面向信息安全等級(jí)測(cè)評(píng)的安全配置核查系統(tǒng).pdf

1、隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，我國(guó)信息化的進(jìn)程也不斷加快，如何切實(shí)有效的保障信息安全已經(jīng)成為我國(guó)信息化建設(shè)的重要組成部分，信息安全等級(jí)保護(hù)制度已經(jīng)成為國(guó)家的基本制度。等級(jí)測(cè)評(píng)是信息安全等級(jí)保護(hù)實(shí)施中的重要環(huán)節(jié)，在等級(jí)測(cè)評(píng)實(shí)施過(guò)程中，傳統(tǒng)的人工單點(diǎn)檢測(cè)方式任務(wù)繁重，難以保證結(jié)果的效率和完備性，而目前已有的自動(dòng)化配置核查工具，大多采用的是風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)和模型，無(wú)法應(yīng)用到信息安全等級(jí)測(cè)評(píng)中。因此需要一套能針對(duì)等保指標(biāo)設(shè)計(jì)，面向等級(jí)測(cè)評(píng)的自

2、動(dòng)化安全配置核查以及符合性判定的系統(tǒng)來(lái)輔助人工作業(yè)，提高等級(jí)測(cè)評(píng)過(guò)程的效率和完備性。
　　針對(duì)這一需求，本文在對(duì)國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)和安全基線模型進(jìn)行深入細(xì)致的總結(jié)分析，研究比對(duì)了當(dāng)前信息安全等級(jí)測(cè)評(píng)的相關(guān)關(guān)鍵技術(shù)的基礎(chǔ)上，依據(jù)信息安全等保指標(biāo)體系，以層次化分解的方式構(gòu)建了一套面向等級(jí)測(cè)評(píng)的安全基線知識(shí)庫(kù)。該基線庫(kù)涵蓋了多數(shù)主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和常見(jiàn)應(yīng)用平臺(tái)，基于對(duì)不同級(jí)別的等保指標(biāo)要求的理解和各目標(biāo)系統(tǒng)資深特點(diǎn)，在安全極限知識(shí)

3、庫(kù)中規(guī)定了其應(yīng)具有的安全配置，進(jìn)而基于這些安全配置構(gòu)造了相應(yīng)的配置核查列表集合，并衍生出相應(yīng)的自動(dòng)化核查腳本和驗(yàn)證規(guī)則。
　　圍繞該安全基線知識(shí)庫(kù)，借鑒插件化開(kāi)發(fā)和自動(dòng)測(cè)試的技術(shù)原理與思想，本文設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)面向信息安全等級(jí)測(cè)評(píng)的安全配置核查系統(tǒng)。通過(guò)后臺(tái)維護(hù)系統(tǒng)對(duì)等保指標(biāo)、安全基線知識(shí)庫(kù)和配置核查腳本進(jìn)行維護(hù)，通過(guò)主運(yùn)行框架連接到目標(biāo)系統(tǒng)，加載核查腳本完成自動(dòng)配置核查。經(jīng)過(guò)實(shí)際測(cè)評(píng)工作中使用驗(yàn)證，該系統(tǒng)可以有效節(jié)省傳統(tǒng)人工測(cè)評(píng)