張 雨，趙 慧，楊茂深，劉 昊

(中國航天科工集團第二研究院 七〇六所，北京 100854)

0 引 言

為適應(yīng)現(xiàn)階段網(wǎng)絡(luò)安全形勢的發(fā)展要求，2019年正式發(fā)布和實行《GB/T 22239—2019 信息系統(tǒng)安全等級保護(hù)基本要求》[1]，這標(biāo)志著等級保護(hù)制度進(jìn)入2.0時代。等級保護(hù)2.0系列標(biāo)準(zhǔn)對各級信息系統(tǒng)安全提出了新的要求，等級保護(hù)測評過程也需依據(jù)新標(biāo)準(zhǔn)實施。根據(jù)等級保護(hù)測評要求規(guī)定，測評工作需由專業(yè)測評機構(gòu)內(nèi)具有測評資格的人員持證執(zhí)行，因此存在測評任務(wù)多、測評人員緊缺、測評周期長等困難[2]。為了提升測評效率，亟需提高等級保護(hù)測評系統(tǒng)的自動化水平。

目前等級保護(hù)測評系統(tǒng)主要包含兩種類型：等級保護(hù)測評管理系統(tǒng)[3-5]和等級保護(hù)測評工具箱[6，7]。等級保護(hù)測評管理系統(tǒng)提供等級保護(hù)測評階段文檔和過程管控服務(wù)，具備等級保護(hù)工作管理、系統(tǒng)管理、數(shù)據(jù)統(tǒng)計與分析等功能[8]。等級保護(hù)測評工具箱則提供等級保護(hù)測評流程的向?qū)Чδ?，引?dǎo)測評人員按照規(guī)定的檢測流程執(zhí)行，并提供技術(shù)檢查工具協(xié)助檢查，本文主要側(cè)重對后者的研究。目前測評工具箱多面向?qū)I(yè)的等級保護(hù)測評人員，對使用者的專業(yè)要求較高。有的工具箱提供自動化測評輔助工具，但需要測評人員熟悉使用流程和分析方法，并對結(jié)果進(jìn)行人工研判，自動化程度較低。

針對等級保護(hù)測評系統(tǒng)當(dāng)前存在的問題，深入分析等級保護(hù)2.0測評要求，本文提出一種基于推理模型的等級保護(hù)2.0自動化測評系統(tǒng)(簡稱：自動化等保測評系統(tǒng))，規(guī)范和優(yōu)化等級保護(hù)測評標(biāo)準(zhǔn)建模，構(gòu)建等級保護(hù)測評知識庫，提高等級保護(hù)測評的自動化水平，為信息系統(tǒng)建設(shè)者等非專業(yè)測評人員提供信息系統(tǒng)一鍵式自動化測評的自查服務(wù)。

1 等級保護(hù)2.0測評

網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)體系架構(gòu)如圖1所示。

圖1 等級保護(hù)2.0相關(guān)標(biāo)準(zhǔn)體系架構(gòu)

本文主要研究等級保護(hù)測評技術(shù)，重點分析GB/T 28448—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》[9](簡稱：測評要求)和GB/T 28449—2012《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)測評過程指南》(簡稱：測評過程指南)。這兩個標(biāo)準(zhǔn)分別規(guī)定了等保測評的內(nèi)容和方法，定義了等保測評的主要活動和任務(wù)[10]。

等保測評由測評師根據(jù)“測評要求”和“測評過程指南”執(zhí)行，分析匯總測評結(jié)果中存在的不符合項或部分符合項，分析安全問題被威脅利用的可能性，判斷其被威脅利用后對業(yè)務(wù)系統(tǒng)安全造成的影響，綜合評價后形成測評結(jié)論，測評結(jié)論包括符合、基本符合和不符合[11]。等保測評工作處于信息系統(tǒng)建設(shè)后期，目前面臨測評周期長、測評過程復(fù)雜、測評效率低下等問題，存在等保測評階段發(fā)現(xiàn)問題后系統(tǒng)調(diào)整成本高等隱患，亟需研制自動化等保測評系統(tǒng)，簡化測評過程操作的復(fù)雜性，方便信息系統(tǒng)建設(shè)人員在建設(shè)過程中開展安全等級自測工作，并根據(jù)自測結(jié)果及時調(diào)整系統(tǒng)建設(shè)，提高企業(yè)信息系統(tǒng)等保測評的通過率。

2 CAE證據(jù)推理模型

聲明-論證-證據(jù)(claim-argument-evidence，CAE)模型是一種證據(jù)推理模型[12]，簡稱CAE模型，它包括聲明、論據(jù)、證據(jù)三大組成要素，層次結(jié)構(gòu)如圖2所示，該模型具有較強的層次性和結(jié)構(gòu)性，被廣泛應(yīng)用于信息系統(tǒng)測評過程。

圖2 CAE模型層次結(jié)構(gòu)

證據(jù)(Evidence)是指直接收集到的具體事實，位于模型的最底層，用來支持上層的論證。在測評過程中，一般采用實際測試結(jié)果作為證據(jù)。

論證(Argument)是證據(jù)經(jīng)過某些分析和推理所形成的結(jié)果，是聯(lián)系證據(jù)和聲明的橋梁。在測評過程中，該要素表現(xiàn)為評估過程。

聲明(Claim)可看作是對命題真假的判定。根據(jù)命題復(fù)雜度不同，聲明可進(jìn)一步細(xì)分為多個子聲明(Subclaim)，以支撐總命題各方面的“真”或“假”。在測評系統(tǒng)中，通常用聲明來判定某安全防護(hù)措施是否有效。

由CAE模型的層次結(jié)構(gòu)圖可知，聲明可由證據(jù)經(jīng)過論證直接得到，也可由證據(jù)經(jīng)過論證得到子聲明，再由子聲明間接得到聲明。

3 自動化等保測評系統(tǒng)架構(gòu)

針對等保測評過程存在的效率低下問題，本文提出一種基于推理模型的自動化等保測評系統(tǒng)，應(yīng)用CAE模型通過自頂向下和自底向上結(jié)合的方法對等保2.0測評標(biāo)準(zhǔn)進(jìn)行建模，構(gòu)建等級保護(hù)知識庫，自動執(zhí)行測評過程，形成測評報告，提高等保測評的自動化水平。

自動化等保測評系統(tǒng)由測評任務(wù)管理、測評過程執(zhí)行以及測評結(jié)果展示組成，提供一鍵式服務(wù)，降低了對系統(tǒng)使用者的專業(yè)知識要求。該系統(tǒng)可部署在便攜計算設(shè)備上，與被測系統(tǒng)/設(shè)備直接連接，執(zhí)行本地離線測評；也可部署在信息服務(wù)中心，通過網(wǎng)絡(luò)連接被測系統(tǒng)/設(shè)備，執(zhí)行遠(yuǎn)程在線測評。

自動化等保測評系統(tǒng)架構(gòu)如圖3所示，由測評管理引擎、測評任務(wù)生成引擎、測評執(zhí)行管理引擎、測評結(jié)果采集引擎、合規(guī)判定引擎和各類知識庫組成。

圖3 自動化等保測評系統(tǒng)架構(gòu)

測評管理引擎負(fù)責(zé)提供可視化的測評過程管理配置服務(wù)。為管理員用戶提供各類知識庫的維護(hù)等后臺資源統(tǒng)一配置服務(wù)；為普通用戶提供測評任務(wù)建立、測評流程執(zhí)行和測評報告查看等服務(wù)。

測評任務(wù)生成引擎實現(xiàn)測評任務(wù)的構(gòu)建。根據(jù)用戶配置的測評任務(wù)目標(biāo)生成任務(wù)信息，包括任務(wù)名稱、執(zhí)行時間、測評項細(xì)則等，明確測評范圍。

測評執(zhí)行管理引擎負(fù)責(zé)自動化執(zhí)行測評任務(wù)。從測評任務(wù)生成引擎接收任務(wù)并提取測評項；從知識庫中查詢測評項對應(yīng)的測評方法；根據(jù)測評方法中指定的測評工具/腳本，完成目標(biāo)測評工具的調(diào)度、加載與執(zhí)行。

測評結(jié)果采集引擎收集測評任務(wù)中各測試項對應(yīng)測試工具/腳本的檢測結(jié)果，對其進(jìn)行過濾、去冗、歸一化等處理后，保存到測評結(jié)果庫中，供后續(xù)分析使用。

合規(guī)判定引擎從測評結(jié)果庫中提取測試結(jié)果，并與等級保護(hù)知識庫中的指導(dǎo)文件進(jìn)行比對，判斷其是否符合相應(yīng)測評項的要求，形成最終的測評報告，保存在測評報告庫中。

測評管理引擎作為管理前端，與測評任務(wù)生成引擎、測評執(zhí)行管理引擎和合規(guī)判定引擎通過管理接口進(jìn)行互聯(lián)互通，完成測評配置管理、測評流程管理和測評結(jié)果展示。

等級保護(hù)知識庫作為自動化測評系統(tǒng)的核心，是網(wǎng)絡(luò)安全等級保護(hù)2.0體系的相關(guān)政策標(biāo)準(zhǔn)、作業(yè)指導(dǎo)書、實施經(jīng)驗、專家知識和分析模型程序化處理后的專用知識庫，在測評任務(wù)構(gòu)建、測評任務(wù)執(zhí)行和測評結(jié)果判定階段均起到關(guān)鍵作用，等級保護(hù)知識庫的構(gòu)建至關(guān)重要。本文采用CAE推理模型對等級保護(hù)知識庫進(jìn)行層次劃分和建模，并利用其對測評結(jié)果進(jìn)行科學(xué)評估。

4 基于CAE推理模型的自動化等保測評

4.1 基于CAE模型的等級保護(hù)知識庫構(gòu)建

等級保護(hù)2.0測評主要分為兩大類：安全技術(shù)測評和安全管理測評[13]。安全技術(shù)測評包括：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心；安全管理測評包括：安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理[14]。這些測評類別可進(jìn)一步細(xì)分為不同的測評層面、測評單元、測評項，并且每一個測評項都有其對應(yīng)的測評對象、測評方法和結(jié)果判定要求。每一個測評項對應(yīng)一個獨立的工作單元，其組成如下：

(1)測評方式

測評人員對測評內(nèi)容實施測評的方式方法。包括訪談、檢查和測試。

(2)測評對象

測評過程中涉及到的信息系統(tǒng)組成，包括人員、設(shè)備、文檔等。

(3)測評方法

測評具體的實施方法，其中包含執(zhí)行過程的要求。

(4)結(jié)果判定要求

對測評結(jié)果進(jìn)行符合性判定的原則。

測評項可認(rèn)為是等保測評中的最小組成單元，每個測評項都有對應(yīng)的測評方式、測評對象、測評方法、結(jié)果判定要求。測評類別、測評層面、測評單元、測評項擁有明確的層次結(jié)構(gòu)關(guān)系，每一種測評類別都由一個或多個最小測評項組成。當(dāng)測評項的測評對象是人員、文檔、物理環(huán)境等情況時，其等保符合性的判定具有一定的主觀因素，機械式地自動化測評難以為測評對象給出準(zhǔn)確的測評結(jié)果，因此本文提出的自動化等保測評系統(tǒng)僅針對能依賴測評工具給出準(zhǔn)確測評結(jié)果的測評項集合。

在等級保護(hù)知識庫構(gòu)建過程中，依據(jù)CAE推理模型自上而下分解等保知識，實現(xiàn)知識庫的金字塔結(jié)構(gòu)，等級保護(hù)知識分解過程如圖4所示。將等保測評過程依據(jù)的相關(guān)政策標(biāo)準(zhǔn)、作業(yè)指導(dǎo)書、實施經(jīng)驗、專家知識等進(jìn)行整理歸類，并按照測評等級、測評類、測評層面、測評單元、測評項等屬性進(jìn)行自頂向下的分解，根據(jù)CAE模型中聲明-論據(jù)-證據(jù)的層次結(jié)構(gòu)，建立測評項與測評方法的包含關(guān)系、測評方法與關(guān)聯(lián)測評工具/腳本的映射關(guān)系等，將每個測評項具體化為一個與測評工具相關(guān)的測試步驟集，以便進(jìn)行程序化處理。在自動化等保測評系統(tǒng)中，等級保護(hù)知識庫是鏈接測評任務(wù)生成引擎與測評執(zhí)行管理引擎的橋梁，實現(xiàn)了用戶定制測評任務(wù)向自動化測評工具集的轉(zhuǎn)換。

圖4 基于CAE模型的等級保護(hù)知識庫建模結(jié)構(gòu)

在等保測評結(jié)果評估過程中，依據(jù)CAE推理模型自底而上實現(xiàn)等保測評結(jié)果的自動化評估，形成測評結(jié)論，等保測評評估過程如圖4所示。依據(jù)等級保護(hù)知識庫中測評等級、測評層面、測評單元、測評項的層次結(jié)構(gòu)，每層都有各自對應(yīng)判定準(zhǔn)則。根據(jù)CAE推理模型中“證據(jù)-論證-聲明”等邏輯推理順序，自底向上逐層評估、判定，最終得出系統(tǒng)等級的判定結(jié)果。與知識庫構(gòu)建過程相反，等保測評評估過程實現(xiàn)了測評工具/腳本的直接運行結(jié)果向用戶定制測評任務(wù)判定結(jié)果的自動化轉(zhuǎn)換。

基于CAE推理模型的自動化等保測評系統(tǒng)一方面依賴CAE模型的組織架構(gòu)關(guān)聯(lián)等級保護(hù)指導(dǎo)書、專家知識、各類安全測試工具和腳本，自頂向下將各類知識分解為基本的等保測評項，構(gòu)建等級保護(hù)2.0專用知識庫；另一方面自底向上匯集各測試工具/腳本的直接測試結(jié)果，進(jìn)行推理、判定，形成系統(tǒng)最終的等級評估結(jié)果。

4.2 基于CAE模型的等保測評流程

CAE推理模型不僅在等級保護(hù)知識庫構(gòu)建過程中起到了骨架支撐作用，在系統(tǒng)測評過程中同樣起著橋梁作用，有序引導(dǎo)測試任務(wù)、測試項、測試方法、測試工具、測試結(jié)果的選擇與執(zhí)行，等保測評過程結(jié)構(gòu)如圖5所示，確保了測評任務(wù)生成、測評執(zhí)行管理、測評結(jié)果采集和合規(guī)判定等幾個關(guān)鍵過程的有序組織與關(guān)聯(lián)。

圖5 基于CAE模型的等保測評過程結(jié)構(gòu)

在測評任務(wù)生成階段，確認(rèn)等保測評目標(biāo)，根據(jù)等級保護(hù)知識庫關(guān)聯(lián)生成目標(biāo)相關(guān)測評項、測評方法等，用戶可最終確定需要執(zhí)行的測評項。測評執(zhí)行管理階段根據(jù)指定的測評項關(guān)聯(lián)自動化測評工具/腳本，根據(jù)用戶設(shè)定的測評時間和輸入的必要參數(shù)自動執(zhí)行測評過程，形成測評結(jié)果。某一測評項可能關(guān)聯(lián)多個測評工具/腳本的測評結(jié)果，系統(tǒng)將各測評結(jié)果進(jìn)行關(guān)鍵信息提取、去冗，歸一化處理后，進(jìn)行統(tǒng)一存儲。最終，合規(guī)判定階段將根據(jù)測評任務(wù)和知識庫生成判定基線，提取各測評結(jié)果，與基線進(jìn)行比對，并形成最終的等級評估結(jié)果，該等級評估結(jié)果僅代表當(dāng)前測評任務(wù)的判定結(jié)果，最終等保測評結(jié)論還需結(jié)合現(xiàn)場審查和訪談結(jié)果綜合研判后確定。

4.2.1 測評任務(wù)生成引擎

測評任務(wù)生成引擎依據(jù)CAE模型中“聲明->子聲明->論證->證據(jù)”的分解順序，對用戶輸入的測評需求按照測評類別、測評層面、測評單元、測評項的順序進(jìn)行分解，選擇并確定可通過測試工具/腳本自動測試的測評項集，組成測評任務(wù)，保存到測評任務(wù)庫中。測評任務(wù)包含任務(wù)編號、名稱、測評等級、測評項等信息。

測評任務(wù)生成引擎由測評任務(wù)制定、測評模板管理模塊和測評任務(wù)庫等部分組成。測評任務(wù)制定模塊確定生成測評任務(wù)信息；測評模板管理模塊實現(xiàn)測評任務(wù)模板的添加、更新和刪除等操作；測評任務(wù)庫實現(xiàn)對測評任務(wù)的持久化存儲。各模塊協(xié)同工作，構(gòu)建測評任務(wù)模型。

測評任務(wù)庫存儲有測評任務(wù)模板、已生成的測評任務(wù)集。在接收到用戶測評需求后，測評任務(wù)生成引擎首先對測評需求進(jìn)行初步分解，提取測評等級和測評對象，然后檢索測評任務(wù)庫，檢查是否存在同類需求的測評任務(wù)，如果存在，則直接提取該任務(wù)，傳遞給測評執(zhí)行管理引擎；否則根據(jù)CAE模型對測評需求作詳盡分解，分解成細(xì)粒度的測評項，然后根據(jù)測評任務(wù)模板將分解得到的測評項組織成具有統(tǒng)一格式的測評任務(wù)，保存到測評任務(wù)庫中，供后續(xù)同類設(shè)備測評使用，同時傳遞給測評執(zhí)行管理引擎繼續(xù)后續(xù)的測評流程。

4.2.2 測評執(zhí)行管理引擎

測評執(zhí)行管理引擎結(jié)合測評任務(wù)生成引擎?zhèn)鬟f的測評任務(wù)和系統(tǒng)構(gòu)建的等級保護(hù)知識庫，檢索對應(yīng)的測評方法；并根據(jù)各測評方法，搜尋最佳測評工具/腳本，加載并執(zhí)行，獲得測評結(jié)果，傳遞給測評結(jié)果采集引擎。

測評執(zhí)行管理引擎由測評方案規(guī)劃、測評工具調(diào)度、工具鏈調(diào)度、資源管理模塊和測評方法庫、測評工具/腳本庫等部分組成。測評方案規(guī)劃模塊分析測評任務(wù)中的測評項關(guān)聯(lián)生成測評方法；測評工具調(diào)度模塊實現(xiàn)對測評工具/腳本的調(diào)度、加載、執(zhí)行等操作；工具鏈調(diào)度模塊完成一系列工具/腳本的關(guān)聯(lián)操作，如串行、并行、參數(shù)和結(jié)果傳遞等；資源管理模塊實現(xiàn)對測評工具、腳本的添加、刪除或?qū)y評工具與測評方法的映射關(guān)系進(jìn)行修改；測評方法庫存儲具體的測評方法信息，如測評步驟、測評工具/腳本編號等；測評工具/腳本庫存儲測評工具相關(guān)信息，如名稱、位置、簡介、功能、關(guān)聯(lián)測評項等。

首先，當(dāng)測評執(zhí)行管理引擎接收到測評任務(wù)后，根據(jù)測評任務(wù)模板進(jìn)行解析，提取各測評項；然后依次根據(jù)測評項的關(guān)鍵字檢索等級保護(hù)知識庫，獲得測評項對應(yīng)的測評方法編號，在測評方法庫中提取具體的測評方法。

其次，測評執(zhí)行引擎根據(jù)測評方法搜尋具體的測評工具或腳本并加載。對測評方法進(jìn)行解析，提取預(yù)定義的測評工具或腳本，并對測評資源進(jìn)行統(tǒng)一調(diào)度、加載，并以測評任務(wù)為單位，構(gòu)建測評工具鏈，以方便一鍵式測評的執(zhí)行。

最后，測評執(zhí)行管理引擎執(zhí)行一鍵式測評，并將結(jié)果傳遞給測評結(jié)果采集引擎。在測評執(zhí)行引擎加載所有所需的測評工具/腳本后，將提示用戶是否執(zhí)行，用戶可選擇一鍵式全自動執(zhí)行，也可自定義執(zhí)行。當(dāng)用戶選擇一鍵式自動執(zhí)行時，測評執(zhí)行管理引擎根據(jù)加載的測評工具鏈對待測組件或信息系統(tǒng)依次執(zhí)行各測評項，并將結(jié)果傳遞給測評結(jié)果采集引擎。

測評執(zhí)行管理引擎涉及的知識庫主要是測評方法庫，其中定義了測評方法與測評工具/腳本的映射關(guān)系。不同領(lǐng)域相同測評項的測評需求側(cè)重點也會存在差異，這需要測評方法與測評工具的映射同步更新。管理員可通過測評管理引擎提供的人機交互界面，動態(tài)更新測評工具集、測評方法，以及測評方法與測評工具的映射關(guān)系，以提高測評的準(zhǔn)確性。

4.2.3 測評結(jié)果采集引擎

測評結(jié)果采集引擎作用于CAE模型的證據(jù)層，主要負(fù)責(zé)收集各測試工具/腳本的執(zhí)行結(jié)果，并對其進(jìn)行過濾、去冗、歸一化處理，轉(zhuǎn)換成統(tǒng)一格式的測評結(jié)果。其實質(zhì)是對證據(jù)進(jìn)行采集和解析，將各個測評工具/腳本的結(jié)果進(jìn)行規(guī)范化的處理，并且與各個測評項進(jìn)行關(guān)聯(lián)，為后續(xù)合規(guī)判定提供證據(jù)支撐。

測評結(jié)果采集引擎由測評原始結(jié)果采集、測評結(jié)果解析過濾、測評結(jié)果歸一化處理模塊和測評結(jié)果庫等部分組成。測評原始結(jié)果采集模塊負(fù)責(zé)原始結(jié)果的匯總存儲；測評結(jié)果解析過濾模塊完成對測評結(jié)果中關(guān)鍵信息的提?。粶y評結(jié)果歸一化處理模塊實現(xiàn)測評結(jié)果格式的統(tǒng)一；測評結(jié)果庫存儲處理后測評結(jié)果，為用戶查詢和合規(guī)判定引擎利用提供對外數(shù)據(jù)服務(wù)接口。

首先，測評結(jié)果采集引擎接收各測評工具/腳本發(fā)送的測評結(jié)果，以測評任務(wù)為依據(jù)進(jìn)行分類，緩存在哈希桶中，以提高后續(xù)的數(shù)據(jù)處理效率。其次，引擎對所有測評結(jié)果進(jìn)行過濾、去冗處理，刪除失敗、錯誤、冗余的結(jié)果數(shù)據(jù)，提高采用數(shù)據(jù)的有效性。最后，引擎對各測評工具反饋的測試結(jié)果進(jìn)行歸一化處理，提取有效信息，根據(jù)預(yù)定義的測評結(jié)果格式進(jìn)行填寫，并保存到測評結(jié)果庫中。測評結(jié)果庫中的測評結(jié)果與等級保護(hù)知識庫中的測評知識一一對應(yīng)，用戶可通過測評管理引擎查看并下載歸一化后的測評結(jié)果。

4.2.4 合規(guī)判定引擎

合規(guī)判定引擎利用歸一化后的測評結(jié)果證據(jù)進(jìn)行信息系統(tǒng)等級評估。根據(jù)CAE模型自底向上的系統(tǒng)評估方法，合規(guī)判定引擎經(jīng)歷多次“證據(jù)->論證->聲明”的迭代，基于OpenSCAP框架[15]最終形成系統(tǒng)的等級評估結(jié)果。

合規(guī)判定引擎由測評判定基線生成、測評結(jié)果格式轉(zhuǎn)換、合規(guī)判定、測評報告管理模塊和測評報告庫等部分組成。測評判定基線模塊根據(jù)知識庫形成測評判定基線，生成XCCDF文件；測評結(jié)果格式轉(zhuǎn)換模塊將歸一化的測評結(jié)果轉(zhuǎn)換為OpenSCAP框架中的OVAL格式；合規(guī)判定模塊完成測評結(jié)果與判定基線的比對；測評報告管理模塊實現(xiàn)生成、修改、刪除測評報告等操作；測評報告庫存儲系統(tǒng)生成的測評報告。

首先，合規(guī)判定引擎以測評任務(wù)為檢索關(guān)鍵詞，從測評結(jié)果庫中提取歸一化的各測評結(jié)果，并依次對照等級保護(hù)知識庫中相應(yīng)測評項的判定準(zhǔn)則，確定其與等保標(biāo)準(zhǔn)的符合性；

其次，依賴CAE模型建立的測評項與測評單元、測評層面、測評類別關(guān)系，以及等級保護(hù)知識庫中各測評層的判定準(zhǔn)則，實現(xiàn)從測評項到測評單元，再以測評單元為證據(jù)，自底向上遞推的方式逐層論證測評層面、測評類別，最終得到測評任務(wù)對應(yīng)的等級判定結(jié)果，生成測評報告并保存到測評報告庫中。用戶可通過測評管理引擎查看并下載測評報告，系統(tǒng)提供測評報告的導(dǎo)出與打印服務(wù)。

5 結(jié)束語

隨著等級保護(hù)2.0系列標(biāo)準(zhǔn)的頒布和實施，信息系統(tǒng)安全等級保護(hù)測評日益受到重視。在信息系統(tǒng)規(guī)模不斷擴大的同時，信息系統(tǒng)安全等級保護(hù)測評的自動化需求也不斷增加。為了方便信息系統(tǒng)管理人員的安全自查工作，降低對安全測評人員的專業(yè)水平要求，提高系統(tǒng)測評人員的工作效率，本文提出了基于推理模型的等級保護(hù)2.0自動化測評系統(tǒng)，深入闡述基于CAE推理模型的等級保護(hù)知識庫構(gòu)建過程和自動化等級保護(hù)測評流程。本系統(tǒng)支持對等級保護(hù)知識庫、測評資源的統(tǒng)一管理，具有較高的資源利用率，可支持多個測評任務(wù)并行執(zhí)行；同時系統(tǒng)支持一鍵式自動測評，測評過程無需人工干預(yù)，具有較高的測評效率，可滿足當(dāng)前日益龐大的信息系統(tǒng)等保測評需求。