研究目的
黨中央、國務院高度重視信息安全認證認可體系建設,早在2003年,中辦發(fā)〔2003〕27號文件就提出“要推進認證認可工作,規(guī)范和加強信息安全產(chǎn)品測評認證”,國認證聯(lián)〔2004〕57號文明確提出“建立既符合國家利益的需要又遵循國際通行規(guī)則的統(tǒng)一的國家信息安全產(chǎn)品認證認可體系”,國發(fā)[2012]23號文要求“完善信息安全認證認可體系,加強信息安全產(chǎn)品認證工作,減少重復檢測和重復收費”,國發(fā)[2012]9號《質(zhì)量發(fā)展綱要(2011-2020年)》要求“完善信息安全認證認可體系,加強信息安全認證認可制度和能力建設,健全信息安全認證認可工作體系,促進信息安全認證認可結果的社會采信”。 近期,中央領導對新形勢下信息安全認證認可工作提出更高要求,2016年4月19日,習近平總書記在網(wǎng)絡安全和信息化工作座談會上做出重要指示“減少重復檢測認證,施行優(yōu)質(zhì)優(yōu)價政府采購制度,減輕企業(yè)負擔,破除體制機制障礙”。
要切實落實中央要求,完善信息安全認證認可體系,就必須解決我國信息安全認證認可工作面臨的三個基本問題:
一是對某些關鍵產(chǎn)品和服務,因缺少基于度量理論的評價指標體系和標準,或缺少檢測所需的技術和方法等造成的“評價不了”問題;
二是因缺乏一致性溯源,檢測結果不確定度未知等造成的“評價不準”問題;
三是因缺乏對關鍵產(chǎn)品和服務整體質(zhì)量風險的監(jiān)測技術手段,難以評估認證有效性造成的“評價效果不明”問題。
研究目標
從國內(nèi)外研究現(xiàn)狀看,在信息安全評價體系方面,國際上通用評估準則(CC)較成熟,但PP標準不統(tǒng)一,難以適應新技術發(fā)展,評價體系正面臨改革。例如,CC互認安排實施十余年,僅形成針對具體產(chǎn)品的保護輪廓(PP)一百余項,近期推出的cPP僅4項。國內(nèi)雖已建立起信息安全標準體系,開展了信息安全認證工作,但仍面臨國家標準缺失、滯后,評價指標缺乏,對某些關鍵產(chǎn)品測評深度不夠,對大型軟件測評能力不足,對新興領域測評能力不具備等問題。在信息安全檢測基準方面:國外在在個別領域已開展初步研究,例如,網(wǎng)絡安全基準檢測方面形成了RFC 2544、RFC3511、RFC2889等標準,在一些性能基準方面開展了研究,但未形成普遍應用技術,在比對和檢測質(zhì)量控制方面仍然薄弱。國內(nèi)初步研制了信息安全產(chǎn)品檢測基準,積累了一定經(jīng)驗,但在檢測基準的系統(tǒng)性、全面性、動態(tài)性方面存在不足。在產(chǎn)品信息安全質(zhì)量風險監(jiān)測方面,研究還存在空白,僅在相關方面具有一定基礎,例如,已有可作為分析數(shù)據(jù)源的產(chǎn)品漏洞庫,互聯(lián)網(wǎng)安全事件應急響應系統(tǒng)等。
針對造成上述問題的體系不健全、關鍵技術能力不足等發(fā)展瓶頸,結合目前研究現(xiàn)狀,本項目擬圍繞信息安全評價、檢測基準和質(zhì)量風險監(jiān)測,突破關鍵共性技術,研制急需的標準、樣機、評估工具和系統(tǒng)平臺,在關鍵信息基礎設施領域和新興領域開展應用,提高評價有效性和一致性水平,支撐國家信息安全產(chǎn)品認證制度實施和質(zhì)量監(jiān)管,提升信息安全認證認可體系在國家網(wǎng)絡安全保障中的基礎性支撐能力。
研究內(nèi)容
研究信息安全檢測基準技術體系:關鍵信息安全指標測量不確定度分析理論,測量溯源方法和體系;信息安全檢測基準體系框架,信息安全產(chǎn)品檢測基準標準、樣機和能力驗證物品;重要產(chǎn)品安全評價基準指標體系及指標庫系統(tǒng)。
研究信息安全評價技術體系:適應我國信息安全認證需求的IT產(chǎn)品安全通用評價技術;針對關鍵信息基礎設施中智能卡和工控關鍵設備等重要產(chǎn)品的安全設計的形式化驗證、安全策略驗證及數(shù)據(jù)流分析、隱通道分析等安全性評價關鍵、難點技術;新興領域重要IT產(chǎn)品、系統(tǒng)和服務信息安全認證技術。
研究信息安全質(zhì)量風險監(jiān)測技術體系:基于互聯(lián)網(wǎng)的信息安全質(zhì)量風險監(jiān)測模型、方法和體系;信息安全質(zhì)量風險信息獲取、評估、預警技術及相應系統(tǒng)。
技術路線
預期成果和效益
項目成果預期直接支撐國家信息安全產(chǎn)品認證制度實施,并在關鍵信息基礎設施網(wǎng)絡安全保障體系建設中發(fā)揮基礎性支撐作用。