國家重點專項:信息安全認證如何煉成“金鐘罩”
作者:admin 發(fā)表時間:2016/9/2 13:49:48 點擊:3009
研究目的
黨中央����、國務院高度重視信息安全認證認可體系建設���,早在2003年����,中辦發(fā)〔2003〕27號文件就提出“要推進認證認可工作,規(guī)范和加強信息安全產(chǎn)品測評認證”��,國認證聯(lián)〔2004〕57號文明確提出“建立既符合國家利益的需要又遵循國際通行規(guī)則的統(tǒng)一的國家信息安全產(chǎn)品認證認可體系”��,國發(fā)[2012]23號文要求“完善信息安全認證認可體系�����,加強信息安全產(chǎn)品認證工作�����,減少重復檢測和重復收費”�����,國發(fā)[2012]9號《質(zhì)量發(fā)展綱要(2011-2020年)》要求“完善信息安全認證認可體系��,加強信息安全認證認可制度和能力建設���,健全信息安全認證認可工作體系,促進信息安全認證認可結果的社會采信”���。 近期����,中央領導對新形勢下信息安全認證認可工作提出更高要求,2016年4月19日��,習近平總書記在網(wǎng)絡安全和信息化工作座談會上做出重要指示“減少重復檢測認證����,施行優(yōu)質(zhì)優(yōu)價政府采購制度,減輕企業(yè)負擔�,破除體制機制障礙”。
要切實落實中央要求�,完善信息安全認證認可體系,就必須解決我國信息安全認證認可工作面臨的三個基本問題:
一是對某些關鍵產(chǎn)品和服務���,因缺少基于度量理論的評價指標體系和標準����,或缺少檢測所需的技術和方法等造成的“評價不了”問題��;
二是因缺乏一致性溯源�,檢測結果不確定度未知等造成的“評價不準”問題;
三是因缺乏對關鍵產(chǎn)品和服務整體質(zhì)量風險的監(jiān)測技術手段��,難以評估認證有效性造成的“評價效果不明”問題。
研究目標
從國內(nèi)外研究現(xiàn)狀看��,在信息安全評價體系方面��,國際上通用評估準則(CC)較成熟�����,但PP標準不統(tǒng)一�����,難以適應新技術發(fā)展���,評價體系正面臨改革。例如����,CC互認安排實施十余年,僅形成針對具體產(chǎn)品的保護輪廓(PP)一百余項�,近期推出的cPP僅4項。國內(nèi)雖已建立起信息安全標準體系��,開展了信息安全認證工作�,但仍面臨國家標準缺失、滯后,評價指標缺乏����,對某些關鍵產(chǎn)品測評深度不夠,對大型軟件測評能力不足����,對新興領域測評能力不具備等問題。在信息安全檢測基準方面:國外在在個別領域已開展初步研究���,例如���,網(wǎng)絡安全基準檢測方面形成了RFC 2544、RFC3511�����、RFC2889等標準��,在一些性能基準方面開展了研究����,但未形成普遍應用技術,在比對和檢測質(zhì)量控制方面仍然薄弱�。國內(nèi)初步研制了信息安全產(chǎn)品檢測基準�,積累了一定經(jīng)驗����,但在檢測基準的系統(tǒng)性、全面性���、動態(tài)性方面存在不足����。在產(chǎn)品信息安全質(zhì)量風險監(jiān)測方面����,研究還存在空白,僅在相關方面具有一定基礎���,例如�,已有可作為分析數(shù)據(jù)源的產(chǎn)品漏洞庫��,互聯(lián)網(wǎng)安全事件應急響應系統(tǒng)等��。
針對造成上述問題的體系不健全��、關鍵技術能力不足等發(fā)展瓶頸�,結合目前研究現(xiàn)狀,本項目擬圍繞信息安全評價���、檢測基準和質(zhì)量風險監(jiān)測�,突破關鍵共性技術��,研制急需的標準��、樣機��、評估工具和系統(tǒng)平臺�����,在關鍵信息基礎設施領域和新興領域開展應用����,提高評價有效性和一致性水平,支撐國家信息安全產(chǎn)品認證制度實施和質(zhì)量監(jiān)管�����,提升信息安全認證認可體系在國家網(wǎng)絡安全保障中的基礎性支撐能力�����。
研究內(nèi)容
研究信息安全認證認可理論和總體技術體系:信息安全認證認可理論、模型���;涵蓋評價����、基準��、監(jiān)測等體系的總體技術框架����;信息安全度量模型。
研究信息安全檢測基準技術體系:關鍵信息安全指標測量不確定度分析理論����,測量溯源方法和體系;信息安全檢測基準體系框架����,信息安全產(chǎn)品檢測基準標準、樣機和能力驗證物品�;重要產(chǎn)品安全評價基準指標體系及指標庫系統(tǒng)。
研究信息安全評價技術體系:適應我國信息安全認證需求的IT產(chǎn)品安全通用評價技術����;針對關鍵信息基礎設施中智能卡和工控關鍵設備等重要產(chǎn)品的安全設計的形式化驗證、安全策略驗證及數(shù)據(jù)流分析���、隱通道分析等安全性評價關鍵�、難點技術���;新興領域重要IT產(chǎn)品��、系統(tǒng)和服務信息安全認證技術���。
研究信息安全質(zhì)量風險監(jiān)測技術體系:基于互聯(lián)網(wǎng)的信息安全質(zhì)量風險監(jiān)測模型、方法和體系�;信息安全質(zhì)量風險信息獲取、評估�����、預警技術及相應系統(tǒng)���。
技術路線
擬按6階段展開研究任務:分析上述三個問題及其原因�����,確定研究研究對象及其技術難點���;研究國內(nèi)外相關理論�����、方法�,為研究信息安全評價���、檢測基準和質(zhì)量風險監(jiān)測準備理論基礎�����;研究建立信息安全度量模型和質(zhì)量風險監(jiān)測模型���,為提出信息安全認證認可技術框架提供支撐;根據(jù)技術框架����,建立信息安全檢測基準技術體系、信息安全評價技術體系和信息安全質(zhì)量風險監(jiān)測技術體系�;研制標準、工具�����、系統(tǒng)平臺,形成技術評價方案��;在關鍵信息基礎設施領域和新興領域進行應用和驗證�����,修正研究結果�。
預期成果和效益
項目預期研究建立信息安全度量模型��、信息安全測量溯源體系�����;研制重要的信息安全檢測基準樣機和實驗室能力驗證物品���、信息安全檢測基準指標庫系統(tǒng)����、信息安全質(zhì)量風險監(jiān)測系統(tǒng)����,以及重要產(chǎn)品、服務、系統(tǒng)的信息安全檢測�����、評估工具和配套技術規(guī)范���;編制信息安全質(zhì)量風險評估指南���、信息安全認證認可發(fā)展戰(zhàn)略報告,以及信息技術安全性評價技術體系運行所需的支撐性技術文件等�。
項目成果預期直接支撐國家信息安全產(chǎn)品認證制度實施,并在關鍵信息基礎設施網(wǎng)絡安全保障體系建設中發(fā)揮基礎性支撐作用��。
