一种面向等级保护的信息系统安全合规性检查方法

一种面向等级保护的信息系统安全合规性检查方法
【技术领域】
[0001]本发明是关于信息安全等级保护领域，特别涉及一种面向等级保护的信息系统安全合规性检查方法。
【背景技术】
[0002]信息安全等级保护是对信息和信息载体按照重要性等级分别进行保护的一种工作。信息安全等级保护测评工作是等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检查评估的活动。等级保护测评工作涉及的信息系统范围广，敏感性强。
[0003]目前，无论公安机关还是测评机构在信息系统安全等级测评过程中，均缺少科学规范、客观高效的技术检查工具。测评人员的技术能力和水平影响检查和测评结果，难以保证等级测评的客观、公正和安全。
[0004]综上，在现有技术中等级保护测评基本都是采用半人工、半工具的方法。而且整个测评过程，测评人员需要耗费大量的时间，多次运行不同的工具，人工输入命令，一步步配置环境进行测评，测评数据和结果记录需要人工确认。测评结果受测评人员的技能影响，操作过程不规范，效率低，缺乏对数据的深入分析和挖掘。

【发明内容】

[0005]本发明的主要目的在于克服现有技术中的不足，提供一种通过等级保护检查知识库，将技术检查结果和标准法规结合分析，能实现专业的技术检查、全面的安全访谈指导的信息系统安全合规性检查方法。为解决上述技术问题，本发明的解决方案是:
[0006]提供一种面向等级保护的信息系统安全合规性检查方法，用于对信息系统进行检查并评判，所述面向等级保护的信息系统安全合规性检查方法利用等级保护检查管理系统，对信息系统进行集中智能关联和合规评判，具体包括下述步骤:
[0007](I)建立检查指标库:根据GB/T 22239-2008标准，在等级保护检查管理系统中，按层级细分建立等级保护检查指标，将检查指标和安全保护等级一一对应组成检查指标库；
[0008]所述检查指标包括检查控制点、检查项、检查要点；
[0009](2)定义检查任务或检查计划:向等级保护检查管理系统录入检查任务，检查任务包括检查单位信息、安全保护等级；
[0010](3)对检查对象进行扫描:根据检查任务录入的安全保护等级，选择检查指标库对应的检查指标，通过远程扫描或本地扫描的方式，选用技术检查工具集中的技术检查工具对待检查信息系统进行自动扫描，生成扫描结果；
[0011]根据编码对照表对扫描结果进行编码处理，生成检查结果编码，再对检查结果编码进行加密，得到加密后的扫描结果；
[0012]所述编码对照表是将GB/T 22239-2008标准中的要求按层级细分为工具检查控制点、工具检查要点、工具检查记录并对其编码，所形成的唯一编码对照表；
[0013](4)导入检查结果:将加密后的扫描结果，导入等级保护检查管理系统；
[0014](5)对扫描结果进行解密:等级保护检查管理系统对导入后的扫描结果进行解密，得到扫描结果编码；
[0015](6)对扫描结果编码进行解码:等级保护检查管理系统根据编码对照表，对步骤(5)中得到的扫描结果编码进行解码，还原扫描结果；
[0016](7)对扫描结果进行评判:等级保护检查管理系统将检查任务所对应的检查指标，与步骤(6)中还原得到的扫描结果，进行关联处理得到相应的检查记录单；利用知识库中内置的知识、模型和规则，针对检查记录单中的每一个检查项，将扫描结果中的该检查项，与知识库内的若干项检查要点权重和关联关系进行对应比较，评判扫描结果中的该检查项是否符合等级保护要求，并得到判定结果，判定结果分为符合、不符合或者不适用；
[0017]所述知识库中封装有信息系统安全检查工作实施经验、专家知识和分析模型，用于作为信息系统安全等级评判的依据；
[0018](8)对判定结果进行评分:将步骤(7)中得到的每一个检查项的判定结果进行汇总，并按照知识库对应的若干检查项权重和关联关系，对汇总的判定结果进行综合评分；
[0019](9)生成等级保护合规性报告:利用步骤(7)中获得的每一个检查项判定结果，以及步骤(8)中获得的综合评分，生成该所需检查的IT资产的等级保护合规性报告。
[0020]在本发明中，所述技术检查工具用于搜集信息系统的配置和脆弱性数据，不同的待检查信息系统对应有不同的技术检查工具，所有技术检查工具构成整个技术检查工具集。
[0021]在本发明中，所述技术检查工具集采用U盘工具和在线工具；其中，U盘工具是具备自我防病毒保护功能的技术检查工具，且利用U盘工具扫描生成的扫描结果保存在U盘工具中；在线工具是集成在等级保护检查管理系统中的技术检查工具，且利用在线工具扫描生成的扫描结果保存在等级保护检查管理系统配置的目录中。
[0022]在本发明中，所述步骤(4)中，将检查结果导入等级保护检查管理系统时，等级保护检查管理系统能支持一键导入，能自动读取技术检查工具的扫描结果。
[0023]在本发明中，所述步骤(3)和步骤(5)中，加密、解密均采用国产商用密码算法实现。
[0024]本发明的实现原理是:
[0025]1、通过技术工具集扫描目标设备，获取目标设备安全结果，并对结果进行编码以及加密保存；
[0026]2、新建任务，在等级保护检查管理系统中新建任务:选择任务类型，包括重要信息系统、专项检查、行业主管部门、备案单位、网站检查，然后根据任务类型从指标库中匹配检查项；
[0027]3、结果导入，将得到的扫描结果导入等级保护检查管理系统后自动进行解密、解码处理；
[0028]4、结果判定，等级保护检查管理系统根据建的任务对应检查指标与3中还原得到的扫描结果，进行关联处理得到相应的检查记录单调用知识库通过参数SAG等级、工具检查控制点编码、设备类别编号、设备型号编号、工具检查要点编码、工具检查要点记录编号得到判定结果(检查要点编号、判定结果编号)；
[0029]4、由于指标库中没有单位检查知识内容及单位检查预期结果，所以接着调用知识库通过参数单位检查要点编号、任务编号得到单位检查知识内容及单位检查预期结果；
[0030]5、根据得到的判定结果调用知识库计算目标设备检查得分；
[0031]6、生成报告，包括等保检查报告、管理问卷检查报告、工具检查记录报告。
[0032]与现有技术相比，本发明的有益效果是:
[0033]1、使得信息系统安全等级保护检查工作客观、规范、公正；
[0034]2、极大降低信息安全等级保护检查工作难度、复杂度；
[0035]3、极大提高信息安全等级保护检查工作效率。
【附图说明】
[0036]图1是行业主管部门及备案单位指标库表结构。
[0037]图2是重要信息系统指标库表结构。
[0038]图3是专项检查指标库表结构。
[0039]图4是等保知识库总体结构。
[0040]图5是面向等级保护的信息系统安全合规性检查工具检查编码规则。
[0041]图6是面向等级保护的信息系统安全合规性检查系统工作流程图。
【具体实施方式】
[0042]首先需要说明的是，本发明涉及数据库技术、网络通信技术以及数据加密技术，是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中，会涉及到多个软件功能模块的应用。申请人认为，如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后，在结合现有公知技术的情况下，本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。凡本发明申请文件提及的均属此范畴，申请人不再一一列举。
[0043]下面结合附图与【具体实施方式】对本发明作进一步详细描述:
[0044]如图6所示，一种面向等级保护的信息系统安全合规性检查方法，包括技术检查工具集和等级保护检查管理系统。技术检查工具集分为U盘工具和在线工具。
[0045]在线工具，集成在等级保护检查管理系统中。其扫描结果保存在等保保护检查管里系统配置的目录。
[0046]U盘工具，是技术检查工具(除在线工具以外)的不同组合。其具备自我防病毒保护功能。检查时，将U盘工具插入检查对象USB 口，扫描结果保存在U盘工具中。
[0047]等级保护检查管理系统支持一键导入在线工具和U盘工具检查结果。
[0048]一、技术检查工具集用于搜集I