信息安全产品认证关键技术研究 课题中期汇报 “十一五”国家科技支撑计划重点项目 中国电子技术标准化研究所 2009年10月14日

Presentation on theme: "信息安全产品认证关键技术研究 课题中期汇报 “十一五”国家科技支撑计划重点项目 中国电子技术标准化研究所 2009年10月14日"— Presentation transcript:

1 信息安全产品认证关键技术研究 课题中期汇报 “十一五”国家科技支撑计划重点项目 中国电子技术标准化研究所 2009年10月14日
2008BAK42B06 “十一五”国家科技支撑计划重点项目 信息安全产品认证关键技术研究 课题中期汇报 中国电子技术标准化研究所 2009年10月14日

2 汇报提纲 一、课题情况介绍 二、课题组织实施及完成情况 三、课题关键技术 四、课题创新点 五、课题成果 六、实施成效及效益分析
七、经费使用情况 八、问题与建议

3 课题概况 课题名称：信息安全产品认证关键技术研究 课题经费: 363万元； 课题参与单位 中国电子技术标准化研究所 中国信息安全认证中心
北京信息安全测评中心 上海三零卫士信息安全有限公司 公安部第三研究所 北京启明星辰信息技术股份有限公司

4 全面推进我国信息安全产品与服务认证工作，提高信息安全产品与服务质量，支撑自主可控的信息安全保障体系建设。
课题研究目标 1. 研究提出我国信息安全产品与服务认证发展策略建议； 2. 针对安全隔离与信息交换和数据备份与恢复两类产品、信息安全系统集成和信息安全应急响应两类服务，编制技术要求和测评标准，研究提出认证技术和方法； 3. 建立上述产品和服务的认证基准库，开发相应的认证评价管理工具，逐步完善信息安全产品与服务认证技术体系； 4. 开展两类产品与两类服务的认证示范应用。 全面推进我国信息安全产品与服务认证工作，提高信息安全产品与服务质量，支撑自主可控的信息安全保障体系建设。

5 汇报提纲 一、课题情况介绍 二、课题组织实施及完成情况 三、课题关键技术 四、课题创新点 五、课题成果 六、实施成效及效益分析
七、经费使用情况 八、问题与建议

6 课题组织管理 总体组(胡啸) 专家组(沈昌祥院士) 秘书组(杨晨) 基准库研究组(中国电子技术标准化研究所)
标准起草组(中国电子技术标准化研究所) 认证评价技术研究组(中国信息安全认证中心) 基准库研究组(中国电子技术标准化研究所) 认证管理工具研究组(中国信息安全认证中心) 实施战略研究组(中国信息安全认证中心)

7 课题组织实施 制定了《课题内部管理办法》，加强课题的组织实施管理；
召开课题总体组会议，研究落实课题研究目标、研究内容和技术路线，细化课题任务，明确任务分工，确定时间节点,保障了课题各项研究内容的顺利实施； 召开课题协调会与技术研讨会，加强课题技术与成果交流，对研究中遇到的技术难点进行攻关,确保了研究目标的顺利实现； 召开课题专家研讨会，就课题研究中的技术难点和遇到的关键技术问题听取专家的指导意见,确保了研究路线和技术方案的正确性。

8 课题实施技术路线 示范应用 基准库开发 管理工具开发 实施 战略 研究 认证关键 产品与服务技术 技术研究 要求和测评标准 制定
调研分析（国内、国外）

9 课题研究进度计划

10 课题考核指标完成情况

11 汇报提纲 一、课题情况介绍 二、课题组织实施及完成情况 三、课题关键技术 四、课题创新点 五、课题成果 六、实施成效及效益分析
七、经费使用情况 八、问题与建议

12 课题关键技术 信息安全产品（安全隔离与信息交换产品、数据备份与恢复产品）的认证评价技术；
信息安全服务（信息安全系统集成与信息安全应急响应服务）能力的认证评价技术； 信息安全产品认证评价技术和评价能力的验证技术。

13 信息安全产品的认证评价技术 解决了数据备份与恢复产品功能验证、性能测试、安全保证等认证评价技术 规范了产品的安全功能，提出可操作的测试方法；
规范产品的性能要求，提出性能测试方法，编制了性能测试的典型测试用例； 构建了数据备份与恢复产品的标准符合性测试环境。

14 信息安全产品的认证评价技术 解决了安全隔离与信息交换产品的安全性测试、渗透性测试、安全保证等认证评价技术
基于安全隔离与信息交换产品的脆弱性分析，提出了安全漏洞列表； 将渗透性测试技术用于产品的安全保证评估，以支撑产品的标准符合性测试； 开发了安全隔离与信息交换产品测试工具，构建了相应的测试环境、测试方法、测试用例等，利用共享存储介质（如内存、显存）进行渗透性测试。

15 信息安全服务能力的认证评价技术 提出了信息安全应急响应服务过程模型和评价指标体系 建立信息安全应急响应服务6阶段模型
准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段； 提出信息安全应急响应服务能力评价指标体系 3类指标：组织规模、技术能力、质量控制； 3个级别：由高到低分为1级、2级、3级。

16 信息安全服务能力的认证评价技术 提出了信息安全系统集成服务过程模型和成熟度级别指标体系 建立信息安全系统集成服务全过程模型
提出信息安全系统集成服务的分类、以及相关的关键过程节点，形成统一的服务过程模型，规范认证对象和内容。 提出信息安全系统集成服务能力成熟度级别指标体系 基于服务过程模型，提出服务能力成熟的指标体系，为认证提供基本依据和方法。 16

17 汇报提纲 一、课题情况介绍 二、课题组织实施及完成情况 三、课题关键技术 四、课题创新点 五、课题成果 六、实施成效及效益分析
七、经费使用情况 八、问题与建议

18 课题创新点 首次提出了针对数据备份与恢复产品的技术要求和测试标准草案
目前国内外还没有针对数据备份与恢复产品的功能、性能、安全性等技术要求的标准，课题通过对该类产品的调研和分析，首次提出针对数据备份与恢复产品的技术要求和测试方法标准草案； 《数据备份与恢复产品技术要求和测试方法》标准草案为我国在该类产品研发、测试、管理等方面提供技术支持，有利保障了数据备份与恢复产品认证工作的顺利开展； 建立了数据备份与恢复产品的标准符合性测试环境和测试用例集。

19 课题创新点 构建了完整的安全隔离与信息交换产品测试平台，包括测试环境、测试方法、测试工具、测试用例等 测试工具原理图

20 课题创新点 较全面的提出应急响应服务能力的评价指标体系

21 课题创新点 将建立信息安全关键产品和信息安全服务能力认证基准库
认证基准库包括相关政策法规、技术标准、理论知识、认证评价方法、认证评价工具、案例等，能够保证认证评价的一致性，为认证工作的开展提供技术支撑。

22 课题创新点 将提出我国信息安全产品和信息安全服务认证策略
结合我国信息安全服务与产品的产业现状，针对性的提出既符合国家利益，又遵循国际通用规则的我国信息安全产品和服务认证策略，为制定我国信息安全认证实施战略奠定基础，推动信息安全产业发展，降低信息安全风险。

23 汇报提纲 一、课题情况介绍 二、课题组织实施及完成情况 三、课题关键技术 四、课题创新点 五、课题成果 六、实施成效及效益分析
七、经费使用情况 八、问题与建议

24 课题成果 数据备份与恢复产品技术要求及测试方法（征求意见稿）； 信息安全服务管理指南（草案）； 信息安全服务指南（草案）；
安全隔离与信息交换产品调研报告； 数据备份与恢复产品调研报告； 信息安全服务管理研究报告； ……

25 课题成果 信息安全应急处理服务资质认证证书26张 信息安全产品国家认证证书34张 应急处理服务资质认证一级证书9张，二、三级证书17张。
北京启明星辰信息安全技术有限公司等14家企业的34款信息安全产品。

26 汇报提纲 一、课题情况介绍 二、课题组织实施及完成情况 三、课题关键技术 四、课题创新点 五、课题成果 六、实施成效及效益分析
七、经费使用情况 八、问题与建议

27 实施成效 将信息安全产品和信息安全服务能力认证关键技术等课题研究成果应用于认证实施，目前已颁发应急处理服务资质认证证书26张，信息安全产品认证证书34张，对于规范信息安全应急响应服务行业、促进信息安全产业的发展具有重要的意义，为国家重要活动的顺利举办提供了保障 在奥运保障期间，首批获得应急处理服务资质认证的22家企业全力参与了奥运安保工作，其中8家获得了国家计算机网络应急处理技术协调中心的表彰； 获得资质认证证书的上海三零卫士信息安全有限公司、北京天融信科技有限公司等被推荐为世博会信息安全系统应急响应和安全集成服务提供商，为世博会信息系统的安全、稳定、高效运行提供安全保障,取得了良好的社会效益。

28 效益分析 经济效益: 课题研究成果将明确我国信息安全产品和服务的认证策略，建立健全我国信息安全产品与服务认证制度，提高国内信息安全产品和服务质量，推动国内信息安全企业主导我国信息安全产业市场，提高国内信息安全产品与国际信息安全产品的兼容性以及在国际上的影响力和竞争力，促进我国信息安全产品和服务产业的快速、健康发展； 社会效益: 课题研究成果将突破信息安全产品和服务认证关键技术，增强我国信息安全评价能力，保证信息安全产品的安全性和可靠性，为建设自主可控的信息安全保障体系提供基础支撑，有效防范和控制军队、政府等核心要害部门在信息技术产品和服务的采购过程中可能引入的安全风险，保障国家信息安全。

29 汇报提纲 一、课题情况介绍 二、课题组织实施及完成情况 三、课题关键技术 四、课题创新点 五、课题成果 六、实施成效及效益分析
七、经费使用情况 八、问题与建议

30 经费使用情况 课题实施已使用经费198.4万(已到经费283万)

31 汇报提纲 一、课题情况介绍 二、课题组织实施及完成情况 三、课题关键技术 四、课题创新点 五、课题成果 六、实施成效及效益分析
七、经费使用情况 八、问题与建议

32 问题与建议 国外对信息安全产品关键测试评价技术不公开，尤其是对高安全级别产品的测试评价技术保密；
在目前时间过半、任务过半、经费过半的情况下，课题组需要进一步加强课题内部沟通交流，强化课题实施管理，合理安排经费使用； 进一步发挥课题专家顾问组作用，在基准库建设、认证实施策略研究等方面广泛听取专家指导意见； 加强对信息安全产品认证评价技术和评价能力的验证技术合力攻关，突破关键技术难点； 建议加强产品和服务认证的推广和实施力度，提高社会对信息安全认证的认可度。

33 敬请各位专家领导指正！ 谢谢！