等级保护检查工具箱技术白皮书

【文档密级：限制分发】明鉴®信息安全等级保护检查工具箱( 监管版 )产品白皮书杭州安恒信息技术有限公司二〇一四年十月目录1.背景 (3)2.产品概述 (4)2.1.产品概述 (4)2.2.产品硬件组成 (4)2.3.产品功能概要 (5)3.产品介绍 (7)3.1.产品功能结构 (7)3.1.1平台管理模块 (7)3.1.2任务执行模块 (7)3.1.3检查功能模块 (8)3.1.4工具检查模块 (8)3.1.5取证模块 (8)3.2.检查工具 (8)3.2.1标配工具 (8)3.2.2选配工具 (11)3.3.辅助检查设备 (12)4.产品特点 (13)4.1.前瞻性、落地性 (13)4.2.便携性、易用性 (13)4.3.专业性、标准性 (13)4.4.规范性、扩展性 (13)4.5.安全性、保密性 (13)5.客户受益 (14)1.背景从1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》，我国第一次提出信息系统由公安部门牵头实行等级保护开始。

截止目前,等级保护工作已经形成主管明确、标准完善、流程清晰、执行积极的良好态势。

各方已经形成共识。

等级保护工作是关系到国家安全、社会稳定、经济命脉、法人利益的战略性系统工程。

等级保护的具体工作是一个针对信息系统“定级、备案、测评、整改、安全自查和监督检查”的过程。

过去对信息系统测评的方法主要是采用访谈，专业扫描工具扫描，然后测评人员再根据各个专业工具的测评结果，结合访谈内容，依据等级保护基本要求，为每一个被测评的信息系统编写、整理、分析出具报告。

这种工作方法耗时、耗力，对人员专业要求高，测评结果主观化，结果不可管理。

伴随等级保护工作广泛推行，公安部门对等级保护过程的管理和监督检查环节，以及测评机构对信息系统的测评环节越来越成为等级保护工作中的重点和难点。

具体表现在：⏹公安网安民警的等级保护监管工作主要靠访谈和询问，缺乏对信息系统安全性的客观了解；⏹公安网安民警技术水平参差不齐，检查结果难以被被检查单位认可；⏹原始信息系统陈旧、无法对收集的数据进行汇总、统计、分析和关联；⏹公安网安部门缺乏符合标准的专业测评工具，无法对重点信息系统进行全方面检查和抽查；⏹等级保护工作信息化水平差，数据质量低，格式不统一，大量错填漏填现象⏹等级保护工作共享程度低，无法实现信息整合，导致对重要信息系统现状发展动态把握不准确；拥有一套全面满足公安网安部门民警对重要信息系统监管监察工作需要的集成工具，对于公安部门显得尤为迫切。

信息安全等级保护目标白皮书信息安全等级保护目标白皮书（覆盖等保二级和三级）目录1．第二级等保安全目标 (3)1.1. 技术目标 (3)1.2. 管理目标 (5)2．第三级等保安全目标 (7)2.1. 技术目标 (7)2.2. 管理目标 (10)3．等级保护二级、三级要求比较 (13)3.1. 技术要求比较 (13)3.2. 管理要求比较 (27)1．第二级等保安全目标第二级信息系统应实现以下目标。

1.1.技术目标O2-1. 应具有抵抗一般强度地震、台风等自然灾难造成破坏的能力O2-2. 应具有防止雷击事件导致重要设备被破坏的能力O2-3. 应具有防水和防潮的能力O2-4. 应具有灭火的能力O2-5. 应具有检测火灾和报警的能力O2-6. 应具有温湿度自动检测和控制的能力O2-7. 应具有防止电压波动的能力O2-8. 应具有对抗短时间断电的能力O2-9. 应具有防止静电导致重要设备被破坏的能力O2-10. 具有基本的抗电磁干扰能力O2-11. 应具有对传输和存储数据进行完整性检测的能力O2-12. 应具有对硬件故障产品进行替换的能力O2-13. 应具有系统软件、应用软件容错的能力O2-14. 应具有软件故障分析的能力O2-15. 应具有合理使用和控制系统资源的能力O2-16. 应具有记录用户操作行为的能力O2-17. 应具有对用户的误操作行为进行检测和报警的能力O2-18. 应具有控制机房进出的能力O2-19. 应具有防止设备、介质等丢失的能力O2-20. 应具有控制机房内人员活动的能力O2-21. 应具有控制接触重要设备、介质的能力O2-22. 应具有对传输和存储中的信息进行保密性保护的能力O2-23. 应具有对通信线路进行物理保护的能力O2-24. 应具有限制网络、操作系统和应用系统资源使用的能力O2-25. 应具有能够检测对网络的各种攻击并记录其活动的能力O2-26. 应具有发现所有已知漏洞并及时修补的能力O2-27. 应具有对网络、系统和应用的访问进行控制的能力O2-28. 应具有对数据、文件或其他资源的访问进行控制的能力O2-29. 应具有对资源访问的行为进行记录的能力O2-30. 应具有对用户进行唯一标识的能力O2-31. 应具有对用户产生复杂鉴别信息并进行鉴别的能力O2-32. 应具有对恶意代码的检测、阻止和清除能力O2-33. 应具有防止恶意代码在网络中扩散的能力O2-34. 应具有对恶意代码库和搜索引擎及时更新的能力O2-35. 应具有保证鉴别数据传输和存储保密性的能力O2-36. 应具有对存储介质中的残余信息进行删除的能力O2-37. 应具有非活动状态一段时间后自动切断连接的能力O2-38. 应具有网络边界完整性检测能力O2-39. 应具有重要数据恢复的能力1.2.管理目标O2-40. 应确保建立了安全职能部门，配备了安全管理人员，支持信息安全管理工作O2-41. 应确保配备了足够数量的管理人员，对系统进行运行维护O2-42. 应确保对主要的管理活动进行了制度化管理O2-43. 应确保建立并不断完善、健全安全管理制度- 10 -O2-44. 应确保能协调信息安全工作在各功能部门的实施O2-45. 应确保能控制信息安全相关事件的授权与审批O2-46. 应确保建立恰当可靠的联络渠道，以便安全事件发生时能得到支持O2-47. 应确保对人员的行为进行控制O2-48. 应确保对人员的管理活动进行了指导O2-49. 应确保安全策略的正确性和安全措施的合理性O2-50. 应确保对信息系统进行合理定级O2-51. 应确保安全产品的可信度和产品质量O2-52. 应确保自行开发过程和工程实施过程中的安全O2-53. 应确保能顺利地接管和维护信息系统O2-54. 应确保安全工程的实施质量和安全功能的准确实现O2-55. 应确保机房具有良好的运行环境O2-56. 应确保对信息资产进行标识管理O2-57. 应确保对各种软硬件设备的选型、采购、发放、使用和保管等过程进行控制O2-58. 应确保各种网络设备、服务器正确使用和维护O2-59. 应确保对网络、操作系统、数据库管理系统和应用系统进行安全管理O2-60. 应确保用户具有鉴别信息使用的安全意识O2-61. 应确保定期地对通信线路进行检查和维护O2-62. 应确保硬件设备、存储介质存放环境安全，并对其的使用进行控制和保护O2-63. 应确保对支撑设施、硬件设备、存储介质进行日常维护和管理O2-64. 应确保系统中使用的硬件、软件产品的质量O2-65. 应确保各类人员具有与其岗位相适应的技术能力O2-66. 应确保对各类人员进行相关的技术培训O2-67. 应确保提供的足够的使用手册、维护指南等资料O2-68. 应确保内部人员具有安全方面的常识和意识O2-69. 应确保具有设计合理、安全网络结构的能力O2-70. 应确保密码算法和密钥的使用符合国家有关法律、法规的规定O2-71. 应确保任何变更控制和设备重用要申报和审批，并对其实行制度化的管理O2-72. 应确保在事件发生后能采取积极、有效的应急策略和措施O2-73. 应确保信息安全事件实行分等级响应、处置2．第三级等保安全目标第三级信息系统应实现以下目标。

技术白皮书Symantec Storage Solution™ V4STORAGE SOLUTION存储及高可用解决方案(VERSION: GA 2.0)概述：VERITAS虚拟化产品优化存储架构 (4)1. Qoss (5)1.1 当今的在线存储 (5)1.1.1 技术选择 (5)1.1.2 新一类磁盘阵列 (5)1.1.3 问题综述 (5)1.2传统的文件管理策略 (6)1.2.1 文件系统和存储设备 (6)1.2.2 多个文件系统的局限性 (6)1.2.3 更微妙的影响：在文件系统中不同的数据类型 (7)1.3 VERITAS Storage Foundation多卷文件系统 (7)1.3.1 VERITAS卷管理器 (7)1.3.2 VxVM卷组 (8)1.4 在多卷文件系统中的文件位置 (9)1.4.1 定义数据分配策略并使之与卷相结合 (9)1.4.2 采取策略将元数据从用户数据中分离 (10)1.4.3 多用户数据卷 (11)1.4.4 为文件系统日志分配卷 (11)1.4.5 在多卷文件系统中管理存储空间 (12)1.5 在多卷文件系统中控制存储分配 (12)1.5.1 控制文件位置 (13)1.5.2 控制文件组的定位 (13)1.6 文件重定位 (14)1.6.1 文件重定位标准 (15)1.6.2 定义文件重定位策略 (15)1.6.3 对重定位文件造成影响的分析 (18)1.6.4 自动文件重定位 (19)1.7 分配策略和存储检查点 (20)1.8 封装卷 (21)1.9 QoSS带来的好处 (21)1.10 应用——特殊的文件重定位 (22)1.11 结论 (23)2 Storage Checkpoint：为用户和管理员准备的“回滚”键 (24)2.1 概述 (24)2.2 存储检查点 (24)2.2.1 业务优势 (24)2.2.2 技术优势 (24)2.3 存储检查点最佳运用实例一览 (25)2.3.1 可用性 (25)2.3.2 安装 (25)2.3.3 命名 (25)2.3.4 空间管理 (25)2.3.5 加载 (25)2.3.6集群 (25)2.4 结论 (25)2.5 附录 (25)2.5.1 使用检查点 (25)2.5.2用于检查点管理的Perl Script程序（与cron同时使用） (26)3 Portable Data Container：在异构平台之间共享数据 (33)3.1 VERITAS 可迁移数据容器 (33)3.2 Oracle可迁移表空间 (34)3.3 利用VERITAS PDC操纵Oracle可迁移表空间 (34)3.3.1 自包含数据集合 (34)3.4 生成Oracle可传送数据集合 (34)3.4.1 转换字节顺序 (34)3.4.2 传送数据 (34)3.4.3 提取目标数据库系统 (35)3.5 总结 (35)4 Storage Foundation For Database：数据库存储性能解决方案 (36)4.1 灵活的存储基础架构 (36)4.1.1 VERITAS 企业管理员控制台 (36)4.1.2 自动优化数据库读写Direct I/O (36)4.1.3 动态多路径 (36)4.2 数据库加速 (36)4.3 数据库文件迁移 (36)4.3.1 存储服务的质量 (37)4.3.2 在线存储迁移 (37)4.4（Extent-Based）的存储空间分配 (37)4.5 脱机处理 (37)4.6存储映射 (37)4.7 解决真实世界的性能问题 (39)4.8总结 (44)5 FlashSnap：基于“卷”的跨平台快照技术 (45)6 Intelligent Storage Provisioning（ISP）：自动化的存储管理 (46)7 成功案例 (47)概述：VERITAS虚拟化产品优化存储架构IT技术的不断创新和提高可以推动业务的发展。

SGS5600技术白皮书北京赛门铁克信息技术有限公司2006年2月目录第一章 SGS5600概述 (2)第二章 SGS5600之防火墙、VPN功能说明 (4)第三章 SGS5600之防病毒功能说明 (5)第四章 SGS5600之内容过滤及反垃圾邮件功能说明 (6)第五章 SGS5600之入侵检测及入侵防护功能说明 (8)第六章 SGS5600之管理特性说明 (10)第七章 SGS5600实际应用案例研究 (12)附录一：SGS5600主要技术特点列表 (14)附录二：SGS5600各型号设备参数对照表 (17)第一章 SGS5600概述2001年7月，红色代码的出现震撼了整个Internet世界，它首次将传统病毒原理和传统黑客攻击原理巧妙的结合在一起，将病毒复制、蠕虫蔓延、漏洞攻击、DDoS攻击、遗留后门等等攻击技术综合在一起，开创了一类新型网络威胁模式――混合威胁（Blended Threats ）。

混合威胁标志了网络威胁发展的新阶段。

近期，以冲击波为代表的一系列混合威胁又表现出一个新的发展趋势，即传播非常迅速。

混合威胁的攻击手段多样决定了我们选择的防护手段必须全面，必须防病毒、防黑客多技术综合。

而混合威胁传播速度迅速，将让所有基于响应的安全技术的防护效果变得越来越差，甚至失去作用，因此必须要有智能而不基于响应的防护技术。

Symantec Gateway Security 5600 是赛门铁克最新一代的防火墙设备（如下图示），它正是为了满足用户应对当前网络威胁的需求而推出的力作。

作为业界最全面的防火墙设备，它将全封包检查防火墙、基于协议异常和基于特征的入侵防御及入侵检测引擎、获奖的病毒防护、基于 URL 的内容过滤、反垃圾邮件以及符合 IPsec 的VPN技术无缝地集成在一起。

当数据包通过Symantec Gateway Security 5600时，Symantec Gateway Security 5600运用各项安全防护技术对其进行检查、处理和控制。

计算机终端保密检查检查工具技术白皮书目录1.研发背景 (1)2.适用范围 (1)3.涉密信息系统检查取证工具的技术要求 (1)4.产品功能 (2)4.1涉密计算机检查 (3)4.2非涉密计算机检查 (4)4.3增强功能 (5)5.产品优势 (6)6.典型用户 (7)7.性能指标 (7)8.检测环境 (9)1.研发背景国家保密机关为例加强对涉密计算机的管理已颁布了许多政策和法规，这些政策和法规在实际工作中执行的怎么样呢？同时只有发现了问题，才能寻找解决问题的办法，进而有效的教育涉密人员自觉遵守保密的规定。

因此，需要一款有效的检查取证工具。

它的有效性不仅要体现保密政策的要求，而且还能发现隐藏的问题；不仅性能先进，而且还要可靠和易用。

为此我们的研发人员认真的研究了国家对涉密计算机的管理政策，大量走访了各级保密管理人员，力求以公司技术优势去满足这些需求，从而奉献出一款有效的检查取证工具。

2.适用范围该系统为安全保密检查人员提供了强大的技术手段，按照“上网不涉密、涉密不上网”的原则，能够准确、全面、有效地检查出计算机存在的违规行为，辅助安全保密检查人员提出安全防护完善意见。

该工具适用于信息安全执法机构及其它指定的政府及关键部门的专用检测工具，具有极大的专业性和专用性。

3.涉密信息系统检查取证工具的技术要求以专用介质为载体的涉密信息系统检查取证工具首先必须满足国家关于介质安全性的要求，消除介质使用中泄密隐患，确保国家秘密安全；其次是要准确无误地检查出涉密计算机的各种违规操作痕迹，检查结束后能自动生成检查报表，为检查取证提供有力证据。

1.采用符合要求的专用移动存储介质，提高介质自身的安全防护能力由于涉密信息系统检查取证工具需要基于一个可移动的存储设备为载体，而普通移动存储介质无法满足涉密信息系统的特殊要求，应逐步淘汰或禁止使用，工具应采用具有安全保密功能的专用介质；2.对于“物理隔离”要求的检查标准要求涉密计算机在任何条件下，必须处于物理隔离状态，严禁接入与国际互联网及公共信息网。

网络安全等级保护：深信服安全感知平台白皮书_V3.0深信服安全感知平台白皮书文档密级：公开深信服科技安全感知平台（Security Intelligence Platform）产品白皮书网络安全等级保护目录1. 引言 (4)1.1背景 (4)1.2新的威胁 (5)1.3应对措施 (5)2. 设计理念 (5)2.1产品理念 (5)2.2产品定位 (6)2.3方案设计 (7)2.4整体价值 (7)3. 产品架构 (9)3.1分层设计 (9)3.2大数据架构 (11)3.3产品组件 (13)4. 关键技术应用 (15)4.1 UEBA行为画像 (15)4.2追踪溯源可视化 (16)4.2.1流量可视 (16)4.2.2威胁追捕 (17)4.2.3统一检索 (17)4.3机器学习技术使用 (17)4.3.1精准的已知威胁检测 (18)4.3.2发现内鬼和未知威胁 (18)4.4威胁深度分析 (19)4.4.1攻击事件深度挖掘 (19)4.4.2成功的攻击事件检测 (20)4.5威胁情报结合 (20)4.5.1热点事件 (21)4.5.2情报来源 (21)5. 功能价值呈现 (22)5.1有效数据提取 (22)5.2全面的实时监测体系 (24)5.3.1脆弱性感知 (24)5.3.2外部威胁感知 (25)5.3.3内部异常感知 (26)5.3多维度的安全可视预警 (28)5.3.1宏观决策视角 (28)5.3.2微观运维视角 (31)5.4易运营的运维处置 (32)5.4.1应急处置 (32)5.4.2影响面分析 (34)5.4.3主动溯源 (35)5.4.4会话分析 (36)5.5可感知的威胁告警 (37)5.6实用工具箱 (38)5.6.1等保管理 (38)5.6.2情报与数据共享 (39)5.6.3绿色查杀工具 (40)6. 产品部署 (40)6.1流量监测（高级威胁监测） (41)6.2安全运营中心 (42)6.3作为第三方SOC/SIEM的流量检测组件 (43)1.引言1.1背景互联网技术的飞速发展使得互联网承载的价值越来越多、网络的规模和复杂度越来越大，因此，黑客有了越来越多的动机和手段来窃取企业的机密信息和资源，甚至是对企业资产造成破坏。

仪征市公安局网安大队信息安全等级保护检测工具箱主要技术指标及要求一、投标人资质要求：1、符合《政府采购法》第二十二条规定；2、原厂商本产品具有自主知识产权，并提供相关证书；3、按照公安部《信息安全等级保护监测工具箱产品目录》和江苏省公安厅《江苏省信息安全等级保护检查工具箱选型目录》，北京锐安科技有限公司、江苏国瑞信安科技有限公司、杭州安恒信息技术有限公司、北京圣博润高新技术股份有限公司四家公司符合投标资质；4、本项目不接受代理或联合体投标。

三、软件基本技术参数及要求：（5项以上不完全满足做废标处理）1、工具箱监察管理系统功能1.1 检查计划导入1.1.1检查信息：检查单位信息、检查计划名称、检查计划起止时间等1.1.2检查表单模板信息：行业主管部门（含中央国家机关）检查表单模板、备案单位检查表单模板、信息系统（含网站）检查表单模板等相关信息1.1.3检查人员模板信息：检查人员单位、职务、警号、警衔、联系方式等1.2 任务管理1.2.1支持手动创建重要信息系统检查、行业主管部门检查、备案单位检查、网站检查、专项检查、自定义检查任务1.2.2支持检查任务并行检查及并行检查结果合并1.3 编辑打印检查通知书支持对检查单进行编辑、导入、导出、打印1.4 生产检查记录表单1.4.1检查范围：支持行业主管部门、备案单位、重要信息系统、网站四类检查对象的检查范围。

支持基本情况、定级备案、监测预警等检查范围。

1.4.2检查内容：支持系统定级情况、岗位设置情况、安全审计情况等检查内容。

1.4.3检查要点：支持检查对象检查内容具体检查指标项进行检查。

1.4.4检查结果录入类型：单项判定：支持判定是、否、不适用符合项结果；检查结果录入：支持录入检查结果记录；复合型结果录入：支持在选择符合性结果的基础上录入相应记录。

1.5 检查执行1.5.1针对每个检查要点应提供相应的检查方法，检查结果判定依据等相关检查知识，以便引导进行现场检查。

国瑞信安信息安全等级保护检查工具箱技术白皮书江苏国瑞信安科技有限公司目录第一章概述 .................................................................................................... 错误！未定义书签。

1.1产品背景.......................................................................................... 错误！未定义书签。

1.2产品概述.......................................................................................... 错误！未定义书签。

1.3建设依据.......................................................................................... 错误！未定义书签。

第二章产品架构 ............................................................................................ 错误！未定义书签。

2.1产品整体架构.................................................................................. 错误！未定义书签。

2.2产品技术架构.................................................................................. 错误！未定义书签。

第三章产品特点 ............................................................................................ 错误！未定义书签。