課題6-中國國家認(rèn)證認(rèn)可監(jiān)督管理委員會

1、“十一五”國家科技支撐計劃重點項目信息安全產(chǎn)品認(rèn)證關(guān)鍵技術(shù)研究課題中期匯報中國電子技術(shù)標(biāo)準(zhǔn)化研究所2009年10月14日,2008BAK42B06,匯報提綱,,課題概況,課題名稱：信息安全產(chǎn)品認(rèn)證關(guān)鍵技術(shù)研究課題經(jīng)費: 363萬元；課題參與單位中國電子技術(shù)標(biāo)準(zhǔn)化研究所中國信息安全認(rèn)證中心北京信息安全測評中心上海三零衛(wèi)士信息安全有限公司公安部第三研究所北京啟明星辰信息技術(shù)股份有限公司,,1. 研究提出我國信息

2、安全產(chǎn)品與服務(wù)認(rèn)證發(fā)展策略建議；2. 針對安全隔離與信息交換和數(shù)據(jù)備份與恢復(fù)兩類產(chǎn)品、信息安全系統(tǒng)集成和信息安全應(yīng)急響應(yīng)兩類服務(wù)，編制技術(shù)要求和測評標(biāo)準(zhǔn)，研究提出認(rèn)證技術(shù)和方法；3. 建立上述產(chǎn)品和服務(wù)的認(rèn)證基準(zhǔn)庫，開發(fā)相應(yīng)的認(rèn)證評價管理工具，逐步完善信息安全產(chǎn)品與服務(wù)認(rèn)證技術(shù)體系；4. 開展兩類產(chǎn)品與兩類服務(wù)的認(rèn)證示范應(yīng)用。,全面推進(jìn)我國信息安全產(chǎn)品與服務(wù)認(rèn)證工作，提高信息安全產(chǎn)品與服務(wù)質(zhì)量，支撐自主可控的信息安全保障體系建設(shè)。

3、,課題研究目標(biāo),,匯報提綱,,課題組織管理,課題組織實施,,制定了《課題內(nèi)部管理辦法》，加強課題的組織實施管理； 召開課題總體組會議，研究落實課題研究目標(biāo)、研究內(nèi)容和技術(shù)路線，細(xì)化課題任務(wù)，明確任務(wù)分工，確定時間節(jié)點,保障了課題各項研究內(nèi)容的順利實施； 召開課題協(xié)調(diào)會與技術(shù)研討會，加強課題技術(shù)與成果交流，對研究中遇到的技術(shù)難點進(jìn)行攻關(guān),確保了研究目標(biāo)的順利實現(xiàn)； 召開課題專家研討會，就課題研究中的技術(shù)難點和遇到的關(guān)鍵技術(shù)問題聽取專

4、家的指導(dǎo)意見,確保了研究路線和技術(shù)方案的正確性。,課題實施技術(shù)路線,調(diào)研分析（國內(nèi)、國外）,實施戰(zhàn)略研究,管理工具開發(fā),認(rèn)證關(guān)鍵技術(shù)研究,產(chǎn)品與服務(wù)技術(shù)要求和測評標(biāo)準(zhǔn)制定,,,,,示范應(yīng)用,基準(zhǔn)庫開發(fā),,,,課題研究進(jìn)度計劃,課題考核指標(biāo)完成情況,匯報提綱,,課題關(guān)鍵技術(shù),信息安全產(chǎn)品（安全隔離與信息交換產(chǎn)品、數(shù)據(jù)備份與恢復(fù)產(chǎn)品）的認(rèn)證評價技術(shù)；信息安全服務(wù)（信息安全系統(tǒng)集成與信息安全應(yīng)急響應(yīng)服務(wù)）能力的認(rèn)證評價技術(shù)；信息

5、安全產(chǎn)品認(rèn)證評價技術(shù)和評價能力的驗證技術(shù)。,信息安全產(chǎn)品的認(rèn)證評價技術(shù),解決了數(shù)據(jù)備份與恢復(fù)產(chǎn)品功能驗證、性能測試、安全保證等認(rèn)證評價技術(shù)規(guī)范了產(chǎn)品的安全功能，提出可操作的測試方法；規(guī)范產(chǎn)品的性能要求，提出性能測試方法，編制了性能測試的典型測試用例；構(gòu)建了數(shù)據(jù)備份與恢復(fù)產(chǎn)品的標(biāo)準(zhǔn)符合性測試環(huán)境。,解決了安全隔離與信息交換產(chǎn)品的安全性測試、滲透性測試、安全保證等認(rèn)證評價技術(shù)基于安全隔離與信息交換產(chǎn)品的脆弱性分析，提出了安全漏洞列表

6、；將滲透性測試技術(shù)用于產(chǎn)品的安全保證評估，以支撐產(chǎn)品的標(biāo)準(zhǔn)符合性測試；開發(fā)了安全隔離與信息交換產(chǎn)品測試工具，構(gòu)建了相應(yīng)的測試環(huán)境、測試方法、測試用例等，利用共享存儲介質(zhì)（如內(nèi)存、顯存）進(jìn)行滲透性測試。,信息安全產(chǎn)品的認(rèn)證評價技術(shù),提出了信息安全應(yīng)急響應(yīng)服務(wù)過程模型和評價指標(biāo)體系建立信息安全應(yīng)急響應(yīng)服務(wù)6階段模型準(zhǔn)備階段、檢測階段、抑制階段、根除階段、恢復(fù)階段、總結(jié)階段；提出信息安全應(yīng)急響應(yīng)服務(wù)能力評價指標(biāo)體系3類指標(biāo)：組織規(guī)

7、模、技術(shù)能力、質(zhì)量控制；3個級別：由高到低分為1級、2級、3級。,信息安全服務(wù)能力的認(rèn)證評價技術(shù),提出了信息安全系統(tǒng)集成服務(wù)過程模型和成熟度級別指標(biāo)體系建立信息安全系統(tǒng)集成服務(wù)全過程模型提出信息安全系統(tǒng)集成服務(wù)的分類、以及相關(guān)的關(guān)鍵過程節(jié)點，形成統(tǒng)一的服務(wù)過程模型，規(guī)范認(rèn)證對象和內(nèi)容。提出信息安全系統(tǒng)集成服務(wù)能力成熟度級別指標(biāo)體系基于服務(wù)過程模型，提出服務(wù)能力成熟的指標(biāo)體系，為認(rèn)證提供基本依據(jù)和方法。,信息安全服務(wù)能力的認(rèn)證評

8、價技術(shù),匯報提綱,,課題創(chuàng)新點,首次提出了針對數(shù)據(jù)備份與恢復(fù)產(chǎn)品的技術(shù)要求和測試標(biāo)準(zhǔn)草案目前國內(nèi)外還沒有針對數(shù)據(jù)備份與恢復(fù)產(chǎn)品的功能、性能、安全性等技術(shù)要求的標(biāo)準(zhǔn)，課題通過對該類產(chǎn)品的調(diào)研和分析，首次提出針對數(shù)據(jù)備份與恢復(fù)產(chǎn)品的技術(shù)要求和測試方法標(biāo)準(zhǔn)草案；《數(shù)據(jù)備份與恢復(fù)產(chǎn)品技術(shù)要求和測試方法》標(biāo)準(zhǔn)草案為我國在該類產(chǎn)品研發(fā)、測試、管理等方面提供技術(shù)支持，有利保障了數(shù)據(jù)備份與恢復(fù)產(chǎn)品認(rèn)證工作的順利開展；建立了數(shù)據(jù)備份與恢復(fù)產(chǎn)品的標(biāo)準(zhǔn)

9、符合性測試環(huán)境和測試用例集。,課題創(chuàng)新點,構(gòu)建了完整的安全隔離與信息交換產(chǎn)品測試平臺，包括測試環(huán)境、測試方法、測試工具、測試用例等,測試工具原理圖,課題創(chuàng)新點,較全面的提出應(yīng)急響應(yīng)服務(wù)能力的評價指標(biāo)體系,,課題創(chuàng)新點,將建立信息安全關(guān)鍵產(chǎn)品和信息安全服務(wù)能力認(rèn)證基準(zhǔn)庫認(rèn)證基準(zhǔn)庫包括相關(guān)政策法規(guī)、技術(shù)標(biāo)準(zhǔn)、理論知識、認(rèn)證評價方法、認(rèn)證評價工具、案例等，能夠保證認(rèn)證評價的一致性，為認(rèn)證工作的開展提供技術(shù)支撐。,,,課題創(chuàng)新點,將提出我國信

10、息安全產(chǎn)品和信息安全服務(wù)認(rèn)證策略結(jié)合我國信息安全服務(wù)與產(chǎn)品的產(chǎn)業(yè)現(xiàn)狀，針對性的提出既符合國家利益，又遵循國際通用規(guī)則的我國信息安全產(chǎn)品和服務(wù)認(rèn)證策略，為制定我國信息安全認(rèn)證實施戰(zhàn)略奠定基礎(chǔ)，推動信息安全產(chǎn)業(yè)發(fā)展，降低信息安全風(fēng)險。,匯報提綱,,課題成果,數(shù)據(jù)備份與恢復(fù)產(chǎn)品技術(shù)要求及測試方法（征求意見稿）；信息安全服務(wù)管理指南（草案）；信息安全服務(wù)指南（草案）；安全隔離與信息交換產(chǎn)品調(diào)研報告；數(shù)據(jù)備份與恢復(fù)產(chǎn)品調(diào)研報告；信息安

11、全服務(wù)管理研究報告；……,課題成果,信息安全應(yīng)急處理服務(wù)資質(zhì)認(rèn)證證書26張應(yīng)急處理服務(wù)資質(zhì)認(rèn)證一級證書9張，二、三級證書17張。信息安全產(chǎn)品國家認(rèn)證證書34張北京啟明星辰信息安全技術(shù)有限公司等14家企業(yè)的34款信息安全產(chǎn)品。,匯報提綱,,實施成效,將信息安全產(chǎn)品和信息安全服務(wù)能力認(rèn)證關(guān)鍵技術(shù)等課題研究成果應(yīng)用于認(rèn)證實施，目前已頒發(fā)應(yīng)急處理服務(wù)資質(zhì)認(rèn)證證書26張，信息安全產(chǎn)品認(rèn)證證書34張，對于規(guī)范信息安全應(yīng)急響應(yīng)服務(wù)行業(yè)、促進(jìn)信

12、息安全產(chǎn)業(yè)的發(fā)展具有重要的意義，為國家重要活動的順利舉辦提供了保障在奧運保障期間，首批獲得應(yīng)急處理服務(wù)資質(zhì)認(rèn)證的22家企業(yè)全力參與了奧運安保工作，其中8家獲得了國家計算機網(wǎng)絡(luò)應(yīng)急處理技術(shù)協(xié)調(diào)中心的表彰；獲得資質(zhì)認(rèn)證證書的上海三零衛(wèi)士信息安全有限公司、北京天融信科技有限公司等被推薦為世博會信息安全系統(tǒng)應(yīng)急響應(yīng)和安全集成服務(wù)提供商，為世博會信息系統(tǒng)的安全、穩(wěn)定、高效運行提供安全保障,取得了良好的社會效益。,效益分析,經(jīng)濟效益: 課題研究

13、成果將明確我國信息安全產(chǎn)品和服務(wù)的認(rèn)證策略，建立健全我國信息安全產(chǎn)品與服務(wù)認(rèn)證制度，提高國內(nèi)信息安全產(chǎn)品和服務(wù)質(zhì)量，推動國內(nèi)信息安全企業(yè)主導(dǎo)我國信息安全產(chǎn)業(yè)市場，提高國內(nèi)信息安全產(chǎn)品與國際信息安全產(chǎn)品的兼容性以及在國際上的影響力和競爭力，促進(jìn)我國信息安全產(chǎn)品和服務(wù)產(chǎn)業(yè)的快速、健康發(fā)展；社會效益: 課題研究成果將突破信息安全產(chǎn)品和服務(wù)認(rèn)證關(guān)鍵技術(shù)，增強我國信息安全評價能力，保證信息安全產(chǎn)品的安全性和可靠性，為建設(shè)自主可控的信息安全保障體

14、系提供基礎(chǔ)支撐，有效防范和控制軍隊、政府等核心要害部門在信息技術(shù)產(chǎn)品和服務(wù)的采購過程中可能引入的安全風(fēng)險，保障國家信息安全。,匯報提綱,,經(jīng)費使用情況,課題實施已使用經(jīng)費198.4萬(已到經(jīng)費283萬),匯報提綱,,問題與建議,國外對信息安全產(chǎn)品關(guān)鍵測試評價技術(shù)不公開，尤其是對高安全級別產(chǎn)品的測試評價技術(shù)保密；在目前時間過半、任務(wù)過半、經(jīng)費過半的情況下，課題組需要進(jìn)一步加強課題內(nèi)部溝通交流，強化課題實施管理，合理安排經(jīng)費使用；進(jìn)一步