國家重點專項:信息安全認證如何煉成“金鐘罩”
作者:admin 發(fā)表時間:2016/9/2 13:49:48 點擊:3038
研究目的
黨中央、國務(wù)院高度重視信息安全認證認可體系建設(shè)�,早在2003年�����,中辦發(fā)〔2003〕27號文件就提出“要推進認證認可工作��,規(guī)范和加強信息安全產(chǎn)品測評認證”����,國認證聯(lián)〔2004〕57號文明確提出“建立既符合國家利益的需要又遵循國際通行規(guī)則的統(tǒng)一的國家信息安全產(chǎn)品認證認可體系”��,國發(fā)[2012]23號文要求“完善信息安全認證認可體系�����,加強信息安全產(chǎn)品認證工作�����,減少重復(fù)檢測和重復(fù)收費”�,國發(fā)[2012]9號《質(zhì)量發(fā)展綱要(2011-2020年)》要求“完善信息安全認證認可體系,加強信息安全認證認可制度和能力建設(shè)�,健全信息安全認證認可工作體系,促進信息安全認證認可結(jié)果的社會采信”����。 近期,中央領(lǐng)導(dǎo)對新形勢下信息安全認證認可工作提出更高要求���,2016年4月19日����,習近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會上做出重要指示“減少重復(fù)檢測認證,施行優(yōu)質(zhì)優(yōu)價政府采購制度����,減輕企業(yè)負擔,破除體制機制障礙”�����。
要切實落實中央要求���,完善信息安全認證認可體系���,就必須解決我國信息安全認證認可工作面臨的三個基本問題:
一是對某些關(guān)鍵產(chǎn)品和服務(wù),因缺少基于度量理論的評價指標體系和標準�,或缺少檢測所需的技術(shù)和方法等造成的“評價不了”問題;
二是因缺乏一致性溯源�����,檢測結(jié)果不確定度未知等造成的“評價不準”問題��;
三是因缺乏對關(guān)鍵產(chǎn)品和服務(wù)整體質(zhì)量風險的監(jiān)測技術(shù)手段,難以評估認證有效性造成的“評價效果不明”問題�����。
研究目標
從國內(nèi)外研究現(xiàn)狀看�����,在信息安全評價體系方面�����,國際上通用評估準則(CC)較成熟���,但PP標準不統(tǒng)一,難以適應(yīng)新技術(shù)發(fā)展����,評價體系正面臨改革。例如�����,CC互認安排實施十余年�����,僅形成針對具體產(chǎn)品的保護輪廓(PP)一百余項,近期推出的cPP僅4項�。國內(nèi)雖已建立起信息安全標準體系,開展了信息安全認證工作���,但仍面臨國家標準缺失�����、滯后�����,評價指標缺乏����,對某些關(guān)鍵產(chǎn)品測評深度不夠�,對大型軟件測評能力不足,對新興領(lǐng)域測評能力不具備等問題��。在信息安全檢測基準方面:國外在在個別領(lǐng)域已開展初步研究�,例如,網(wǎng)絡(luò)安全基準檢測方面形成了RFC 2544����、RFC3511���、RFC2889等標準,在一些性能基準方面開展了研究�����,但未形成普遍應(yīng)用技術(shù)��,在比對和檢測質(zhì)量控制方面仍然薄弱�。國內(nèi)初步研制了信息安全產(chǎn)品檢測基準�,積累了一定經(jīng)驗,但在檢測基準的系統(tǒng)性�、全面性、動態(tài)性方面存在不足����。在產(chǎn)品信息安全質(zhì)量風險監(jiān)測方面,研究還存在空白�����,僅在相關(guān)方面具有一定基礎(chǔ)�,例如�����,已有可作為分析數(shù)據(jù)源的產(chǎn)品漏洞庫��,互聯(lián)網(wǎng)安全事件應(yīng)急響應(yīng)系統(tǒng)等�����。
針對造成上述問題的體系不健全���、關(guān)鍵技術(shù)能力不足等發(fā)展瓶頸,結(jié)合目前研究現(xiàn)狀�����,本項目擬圍繞信息安全評價���、檢測基準和質(zhì)量風險監(jiān)測��,突破關(guān)鍵共性技術(shù)��,研制急需的標準����、樣機、評估工具和系統(tǒng)平臺���,在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域和新興領(lǐng)域開展應(yīng)用�����,提高評價有效性和一致性水平��,支撐國家信息安全產(chǎn)品認證制度實施和質(zhì)量監(jiān)管���,提升信息安全認證認可體系在國家網(wǎng)絡(luò)安全保障中的基礎(chǔ)性支撐能力。
研究內(nèi)容
研究信息安全認證認可理論和總體技術(shù)體系:信息安全認證認可理論�����、模型��;涵蓋評價�、基準��、監(jiān)測等體系的總體技術(shù)框架��;信息安全度量模型。
研究信息安全檢測基準技術(shù)體系:關(guān)鍵信息安全指標測量不確定度分析理論�����,測量溯源方法和體系�����;信息安全檢測基準體系框架�����,信息安全產(chǎn)品檢測基準標準��、樣機和能力驗證物品�����;重要產(chǎn)品安全評價基準指標體系及指標庫系統(tǒng)���。
研究信息安全評價技術(shù)體系:適應(yīng)我國信息安全認證需求的IT產(chǎn)品安全通用評價技術(shù)����;針對關(guān)鍵信息基礎(chǔ)設(shè)施中智能卡和工控關(guān)鍵設(shè)備等重要產(chǎn)品的安全設(shè)計的形式化驗證��、安全策略驗證及數(shù)據(jù)流分析、隱通道分析等安全性評價關(guān)鍵�、難點技術(shù);新興領(lǐng)域重要IT產(chǎn)品����、系統(tǒng)和服務(wù)信息安全認證技術(shù)。
研究信息安全質(zhì)量風險監(jiān)測技術(shù)體系:基于互聯(lián)網(wǎng)的信息安全質(zhì)量風險監(jiān)測模型����、方法和體系;信息安全質(zhì)量風險信息獲取���、評估�����、預(yù)警技術(shù)及相應(yīng)系統(tǒng)�����。
技術(shù)路線
擬按6階段展開研究任務(wù):分析上述三個問題及其原因,確定研究研究對象及其技術(shù)難點����;研究國內(nèi)外相關(guān)理論、方法,為研究信息安全評價��、檢測基準和質(zhì)量風險監(jiān)測準備理論基礎(chǔ)��;研究建立信息安全度量模型和質(zhì)量風險監(jiān)測模型�����,為提出信息安全認證認可技術(shù)框架提供支撐��;根據(jù)技術(shù)框架�����,建立信息安全檢測基準技術(shù)體系����、信息安全評價技術(shù)體系和信息安全質(zhì)量風險監(jiān)測技術(shù)體系;研制標準��、工具�、系統(tǒng)平臺,形成技術(shù)評價方案�;在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域和新興領(lǐng)域進行應(yīng)用和驗證,修正研究結(jié)果��。
預(yù)期成果和效益
項目預(yù)期研究建立信息安全度量模型、信息安全測量溯源體系��;研制重要的信息安全檢測基準樣機和實驗室能力驗證物品�����、信息安全檢測基準指標庫系統(tǒng)�����、信息安全質(zhì)量風險監(jiān)測系統(tǒng)���,以及重要產(chǎn)品����、服務(wù)����、系統(tǒng)的信息安全檢測、評估工具和配套技術(shù)規(guī)范�����;編制信息安全質(zhì)量風險評估指南���、信息安全認證認可發(fā)展戰(zhàn)略報告�,以及信息技術(shù)安全性評價技術(shù)體系運行所需的支撐性技術(shù)文件等�。
項目成果預(yù)期直接支撐國家信息安全產(chǎn)品認證制度實施,并在關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障體系建設(shè)中發(fā)揮基礎(chǔ)性支撐作用�����。
