添加時間:2016-09-01 16:40:15
黨中央、國務院高度重視信息安全認證認可體系建設,早在2003年,中辦發〔2003〕27號文件就提出“要推進認證認可工作,規范和加強信息安全產品測評認證”,國認證聯〔2004〕57號文明確提出“建立既符合國家利益的需要又遵循國際通行規則的統一的國家信息安全產品認證認可體系”,國發[2012]23號文要求“完善信息安全認證認可體系,加強信息安全產品認證工作,減少重復檢測和重復收費”,國發[2012]9號《質量發展綱要(2011-2020年)》要求“完善信息安全認證認可體系,加強信息安全認證認可制度和能力建設,健全信息安全認證認可工作體系,促進信息安全認證認可結果的社會采信”。 近期,中央領導對新形勢下信息安全認證認可工作提出更高要求,2016年4月19日,習近平總書記在網絡安全和信息化工作座談會上做出重要指示“減少重復檢測認證,施行優質優價政府采購制度,減輕企業負擔,破除體制機制障礙”。
要切實落實中央要求,完善信息安全認證認可體系,就必須解決我國信息安全認證認可工作面臨的三個基本問題:
從國內外研究現狀看,在信息安全評價體系方面,國際上通用評估準則(CC)較成熟,但PP標準不統一,難以適應新技術發展,評價體系正面臨改革。例如,CC互認安排實施十余年,僅形成針對具體產品的保護輪廓(PP)一百余項,近期推出的cPP僅4項。國內雖已建立起信息安全標準體系,開展了信息安全認證工作,但仍面臨國家標準缺失、滯后,評價指標缺乏,對某些關鍵產品測評深度不夠,對大型軟件測評能力不足,對新興領域測評能力不具備等問題。在信息安全檢測基準方面:國外在在個別領域已開展初步研究,例如,網絡安全基準檢測方面形成了RFC 2544、RFC3511、RFC2889等標準,在一些性能基準方面開展了研究,但未形成普遍應用技術,在比對和檢測質量控制方面仍然薄弱。國內初步研制了信息安全產品檢測基準,積累了一定經驗,但在檢測基準的系統性、全面性、動態性方面存在不足。在產品信息安全質量風險監測方面,研究還存在空白,僅在相關方面具有一定基礎,例如,已有可作為分析數據源的產品漏洞庫,互聯網安全事件應急響應系統等。
針對造成上述問題的體系不健全、關鍵技術能力不足等發展瓶頸,結合目前研究現狀,本項目擬圍繞信息安全評價、檢測基準和質量風險監測,突破關鍵共性技術,研制急需的標準、樣機、評估工具和系統平臺,在關鍵信息基礎設施領域和新興領域開展應用,提高評價有效性和一致性水平,支撐國家信息安全產品認證制度實施和質量監管,提升信息安全認證認可體系在國家網絡安全保障中的基礎性支撐能力。
研究信息安全認證認可理論和總體技術體系:信息安全認證認可理論、模型;涵蓋評價、基準、監測等體系的總體技術框架;信息安全度量模型。
研究信息安全檢測基準技術體系:關鍵信息安全指標測量不確定度分析理論,測量溯源方法和體系;信息安全檢測基準體系框架,信息安全產品檢測基準標準、樣機和能力驗證物品;重要產品安全評價基準指標體系及指標庫系統。
研究信息安全評價技術體系:適應我國信息安全認證需求的IT產品安全通用評價技術;針對關鍵信息基礎設施中智能卡和工控關鍵設備等重要產品的安全設計的形式化驗證、安全策略驗證及數據流分析、隱通道分析等安全性評價關鍵、難點技術;新興領域重要IT產品、系統和服務信息安全認證技術。
研究信息安全質量風險監測技術體系:基于互聯網的信息安全質量風險監測模型、方法和體系;信息安全質量風險信息獲取、評估、預警技術及相應系統。
各部分研究內容關系如下圖所示。
擬按6階段展開研究任務:分析上述三個問題及其原因,確定研究研究對象及其技術難點;研究國內外相關理論、方法,為研究信息安全評價、檢測基準和質量風險監測準備理論基礎;研究建立信息安全度量模型和質量風險監測模型,為提出信息安全認證認可技術框架提供支撐;根據技術框架,建立信息安全檢測基準技術體系、信息安全評價技術體系和信息安全質量風險監測技術體系;研制標準、工具、系統平臺,形成技術評價方案;在關鍵信息基礎設施領域和新興領域進行應用和驗證,修正研究結果。
項目預期研究建立信息安全度量模型、信息安全測量溯源體系;研制重要的信息安全檢測基準樣機和實驗室能力驗證物品、信息安全檢測基準指標庫系統、信息安全質量風險監測系統,以及重要產品、服務、系統的信息安全檢測、評估工具和配套技術規范;編制信息安全質量風險評估指南、信息安全認證認可發展戰略報告,以及信息技術安全性評價技術體系運行所需的支撐性技術文件等。
項目成果預期直接支撐國家信息安全產品認證制度實施,并在關鍵信息基礎設施網絡安全保障體系建設中發揮基礎性支撐作用。
供稿:中國信息安全認證中心
電話:010-80888836 手機: 18211163602
版權所有:北京中鑫標科技有限公司 ICP備案號:京ICP備2021012723號