第一章 系统产生背景

近年来，随着我国国民经济和社会信息化进程全面加快，信息系统的基础性、全局性作用日益增。然而，信息系统和信息网络快速发展的同时，其安全问题带来的负面影响也越来越突出，计算机病毒、黑客攻击、利用互联网实施违法犯罪等非传统安全因素日益增多。我国政府对于信息的安全防护高度重视。

1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》 明确规定，“计算机信息系统实行安全等级保护”。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

2004年公安部等四部委共同会签印发了指导相关部门实施信息安全等级保护工作的纲领性文件《关于信息安全等级保护工作的实施意见》。该文件对我国信息系统安全等级保护工作的重要意义做了明确的阐述，提出了信息安全保护制度建设的原则和基本内容，明确了实施信息安全等级保护的职责分工、工作要求和实施计划。2007年出台的《信息安全等级保护管理办法》在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工作基础上，进一步明确了信息安全等级保护制度的基本内容、流程及工作要求，信息系统定级、备案、安全建设整改、等级测评的实施与管理，信息安全产品和测评机构选择等，为开展信息安全等级保护工作提供了规范保障。，随后《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等一系列信息安全等级保护国家标准相继颁布。

2009年，在全国信息系统安全等级保护定级工作基础上，公安部又印发了《关于开展信息安全等级保护安全建设整改工作的指导意见》，开始部署和开展信息系统等级保护安全建设整改工作。2009年下半年公安部组织各部委和各行业开展了信息安全等级保护安全建设整改工作的集中培训，明确了我国信息安全等级保护安全建设整改工作的工作目标、工作对象、工作内容和要求，并对具体的工作流程和工作方法提出了指导意见。要求各行业利用三年时间，通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评等三项重点工作，落实等级保护制度的各项要求。 2010年，公安部又印发了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》，该文件提出了等级保护测评体系建设和等级测评工作的目标和工作内容。

由上述可以看到，我国信息安全等级保护工作已经全面展开。我国的信息安全等级保护工作将成为我国未来数十年国家信息安全建设的重点工作内容，并将通过持续开展和循环改进，成为国家信息安全建设的一项基本制度和重点工作。，也将是一项非常艰巨，工作量非常庞大的工作。

统观我国信息安全等级保护工作的各个环节（如重要信息系统定级备案、安全建设整改、风险评估、等级测评、监督检查等），在信息安全管理制度建设、技术体系建设和管理体系建设等关键活动中，必然离不开技术工具和管理工具的支撑。相关部门和机构也陆续研发了多种工具，如公安部开发了等级保护定级备案管理平台，为重要信息系统的定级备案工作开展提供了工具支持。天融信公司在这样的背景下也开发推出了信息安全等级保护评估系统，为信息安全等级测评机构或企业自行开展等级测评工作提供了工具支持。

第二章 等级保护建设过程常见问题

由于信息安全保障工作的专业性和复杂性，各个企事业单位在开展等级保护合规建设的过程中都不同程度遇到了诸多问题。

天融信在通过为各政企单位进行等级保护合规建设的过程中发现，70%的单位不了解等级保护建设工作如何开展，80%的单位不熟悉、理解相关标准要求，80%的单位缺乏有效的工作手段来应对合规测评检查，大多数单位缺乏相关的专业知识和解决方案。主要可以归纳为以下几点：

 不清楚等级保护工作从何入手

 不明确信息系统的合规状况

 整改建设工作责任不明确

 复杂的信息系统安全等级保护文件管理

 信息安全等级保护工作效果展示不清

 人手不足，预算有限

第三章 天融信信息安全等级保护评估系统

三.1 系统简介

天融信经过多年信息安全咨询以及等级保护建设经验的积累，推出了具有自主知识产权、适用于我国信息安全等级保护工作业务管理的信息安全等级保护评估系统平台。

该系统覆盖等级保护工作的信息系统定级、评估、规划、实施和管理等全部过程，用户可以按照系统内置流程进行相关操作在组织内开展和落实信息系统安全等级保护工作，也可以在天融信信息安全咨询顾问的支持下，以该系统为辅助工具在组织内开展和落实信息系统安全等级保护工作。

通过该系统，可对信息安全等级保护工作中定级、评估、备案、安全建设整改、等级测评和安全检查等各个工作环节中的信息和数据进行集中管理和统计分析，并对上述各个工作环节的工作流程进行规范化管理。通过该系统的建设，可以帮助用户解决一下问题：

1. 信息与数据缺集中管理

通过本系统的建设，极大提高等级保护工作效率，解决常规的各种信息和数据只能依靠Excel管理的问题

2. 约束工作流程

极大提高等级保护工作流程的规范性。有效解决因人而异、因时而异、因事而异的工作状态，各项工作流程缺乏必要的约束的问题。

3. 提供有效的考核依据

本系统供标准化、流程化的办公平台，为等级保护工作的考核提供有效的数据支持。

4. 统一指挥、协调信息安全建设整改工作

本系统为各行业的安全建设整改工作提供了一个统一指挥和协调的工作平台，将有效解决安全建设整改工作的指挥和调度困难问题。

三.2 系统架构

软件系统采用J2EE的体系架构，主要采用B/S架构，控制和浏览终端均无需安装客户端软件。系统的不同功能模块可以灵活地以服务的形式部署在不同主机上。软件采用的系统架构具有与平台无关性，便于合理分配现有资源和进行系统性能调优。

系统架构如下图所示：

word/media/image1.gif

系统逻辑架构图

系统业务架构示意图

三.3 系统功能

三.3.1 基础信息管理

对系统的基本信息、系统的主管单位信息等进行记录和管理，同时按照主机设备，网络设备，安全设备，中间件和数据库等五大类收集管理系统相关资产信息。

管理维护信息系统安全等级保护工作相关的资料文档，包括有相关标准、政策文件库，上级通知文件，本单位相关制度等。

系统提供信息系统安全等级保护相关的政策法规、国家标准，包括各主管部门历次发布文件、管理技术相关要求标准、信息系统安全等级保护相关指南（定级、实施、基本要求等）。

三.3.2 信息系统的定级与备案

信息系统定级：依照《信息系统安全等级保护定级指南》，软件内置“信息系统定级向导“，从业务信息安全和系统服务两个方面分析，确定安全等级和保护基线，自动生成《定级报告》，辅助完成系统定级工作。

信息系统备案：软件系统根据单位信息和系统定级情况，自动生成符合公安机关备案要求的《信息系统备案表》。

定级备案资料库：汇总各个信息系统的定级、备案信息，包括《定级报告》、《备案表》等系统定级相关材料等。

三.3.3 系统测评

评估指标选定：根据信息系统的安全等级和保护基线，制定差距评估方案，包括人员分工情况，项目负责人设置，并将结果报送领导审批。

控制项评估：根据评估方案中的人员分工，相关责任人员登录到系统内，实现逐项的在线评估。系统内部知识库帮助理解控制项的具体要求，使用户了解满足该控制项的意思和最佳实践。同时，系统提供答题工具支持远程用户的离线作业。

差距分析：将差距分析结果形成丰富而详细的图型及报表，如：总体符合度情况统计，各个层面符合度情况统计、差距项列表等。系统自动生成word版的信息系统差距评估报告。

三.3.4 建设整改

整改需求分析：归并各个信息系统历次评估后的不符合项和部分符合项，形成一套总体的信息安全需求，为制定整改方案设计、整改任务规划奠定基础。

任务职责分配：建立相关整改任务时，要明确任务责任人、责任部门、预计开始完成时间、任务重要性。规划蓝图：系统提供对整改任务总体规划的查询和展现，从时间安排、任务所属安全域和任务类型等几个角度来统计汇总整改实施过程中的相关任务。

三.3.5 整改实施

任务执行进度：任务责任人在系统中填报整改任务执行进度，信息安全负责人对全部任务的执行过程进行状态跟踪。整改落实情况体现：从各个部门、安全域、任务类别、差距项、任务重要性、风险级别、预算执行情况等多维度、多视角来查看整改任务的落实情况，监督、敦促信息系统安全等级保护整改工作的落实，实现信息系统安全等级保护建设工作的常态化运行。

三.4 系统特点

 丰富的知识库：平台具有等级保护政策标准库、安全要求指标库、安全实践参考库、安全技术方案库、安全管理制度库、安全整改方案库、安全意识方案库、行业信息安全方案库等信息安全相关知识经验库。

 操作简便流程清晰：平台为操作人员提供友好易用的界面，清晰的信息系统安全等级保护工作推进流程，将复杂没有头绪的信息系统安全等级保护管理工作进行统一的归纳管理。

 软件与服务相结合：天融信可提供专业的信息系统安全等级保护咨询服务和运维服务，

服务与产品无缝结合，适合各种类型和规模的企事业单位。

 管理责权分立：支持多用户，多角色管理，不同角色不同权限。

 全面满足各个行业需求：平台基于国家信息系统安全等级保护基本要求，同时融合了各行业要求，全面满足金融、证券、保险、电子政务、军工等企事业单位等级保护测评管理需求。

 清晰的展现系统合规状态：以模拟测评的方式，对当前信息系统进行模拟测评机构检查的专业化差距评估。差距评估结果能够准确的反映出信息系统与等级保护要求之间差距，为后续的整改建设、应对测评检查提供依据。同时，周期性的差距评估结果能够体现出信息系统合规程度不断提高的过程，从而很好的展现信息系统安全等级保护工作效果。支持系统离线测评信息处理

 多样的效果展示：通过图形化、多视角地汇总、统计、报告相关信息，可以直观地呈现、展示等级保护工作的状态和效果。

 满足等保三级测评项指标要求

第四章 系统配置要求

第五章 关于天融信

天融信是中国领先的信息安全产品与服务解决方案提供商。基于创新的“可信网络架构”以及业界领先的信息安全产品与服务，天融信致力于改善用户网络与应用的可视性、可用性、可控性和安全性，降低安全风险，创造业务价值。
构建可信网络安全世界
随着人类文明的进步，全球已经进入到信息化时代，并带给我们前所未有的高科技高品质生活，同时也带给我们前所未有的信息安全危机。面对日益严峻的信息安全形势，致力于全面实现信息安全性与可用性的天融信公司，正朝着成为“民族安全产业的领导者、领先安全技术的创造者、世界级信息安全提供商”这一目标坚实迈进。
面对鱼龙混杂、混沌无序、创新不断的网络世界，从用户、应用、内容、安全、服务、位置、时间七个层面，天融信正不断构建强大的网络感知体系。有感知才有安全，从终端、管道到云端，天融信致力于全面保护用户信息，为客户构建可信网络及安全世界。
中国安全硬件市场领导者
从1996年率先推出填补国内空白的自主知识产权防火墙产品，到自主研发的可编程ASIC安全芯片，到云时代超百G机架式“擎天”安全网关，天融信坚持自主创新完成了国产防火墙跟随、跟近甚至超越国际知名产品的过渡。连续10年以上位居中国信息安全市场防火墙、安全网关、安全硬件第一，天融信始终引领和见证着中国信息安全产业发展的每一个里程碑。
快速成长的安全管理业务
不仅仅是防火墙，不仅仅是保护网络边界，天融信安全管理软件业务快速成长，并在进入的所有领域获得或者正在获得领先。天融信的终端虚拟化技术帮助客户构建一个可控的、可信的关键网络应用环境，彻底避免了来自于互联网的安全威胁对网络关键应用及数据的灾难性影响。统一用户及终端安全管理帮助客户有效管理多种应用，实现多应用环境下的统一用户管理以及用户终端数据保护，并涵盖了快速增长的移动智能终端。合规管理帮助客户更好的实现数据库、业务、网络及运维的审计与监控。涵盖安全设备管理、应用性能管理、数据安全管理、安全事件管理等功能的大数据安全分析与挖掘平台，正成为天融信下一代安全管理平台、互联网安全云服务平台的核心。

互联网安全云服务的开拓者
早在2004年，天融信就成立了“天融信安全运维中心”，为企业用户提供安全运维外包服务，这是国内第一个商业化的安全运维服务组织。2007年起，天融信分别与电信、联通合作，成立了两家安全运维中心，充分利用双方的优势资源为广大企业客户提供安全运维服务。2012年天融信互联网安全云服务中心成立，可为全国范围内的企业用户提供7*24小时远程安全事件监控、分析、预警和响应服务，同时可提供本地化的现场运维服务，帮助用户快速、有效地解决安全问题。经过八年多的探索与发展，天融信已经累计为5800多家企业提供过远程安全运维服务。
实现安全的业务交付
天融信不仅帮助客户保护网络及信息安全，还帮助客户实现安全的、快捷的业务交付，提升业务价值。上网行为管理、精确的应用流量控制以及负载均衡帮助客户高效地管理带宽的使用，保障关键应用的性能，抑制非关键应用对带宽的占用，并实现对互联网内容访问的有效控制，提高员工工作效率。广域网加速、安全网关内置的加速模块及云加速软件可以加速以Web为代表的众多互联网应用服务，并显著提高长距离访问、跨运营商访问及无线网络访问的用户体验。
安全研究与前沿探索
国内首屈一指的漏洞挖掘、攻防分析、软件代码分析、安全研究、安全服务人员负责跟踪和分析互联网的安全威胁形势，为所有天融信公司产品提供安全技术、内容及支持，实时保证了安全产品的有效性。自动化的互联网应用与内容分析平台及持续人员投入保障天融信各类产品拥有领先的应用识别与内容分析能力。可编程 ASIC安全芯片及高性能加密芯片的研制开发为相关安全硬件产品提供了强大的动力，实现了安全产品的高性能。云计算、工业系统、物联网、IPV6、 WLAN等新兴产业或业态的安全研究也取得众多阶段性成果或者局部应用。
技术创新引领发展
虚拟化及安全技术的创新性研究将极大地提升终端安全及云端安全的防护水平。国内可靠性最高、性能最强、网络适应性最好的网关专用安全操作系统保证了天融信防火墙在银行、证券、电力等关键行业的大规模应用与高占有率。高度集成的一体化智能过滤引擎技术能够在一次数据拆包过程中，对数据进行并行深度检测，保证了协议深度识别的高效性。基于更大规模、更多种类的数据采集、存储、处理、关联分析的安全管理平台将真正成为客户安全运维与管理神经中枢。
国家安全企业责任
2008年奥运会安全保卫工作核心技术支撑单位、2010年世博会网络安全神经中枢系统建设单位、2010年广州亚运会信息系统（AGIS）网络安全系统集成商、2011年天宫一号与神州八号对接工程安全管理系统提供商及2012年国家下一代互联网安全专项防火墙、VPN、互联网审计的承接单位……，天融信在多个重要行业信息系统或项目建设中成为主力军，并不断践行着维护国家信息安全的使命与责任。
全球视点中国领先
网络无界、安全无限，天融信正以全球视点，推动安全业务的稳步发展。天融信是微软MAPP合作伙伴，可第一时间获得微软相关漏洞，同时天融信还是中国第一批可以查看微软源代码的企业。天融信是INTEL全球信息安全合作伙伴，并在北京建有联合实验室，致力于INTEL架构平台在安全领域的开拓性研究。天融信还在美国硅谷建设了中国第一个海外安全分析与监测实验室，全面跟踪国际互联网安全态势。
正是对技术创新的不断追求以及对信息安全事业的不懈努力，为天融信赢得了无数荣誉，也确立了天融信在中国信息安全市场的领先位置。中关村10大软件品牌企业、中国电子政务100强企业、德勤亚太高成长100强企业、中国软件100强企业、《福布斯》中国最具潜力非上市企业、国家规划布局重点软件企业、国家重点高技术企业等等，既是对天融信的肯定，又是对天融信的激励。回顾过去、放眼未来，天融信开启、探索、引领信息安全市场，全力帮助客户构建安全能力，提升业务价值。

word/media/image10.gif

信息安全等级保护评估系统产品白皮书V1.1