专利名称:一种闭环式信息系统安全等级测评工具的制作方法
技术领域:
本发明涉及一种安全等级测评工具,特别涉及一种用于计算机信息安全领域,信息系统安全自动化测评的闭环式信息系统安全等级测评工具。
背景技术:
随着信息技术的迅猛发展和广泛应用,网络与信息系统的基础性、全局性作用日益增强,、言息网络已成为国家和社会发展新的重要战略资源。党中央、国务院始终高度重视信息安全问题,明确指出信息安全保障工作要"实行信息安全等级保护",提高我国计算机信息系统安全保护水平,以确保社会政治稳定和经济建设的顺利进行。
作为信息安全等级保护工作承上启下的关键环节之一,安全等级测评承担着评判信息系统安全现状是否达标的重要任务,是相关单位开展等级保护建设、整改和监督检查的重要参照。同时,安全等级测评也是一项涉及范围广、知识密集、工作强度大的专业技术活动。因此,目前迫切需要一种自动化的测评工具系统来规范和简化等级测评活动,保证安全等级测评的质量和效果。
在全国开展的信息安全等级保护试点工作的经验表明,自动化的安全等级测评工具是确保安全等级测评活动在全国范围内展开的基础和保障。因此,专用安全等级测评工具必将成为信息系统的运营使用单位、信息安全服务机构、信息安全测评机构、重要行业的主管部门以及国家有关信息安全监管部门的必备工具,有效的规范和统一等级测评活动,是信息系统安全等级保护工作不可或缺的保障之一。 ,
从技术角度看,安全等级测评是基于《信息安全技术信息系统安全等级
保护基本要求》(GB/T 22239)的符合性测评,技术指标涉及主机操作系统、数据库管理系统、网络操作系统和应用软件等。从实施角度看,安全等级测评包括符合性检查、结果数据收集和综合分析等步骤;同时,测评的目标设备类型复杂,包括承载应用服务的服务器以及负责数据转发和访问控制的网络互联与安全设备等。
目前,国内的信息系统安全测评活动以风险评估为主,由测评人员根据经验完成手工配置核査,并结合漏洞扫描和渗透测试的结果进行人工综合分析获得测评结果。人工方式对专业技术人员的严重依赖导致测评效率较低且难以大
规模推广;而漏洞扫描工具由于采用了单点接入以及询问-应答的扫描模式,仅提供单链路工作模式,适用于能够反馈扫描器"询问"的信息系统/部件,不适用于提供数据转发服务的信息/部件(如网络互连设备)。国外的安全组织对信息系统安全测评自动化的确究开始的比较早,但是成果主要集中在对结果数据的分析方法上,对原始数据的收集还是依赖调查表格
发明内容
,
本发明的目的在于提供一种闭环式信息系统安全等级测评工具,克服现有工具系统单链路工作模式导致的局限性,支持针对复杂信息系统的等级测评。
为实现上述发明目的,本发明所解决的技术问题可以采用以下技术方案来实现
一种闭环式信息系统安全等级测评工具,其特征在于,它包括一用于驱动所述测评工具牆块对被测信息系统进行综合分析与评价,从而得出安全等级测评结论的测评控制模块;及一包含有各种工具模块的测评工具模块;
所述测评工具模块上设置有测评驱动接口和结果收集接口 ,所述测评工具模块通过测评驱动接口和结果收集接口与所述被测信息系统连接。
在本发明的一个实施例中,所述闭环式信息系统安全等级测评工具处于单链路直连工作模式时,所述测评工具模块的测评驱动接口与被测信息系统的目标设备的对应接口直接连接,通过所述测评驱动接口发送测评用例数据以及收集测评结果数据。
在本发明的一个实施例中,所述闭环式信息系统安全等级测评工具处于闭环工作模式时,所述测评工具模块的测评驱动接口与结果收集接口分别连接到被测信息系统的两侧的边界设备上,通过所述测评驱动接口发送测评用例数据,通过所述结果收集端口收集测评结果数据。在本发明的一个实施例中,所述测评控制模块包括一用于驱动所述测评工具模块中的工具模块进行测评的测评管理模块和一存储测评所需的事实型知识和方法类知识并用于支持所述测评管理模块完成测评决策的测评知识库。
在本发明的一个实施例中,所述测评工具模块包括但不限于信息收集器、安全漏洞扫描仪、渗透测试工具、网络嗅探分析器、性能测试仪。
在本发明的一个实施例中,所述测评驱动接口为RJ-45以太网接口、 SC光纤接口或者802.1 lx无线接口其中之一或之间的组合。
在本发明的一个实施例中,所述结果收集接口为RJ-45以太网接口、 SC光纤接口或者802.11x无线接口'其中之一或之间的组合。
本发明的一种闭环式信息系统安全等级测评工具,所述测评工具模块采用配备测评驱动接口和结果收集接口的双接口设计,有效克服了己有工具系统在结果收集方面的局限,既实现闭环工作模式,又兼容常见的单链路直连工作模式支持针对复杂信息系统的等级测评,促进了信息系统安全等级测评的自动化和规范化,实现本发明的目的。
图1为本发明的闭环式信息系统安全等级测评工具的结构示意图2为本发明的闭环式信m系统安全等级测评工具的单链路直连工作模式
的示意图3为本发明的闭环式信息系统安全等级测评工具的闭环工作模式的示意图; ^
图4为本发明的闭环式信息系统安全等级测评工具的WEB服务器测评的示意图5为本发明的闭环式信息系统安全等级测评工具的步进式测评的示意图。
具体实施方式
'
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
5如图l所示, 一种闭环式信息系统安全等级测评工具l,它包括 一测评控制模块10及一测评工具模块20;测评控制模块10包括一测评管理模块11和一测评知识库12;测评工具模块20上设置有测评驱动接口 21和结果收集接
口 22,测评工具模块20通过测评驱动接口 21和结果收集接口 22与被测信息系统3连接。
测评控制模块10为基于X86架构的工控机系统,运行测评管理模块11和测评知识库12;测评管理模块11是闭环式信息系统安全等级测评工具1的测评逻辑驱动部件。在实施测评时,测评管理模块11在测评知识库12的支持下完成测评决策(如测评对象及指标选择、测评强度的确定、测评方法与工具的选择等),生成测评用例并通过测评驱动端口21作用于被测信息系统3;测评用例执行结束后,测评管理模块11通过结果收集端口22 (或测评驱动端口21)收集结果数据,并基于测评知识库12提供的算法进行综合分析与评价,从而得出信息系统安全等级测评结论。
测评知识库12存储了等级测评自动化所需的事实型知识和方法类知识;其中,事实型知识包含测评对象知识、模板类知识和作业指导书等,方法类知识包括对象选择方法、测评结论评价方法等。
测评工具模块20为采用开放架构设计的测评工具集合,支持基于软件接口的轻量模块安装和基于硬件接口的标准组件安装,分别支持市售主流测评工具以及专用测评工具的集成;在本发明中,测评工具模块20集成的测评工具包括但不限于信息收集器、安全漏洞扫描仪、渗透测试工具、网络嗅探分析器、性能测试仪等。
在本发明Z闭环式信息系统安全等级测评工具1分采用双接口设计,通过配备测评驱动接口 21和结果收集接口 22来实现闭环工作模式,支持针对业务模式为数据转发的信息系统实施的安全测评,或者针对纵深防御路径实施的步进式安全测评,同时兼容常见的单链路直连工作模式。
如图2所示,在本发明的中,闭环式信息系统安全等级测评工具1处于单链路直连工作模式时,单链路直连工作模式主要应用于针对业务模式为挑战-应答的信息系统实施的安全测i,;测评工具模块20的测评驱动接口 21与被测信息系统3的目标设备的对应接口直接连接,通过测评驱动接口 21发送测评用例数据以及收集测评结果数据。
如图3所示,在本发明中,'闭环式信息系统安全等级测评工具1处于闭环 工作模式时,闭环工作模式应用于针对业务模式为数据转发的信息系统实施的 安全测评,或者针对纵深防御路径实施的步进式安全测评;测评工具模块20 的测评驱动接口 21与结果收集接口 22分别连接到被测信息系统3的两侧的边 界设备上,通过测评驱动接口21发送测评用例数据,通过结果收集端口22收 集测评结果数据。
鉴于被测信息系统3网络传输介质的复杂性,本发明通过集成不同的网络 接口模块来实现工具系统对以太网络、光纤网络和无线网络的支持,保证工具 系统的兼容性和使用范围;在本发明中,测评驱动接口 21为RJ-45以太网接 口、 SC光纤接口或者802.11x无线接口其中之一或之间的组合;在本发明中, 结果收集接口 22为RJ-45以太网接口、 SC光纤接口或者802.11x无线接口其 中之一或之间的组合。
本发明的闭环式信息系统安全等级测评工具1为不同安全保护等级的信 息系统提供标准符合性测评。典型的测评场景如图4和图5所示。
如图4所示,针对WEB服务器的安全测评,闭环式信息系统安全等级测 评工具1工作在单链路直连方式下,连接方法如图中所示,闭环式信息系统安 全等级测评工具1的测评驱动接口 21并联接入防火墙的外网接口;在该工作 模式中,测评人员完成测评参数初始化后,后续的测试步骤将在测评管理模块 11和测评知识库12的控制下自'动执行,测评用例的激励数据的发送和反馈数 据的收集由测评驱动接口 21独立完成,收集的测评结果由测评管理模块11调 用测评知识库12中的算法进行分析和计算,形成测评结论。
如图5所示,针对从防火墙到核心服务器的纵深防御路径的安全性测评, 闭环式信息系统安全等级测评工具1工作在闭环工作模式下,通过将测评驱动 接口 21并联接入防火墙外网口,并分别将结果收集端口 22并联接入防火墙内 侧接口以及核心服务器前端相连接,实现设备组合的步进式安全测评;在该工 作模式中,测评人员完成测评参数初始化后,后续的测试步骤将在测评管理模 块11和测评知识库12的控制下自动执行,测评管理模块11首先生成测评用 例,并通过测评驱动接口 21发&激励数据;通过结果收集接口 22接收作用于被测信息系统3 (或部件)后生成的反馈数据;调用测评知识库12中的算法对 相关数据进行分析和计算,形成测评结论。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业 的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中 描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明 还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内,本 发明要求保护范围由所附的权利要求书及其等效物界定。
权利要求
1、一种闭环式信息系统安全等级测评工具,其特征在于,它包括一用于驱动所述测评工具模块对被测信息系统进行综合分析与评价,从而得出安全等级测评结论的测评控制模块;及一包含有各种工具模块的测评工具模块;所述测评工具模块上设置有测评驱动接口和结果收集接口,所述测评工具模块通过测评驱动接口和结果收集接口与所述被测信息系统连接。
2、 如权利要求1所述的闭环式信息系统安全等级测评工具,其特征在于,所述闭环式信息系统安全等级测评工具处于单链路直连工作模式时,所述测评工具模块的测评驱动接口与被测信息系统的目标设备的对应接口直接连接,通过所述测评驱动接口发送测评用例数据以及收集测评结果数据。
3、 如权利要求l所述的闭环式信息系统安全等级测评工具,其特征在于,所述闭环式信息系统安全等级测评工具处于闭环工作模式时,所述测评工具模块的测评驱动接口与结果收集接口分别连接到被测信息系统的两侧的边界设备上,通过所述测评驱动接口发送测评用例数据,通过所述结果收集端口收集测评结果数据。'
4、 如权利要求l所述的闭环式信息系统安全等级测评工具,其特征在于,所述测评控制模块包括一用于驱动所述测评工具模块中的工具模块进行测评的测评管理模块和一存储测评所需的事实型知识和方法类知识并用于支持所述测评管理模块完成测评决策的测评知识库。
5、 如权利要求l所述的闭环式信息系统安全等级测评工具,其特征在于,所述测评工具模块包括但不限于信息收集器、安全漏洞扫描仪、渗透测试工具、网络嗅探分析器、性能测试仪。
6、 如权利要求l所述的闭环式信息系统安全等级测评工具,其特征在于,所述测评驱动接口为RJ-45以太网接口 、 SC光纤接口或者802.11x无线接口其中之一或之间的组合。
7、 如权利要求l所述的闭环式信息系统安全等级测评工具,其特征在于,所述结果收集接口为RJ-45以太网接口 、 SC光纤接口或者802.1 lx无线接口其中之一或之间的组合。
全文摘要
本发明提供一种闭环式信息系统安全等级测评工具,其特征在于,它包括一测评控制模块;及一测评工具模块;所述测评工具模块上设置有测评驱动接口和结果收集接口,所述测评工具模块通过测评驱动接口和结果收集接口与所述被测信息系统连接;所述测评工具模块采用配备测评驱动接口和结果收集接口的双接口设计,有效克服了已有工具系统在结果收集方面的局限,既实现闭环工作模式,又兼容常见的单链路直连工作模式支持针对复杂信息系统的等级测评,促进了信息系统安全等级测评的自动化和规范化,实现本发明的目的。
文档编号H04L12/24GK101562535SQ20091005178
公开日2009年10月21日 申请日期2009年5月22日 优先权日2009年5月22日
发明者朱建平, 明 李, 波 金 申请人:公安部第三研究所