | 2009-05-22 | 2009-05-22 | 一种闭环式信息系统安全等级测评工具 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101562535A true CN101562535A (zh) | 2009-10-21 |
Family
ID=41221167
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA200910051784XA Pending CN101562535A (zh) | 2009-05-22 | 2009-05-22 | 一种闭环式信息系统安全等级测评工具 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101562535A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102457414A (zh) * | 2011-12-23 | 2012-05-16 | 广东电网公司电力科学研究院 | 用于等保测评中的网络安全自动测评方法及其系统 |
CN102495731A (zh) * | 2011-12-02 | 2012-06-13 | 中国信息安全测评中心 | 一种信息安全评估的实施用例的生成方法 |
CN102905256A (zh) * | 2012-10-30 | 2013-01-30 | 东南大学 | 基于渗透测试的无线网卡安全评估方法 |
CN103839215A (zh) * | 2013-04-03 | 2014-06-04 | 杨涛 | 一种信息安全测评多维综合服务平台系统 |
CN112098897A (zh) * | 2020-09-08 | 2020-12-18 | 福建中信网安信息科技有限公司 | 一种信息安全等级保护自动测评装置 |
CN115755847A (zh) * | 2022-11-18 | 2023-03-07 | 北京卓识网安技术股份有限公司 | 一种工控系统等级保护测评方法和系统 |
-
2009
- 2009-05-22 CN CNA200910051784XA patent/CN101562535A/zh active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102495731A (zh) * | 2011-12-02 | 2012-06-13 | 中国信息安全测评中心 | 一种信息安全评估的实施用例的生成方法 |
CN102495731B (zh) * | 2011-12-02 | 2014-12-10 | 中国信息安全测评中心 | 一种信息安全评估的实施用例的生成方法 |
CN102457414A (zh) * | 2011-12-23 | 2012-05-16 | 广东电网公司电力科学研究院 | 用于等保测评中的网络安全自动测评方法及其系统 |
CN102457414B (zh) * | 2011-12-23 | 2014-01-01 | 广东电网公司电力科学研究院 | 用于等保测评中的网络安全自动测评方法及其系统 |
CN102905256A (zh) * | 2012-10-30 | 2013-01-30 | 东南大学 | 基于渗透测试的无线网卡安全评估方法 |
CN102905256B (zh) * | 2012-10-30 | 2014-10-29 | 东南大学 | 基于渗透测试的无线网卡安全评估方法 |
CN103839215A (zh) * | 2013-04-03 | 2014-06-04 | 杨涛 | 一种信息安全测评多维综合服务平台系统 |
CN112098897A (zh) * | 2020-09-08 | 2020-12-18 | 福建中信网安信息科技有限公司 | 一种信息安全等级保护自动测评装置 |
CN115755847A (zh) * | 2022-11-18 | 2023-03-07 | 北京卓识网安技术股份有限公司 | 一种工控系统等级保护测评方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101562535A (zh) | 一种闭环式信息系统安全等级测评工具 | |
US20140303796A1 (en) | Apparatus and method for controlling building energy | |
CN105809575A (zh) | 一种水电生产管理移动作业系统和方法 | |
CN103714434A (zh) | 一种基于物联网技术的化工生产现场巡检系统 | |
NO20052776L (no) | System og fremgangsmate til a granske et nettverk | |
CN104573977A (zh) | 一种质量数据管理系统与方法 | |
CN103412745B (zh) | 一种开发及应用平台 | |
CN102123044A (zh) | 基于拓扑发现技术的网络拓扑一致性检测设备和检测方法 | |
CN110398927A (zh) | 一种集成数据信息监测平台及监控系统 | |
CN107688163A (zh) | 一种用户用电信息采集系统的性能检测分析装置 | |
CN102624096B (zh) | 配电现场作业智能监管系统 | |
CN107301498A (zh) | 用于高速铁路轮轨关系服役监测的综合信息管理系统 | |
CN101840545A (zh) | 试验检测、管理和监控一体化系统及方法 | |
CN207148927U (zh) | 一种基于移动互联技术的电力设备巡检系统 | |
CN104794771A (zh) | 一种巡点检自动规划方法及装置 | |
CN106203557A (zh) | 油田车辆运输互联网监管系统和监管方法 | |
CN109829088A (zh) | 一种高速公路机电工程检测系统 | |
CN103839215A (zh) | 一种信息安全测评多维综合服务平台系统 | |
CN108647793B (zh) | 一种安装检修质量智能管控平台 | |
Guo et al. | How traditional construction safety performance indicators fail to capture the reality of safety | |
CN107979174B (zh) | 一种基于电网运行管理系统的工作流运行方法 | |
CN103457957B (zh) | 一种具有自适应功能的网络渗透测试系统及方法 | |
CN212433829U (zh) | 一种煤矿井下通风设施巡检系统及井下通风系统 | |
CN208298256U (zh) | 一种变电站室内巡视系统 | |
CN206725742U (zh) | 一种电能计量箱移动巡视系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20091021 |