國(guó)家重點(diǎn)專項(xiàng):信息安全認(rèn)證如何煉成“金鐘罩”
作者:admin 發(fā)表時(shí)間:2016/9/2 13:49:48 點(diǎn)擊:3008
研究目的
黨中央、國(guó)務(wù)院高度重視信息安全認(rèn)證認(rèn)可體系建設(shè)����,早在2003年�,中辦發(fā)〔2003〕27號(hào)文件就提出“要推進(jìn)認(rèn)證認(rèn)可工作�,規(guī)范和加強(qiáng)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證”,國(guó)認(rèn)證聯(lián)〔2004〕57號(hào)文明確提出“建立既符合國(guó)家利益的需要又遵循國(guó)際通行規(guī)則的統(tǒng)一的國(guó)家信息安全產(chǎn)品認(rèn)證認(rèn)可體系”����,國(guó)發(fā)[2012]23號(hào)文要求“完善信息安全認(rèn)證認(rèn)可體系,加強(qiáng)信息安全產(chǎn)品認(rèn)證工作�,減少重復(fù)檢測(cè)和重復(fù)收費(fèi)”,國(guó)發(fā)[2012]9號(hào)《質(zhì)量發(fā)展綱要(2011-2020年)》要求“完善信息安全認(rèn)證認(rèn)可體系�,加強(qiáng)信息安全認(rèn)證認(rèn)可制度和能力建設(shè)����,健全信息安全認(rèn)證認(rèn)可工作體系,促進(jìn)信息安全認(rèn)證認(rèn)可結(jié)果的社會(huì)采信”��。 近期����,中央領(lǐng)導(dǎo)對(duì)新形勢(shì)下信息安全認(rèn)證認(rèn)可工作提出更高要求,2016年4月19日�,習(xí)近平總書(shū)記在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上做出重要指示“減少重復(fù)檢測(cè)認(rèn)證,施行優(yōu)質(zhì)優(yōu)價(jià)政府采購(gòu)制度����,減輕企業(yè)負(fù)擔(dān)��,破除體制機(jī)制障礙”�。
要切實(shí)落實(shí)中央要求���,完善信息安全認(rèn)證認(rèn)可體系�,就必須解決我國(guó)信息安全認(rèn)證認(rèn)可工作面臨的三個(gè)基本問(wèn)題:
一是對(duì)某些關(guān)鍵產(chǎn)品和服務(wù)����,因缺少基于度量理論的評(píng)價(jià)指標(biāo)體系和標(biāo)準(zhǔn),或缺少檢測(cè)所需的技術(shù)和方法等造成的“評(píng)價(jià)不了”問(wèn)題�����;
二是因缺乏一致性溯源�,檢測(cè)結(jié)果不確定度未知等造成的“評(píng)價(jià)不準(zhǔn)”問(wèn)題;
三是因缺乏對(duì)關(guān)鍵產(chǎn)品和服務(wù)整體質(zhì)量風(fēng)險(xiǎn)的監(jiān)測(cè)技術(shù)手段���,難以評(píng)估認(rèn)證有效性造成的“評(píng)價(jià)效果不明”問(wèn)題��。
研究目標(biāo)
從國(guó)內(nèi)外研究現(xiàn)狀看�,在信息安全評(píng)價(jià)體系方面�����,國(guó)際上通用評(píng)估準(zhǔn)則(CC)較成熟,但PP標(biāo)準(zhǔn)不統(tǒng)一����,難以適應(yīng)新技術(shù)發(fā)展,評(píng)價(jià)體系正面臨改革����。例如,CC互認(rèn)安排實(shí)施十余年����,僅形成針對(duì)具體產(chǎn)品的保護(hù)輪廓(PP)一百余項(xiàng),近期推出的cPP僅4項(xiàng)�。國(guó)內(nèi)雖已建立起信息安全標(biāo)準(zhǔn)體系,開(kāi)展了信息安全認(rèn)證工作��,但仍面臨國(guó)家標(biāo)準(zhǔn)缺失����、滯后�,評(píng)價(jià)指標(biāo)缺乏,對(duì)某些關(guān)鍵產(chǎn)品測(cè)評(píng)深度不夠�,對(duì)大型軟件測(cè)評(píng)能力不足�,對(duì)新興領(lǐng)域測(cè)評(píng)能力不具備等問(wèn)題�。在信息安全檢測(cè)基準(zhǔn)方面:國(guó)外在在個(gè)別領(lǐng)域已開(kāi)展初步研究,例如��,網(wǎng)絡(luò)安全基準(zhǔn)檢測(cè)方面形成了RFC 2544���、RFC3511�、RFC2889等標(biāo)準(zhǔn)��,在一些性能基準(zhǔn)方面開(kāi)展了研究���,但未形成普遍應(yīng)用技術(shù)�����,在比對(duì)和檢測(cè)質(zhì)量控制方面仍然薄弱����。國(guó)內(nèi)初步研制了信息安全產(chǎn)品檢測(cè)基準(zhǔn)��,積累了一定經(jīng)驗(yàn)����,但在檢測(cè)基準(zhǔn)的系統(tǒng)性���、全面性、動(dòng)態(tài)性方面存在不足�。在產(chǎn)品信息安全質(zhì)量風(fēng)險(xiǎn)監(jiān)測(cè)方面,研究還存在空白��,僅在相關(guān)方面具有一定基礎(chǔ)�����,例如����,已有可作為分析數(shù)據(jù)源的產(chǎn)品漏洞庫(kù),互聯(lián)網(wǎng)安全事件應(yīng)急響應(yīng)系統(tǒng)等�����。
針對(duì)造成上述問(wèn)題的體系不健全��、關(guān)鍵技術(shù)能力不足等發(fā)展瓶頸��,結(jié)合目前研究現(xiàn)狀�����,本項(xiàng)目擬圍繞信息安全評(píng)價(jià)�����、檢測(cè)基準(zhǔn)和質(zhì)量風(fēng)險(xiǎn)監(jiān)測(cè)�,突破關(guān)鍵共性技術(shù),研制急需的標(biāo)準(zhǔn)�����、樣機(jī)����、評(píng)估工具和系統(tǒng)平臺(tái),在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域和新興領(lǐng)域開(kāi)展應(yīng)用�,提高評(píng)價(jià)有效性和一致性水平,支撐國(guó)家信息安全產(chǎn)品認(rèn)證制度實(shí)施和質(zhì)量監(jiān)管�����,提升信息安全認(rèn)證認(rèn)可體系在國(guó)家網(wǎng)絡(luò)安全保障中的基礎(chǔ)性支撐能力�����。
研究?jī)?nèi)容
研究信息安全認(rèn)證認(rèn)可理論和總體技術(shù)體系:信息安全認(rèn)證認(rèn)可理論����、模型����;涵蓋評(píng)價(jià)���、基準(zhǔn)�、監(jiān)測(cè)等體系的總體技術(shù)框架�����;信息安全度量模型�����。
研究信息安全檢測(cè)基準(zhǔn)技術(shù)體系:關(guān)鍵信息安全指標(biāo)測(cè)量不確定度分析理論�,測(cè)量溯源方法和體系;信息安全檢測(cè)基準(zhǔn)體系框架����,信息安全產(chǎn)品檢測(cè)基準(zhǔn)標(biāo)準(zhǔn)、樣機(jī)和能力驗(yàn)證物品��;重要產(chǎn)品安全評(píng)價(jià)基準(zhǔn)指標(biāo)體系及指標(biāo)庫(kù)系統(tǒng)�。
研究信息安全評(píng)價(jià)技術(shù)體系:適應(yīng)我國(guó)信息安全認(rèn)證需求的IT產(chǎn)品安全通用評(píng)價(jià)技術(shù);針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施中智能卡和工控關(guān)鍵設(shè)備等重要產(chǎn)品的安全設(shè)計(jì)的形式化驗(yàn)證��、安全策略驗(yàn)證及數(shù)據(jù)流分析���、隱通道分析等安全性評(píng)價(jià)關(guān)鍵��、難點(diǎn)技術(shù)�����;新興領(lǐng)域重要IT產(chǎn)品���、系統(tǒng)和服務(wù)信息安全認(rèn)證技術(shù)。
研究信息安全質(zhì)量風(fēng)險(xiǎn)監(jiān)測(cè)技術(shù)體系:基于互聯(lián)網(wǎng)的信息安全質(zhì)量風(fēng)險(xiǎn)監(jiān)測(cè)模型�、方法和體系;信息安全質(zhì)量風(fēng)險(xiǎn)信息獲取��、評(píng)估�����、預(yù)警技術(shù)及相應(yīng)系統(tǒng)����。
技術(shù)路線
擬按6階段展開(kāi)研究任務(wù):分析上述三個(gè)問(wèn)題及其原因�����,確定研究研究對(duì)象及其技術(shù)難點(diǎn)��;研究國(guó)內(nèi)外相關(guān)理論�、方法�,為研究信息安全評(píng)價(jià)、檢測(cè)基準(zhǔn)和質(zhì)量風(fēng)險(xiǎn)監(jiān)測(cè)準(zhǔn)備理論基礎(chǔ)��;研究建立信息安全度量模型和質(zhì)量風(fēng)險(xiǎn)監(jiān)測(cè)模型�,為提出信息安全認(rèn)證認(rèn)可技術(shù)框架提供支撐;根據(jù)技術(shù)框架�,建立信息安全檢測(cè)基準(zhǔn)技術(shù)體系、信息安全評(píng)價(jià)技術(shù)體系和信息安全質(zhì)量風(fēng)險(xiǎn)監(jiān)測(cè)技術(shù)體系����;研制標(biāo)準(zhǔn)、工具�����、系統(tǒng)平臺(tái)���,形成技術(shù)評(píng)價(jià)方案�����;在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域和新興領(lǐng)域進(jìn)行應(yīng)用和驗(yàn)證��,修正研究結(jié)果�。
預(yù)期成果和效益
項(xiàng)目預(yù)期研究建立信息安全度量模型����、信息安全測(cè)量溯源體系;研制重要的信息安全檢測(cè)基準(zhǔn)樣機(jī)和實(shí)驗(yàn)室能力驗(yàn)證物品�����、信息安全檢測(cè)基準(zhǔn)指標(biāo)庫(kù)系統(tǒng)��、信息安全質(zhì)量風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)���,以及重要產(chǎn)品�、服務(wù)�����、系統(tǒng)的信息安全檢測(cè)、評(píng)估工具和配套技術(shù)規(guī)范��;編制信息安全質(zhì)量風(fēng)險(xiǎn)評(píng)估指南����、信息安全認(rèn)證認(rèn)可發(fā)展戰(zhàn)略報(bào)告,以及信息技術(shù)安全性評(píng)價(jià)技術(shù)體系運(yùn)行所需的支撐性技術(shù)文件等�����。
項(xiàng)目成果預(yù)期直接支撐國(guó)家信息安全產(chǎn)品認(rèn)證制度實(shí)施�����,并在關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障體系建設(shè)中發(fā)揮基礎(chǔ)性支撐作用�。
