【IT168 资讯】随着信息安全建设的不断开展，信息网络和应用业务系统的安全涉及越来越多的方面，不但涉及网络安全，主机安全，应用安全等技术问题，而且涉及到安全管理制度，安全管理机构，人员安全管理等非技术的安全问题。因此，要实现对信息网络和应用业务系统的安全评估，就需要完成对这些安全问题的检查和审核。而如果这些工作仅依靠管理员或者其他相关人员进行人工统计和管理，则会耗费大量人力和物力，大大增加安全评估的复杂性。

　　为适应市场需求，更好的满足有系统等级保护定级需求的用户及时了解业务系统现状，天融信专门设计了一款信息安全等级保护评估系统(简称等保系统)。等保系统是为解决系统安全定级评估困难，检查整改管理复杂等问题而推出的安全评估管理平台。该平台实现了系统评估的流程化处理，不仅帮助用户节约了不必要的人力成本，而且能够提供更为全面的评估分析，推动企业信息系统的安全建设。

　　天融信等保系统突出以下特点：

　　严格依照有关标准，实现智能评估

　　天融信等保系统依据GB17859-1999(计算机信息系统安全保护等级划分准则)、GB/T 22239-2008(信息系统安全等级保护基本要求)等相关信息安全等级保护标准，结合安全服务的非常好的实践，以定级备案为基础，以等级测评为核心，通过深度数据挖掘等技术，对企业内部信息系统的评估项目进行集中管理和智能分析，最终指导企业信息系统的安全建设。

　　信息系统保护等级共分为五级，第一级：用户自主保护级 ;第二级：系统审计保护级;第三级：安全标记保护级;第四级：结构化保护级;第五级：访问验证保护级。安全保护能力从第一级到第五级逐级增强。等保系统严格按照不同保护等级的基本要求设计了相应的检查内容，通过了解检查内容的实现情况完成系统的安全评估。

　　等保系统为客户提供了智能化的安全评估服务。系统可以根据客户业务系统的相关信息进行安全保护自动定级，避免了人工定级的繁琐性，方便用户创建相应保护级别的评估对象，实现自评估处理;系统自动检测并统计待测系统处于测评项目各阶段的数据信息，为用户提供实时的测评数据与分析结果;系统可基于检查任务的处理情况自动评估待测系统是否符合等级保护标准的基本要求，并提示哪些标准项不符合等。

　　功能强大的综合管理系统

　　天融信等保系统是一款功能强大的综合管理系统，主要由七个模块构成：我的首页，定级备案，等级测评，建设整改，配置管理、知识库和常用工具库。

　　定级备案是整个系统的基础，该模块实现了对单位和业务系统的管理，并支持对业务系统的录入定级，省去了人工定级的繁琐。同时，模块还支持系统信息备案和定级备案，方便用户查看业务系统修改前后和多次定级的相关信息。

　　等级测评是系统的核心，该模块负责管理业务系统的评估过程，包括创建评估对象，分派检查任务，审核检查任务等。在测评项目中，可以根据用户需要新建项目和添加评估对象，评估负责人能够实时查看系统处于各个评估阶段时的数据信息，了解系统的测评进展。

　　建设整改模块主要实现整改任务的处理，同时提供整改监视功能，用于查看所有处于整改阶段的评估对象。此外，系统支持对知识库和常用工具库的管理，两模块为等级测评的进行提供了检查内容和答题工具。其中，知识库维护了等级保护标准和相关的政策法规，用户可以上传等级保护相关的政策法规，方便其他用户查看学习。常用工具库管理了软件工具，支持软件的上传和下载。

　　多用户多重任务处理方式

　　实现信息系统按不同等级保护标准进行安全评估，需要完成多方面的安全指标检查，因此，如果仅由某个人员去处理全部的检查任务，评估周期将大大延长，导致系统评估效率低下。等保系统支持将检查任务分派给多用户处理，改变单人处理模式，多用户并行处理的方式将有效的提高系统评估效率。此外，在整改建设阶段，系统支持创建多个整改任务，将所有的差距项添加到不同的整改任务中，分派给多人处理，也在一定程度上加速了信息系统的安全建设。

　　除支持多用户处理外，系统还提供多种检查任务的处理方式，包括在线答题，离线答题和脚本处理。当任务责任人位于公司局域网中，能够正常登陆等保系统，则可以直接在检查任务模块中完成答题;当任务责任人由于出差在外或其他多种原因，无法登陆等保系统，审核人在进行任务分派时可勾选发送邮件选项，将检查任务和答题工具以邮件的方式发送给责任人，责任人利用工具完成答题任务。对于关联了安全对象的业务系统而言，除需要完成问卷检查项外，还需要进行技术类检查，技术类检查包括资产问卷和脚本任务，系统为完成脚本任务专门设计了脚本工具，以实现脚本任务的自动处理，进而直接生成脚本处理的结果文件。

　　全面的数据分析，多样的图形展示

　　等保系统提供全面的数据统计服务，主要体现在：系统实时监控并统计处于各个评估阶段的测评信息。具体来说，评估系统阶段，系统实时监视评估系统的安全检查情况，自动检测并统计评估对象的完成情况;分析结果阶段，实现对评估对象的详细分析，评估结束后，自动检测并统计检查任务的符合度情况，并做出差异分析;整改阶段，实现对整改任务的全面监控，实时统计差距项的完成情况等。

　　等保系统延续了天融信软件产品线的整体设计风格，给用户以界面清新、功能易用的应用体验。考虑到用户在使用本系统过程中重点关注的信息，系统对核心模块进行了更加详细的图形化展示设计，使用户可以迅速直观的查看到项目测评过程中各阶段的数据信息。

　　角色清晰，权限明确

　　除根据三权分立原则，系统默认提供了账户、操作和审计三种不同角色外，系统还针对测评过程设计了相应的流程处理角色，承担不同的处理任务。

　　下图为一个简单的角色分工示意图。假设某单位要对公司内部的信息管理平台进行安全评估，由技术部负责此评估任务。考虑到任务审核人具有较高的操作权限，因此可由技术部经理负责相关管理工作;经理创建评估对象，并将检查任务分派给部门中相应职能的技术人员(责任人)，技术人员处理完检查内容后可将其提交至经理审核，审核不通过的任务会继续流转给这个技术人员，再次处理该任务;整改阶段，由经理新建整改任务并分派，相应负责人登陆系统后，在整改任务中查看分派给自己的任务并做相应处理。 

　　不同角色的操作员登陆系统后，显示的内容不尽相同，如经理分派给职员甲的任务，职员乙无法查看;经理创建的评估对象，职员无法查看等。这种清晰的角色分工设计有助于保护系统数据的安全性，防止未授权用户对测评任务的随意修改。

　　等保系统为用户信息系统的安全等级评估提供了自动化管理的解决方案。系统前期经过了充分的市场调研和用户需求搜集，通过不断的细化分解产品的设计，最终推出等级保护评估系统，弥补了该类产品在市场中的空缺。系统以科学的管理方式，智能的评估技术，致力于为用户提供更加实用的安全评估服务，以减少手工劳动，提高工作效率。系统依照国家制定的信息系统安全等级保护相关准则和标准，实现对不同保护等级系统的全面评估，指导企业信息系统的安全建设。