信息安全产品认证关键技术研究课题中期汇报.ppt

十一五”国家科技支撑计划重点项目信息安全产品认证关键技术研究 课题中期汇报中国电子技术标准化研究所 2009年10月14日2008BAK42B06汇报提纲一、课题情况介绍三、课题关键技术四、课题创新点六、实施成效及效益分析五、课题成果八、问题与建议七、经费使用情况二、课题组织实施及完成情况课题概况n课题名称：信息安全产品认证关键技术研究n课题经费: 363万元；n课题参与单位n中国电子技术标准化研究所n中国信息安全认证中心n北京信息安全测评中心n上海三零卫士信息安全有限公司n公安部第三研究所n北京启明星辰信息技术股份有限公司1. 研究提出我国信息安全产品与服务认证发展策略建议；2. 针对安全隔离与信息交换和数据备份与恢复两类产品、信息安全系统集成和信息安全应急响应两类服务，编制技术要求和测评标准，研究提出认证技术和方法；3. 建立上述产品和服务的认证基准库，开发相应的认证评价管理工具，逐步完善信息安全产品与服务认证技术体系；4. 开展两类产品与两类服务的认证示范应用全面推进我国信息安全产品与服务认证工作，提高信息安全 产品与服务质量，支撑自主可控的信息安全保障体系建设课题研究目标汇报提纲一、课题情况介绍三、课题关键技术四、课题创新点六、实施成效及效益分析五、课题成果八、问题与建议七、经费使用情况二、课题组织实施及完成情况课题组织管理总体组(胡啸)专家组(沈昌祥院士)秘书组(杨晨)标准起草组(中国电子技 术标准化研究所)认证评价技术研究组(中 国信息安全认证中心)基准库研究组(中国电 子技术标准化研究所)认证管理工具研究组( 中国信息安全认证中心)实施战略研究组(中国 信息安全认证中心)课题组织实施• 制定了《课题内部管理办法》，加强课题的组织实施管理 ；• 召开课题总体组会议，研究落实课题研究目标、研究内容 和技术路线，细化课题任务，明确任务分工，确定时间节点 ,保障了课题各项研究内容的顺利实施；• 召开课题协调会与技术研讨会，加强课题技术与成果交流 ，对研究中遇到的技术难点进行攻关,确保了研究目标的顺 利实现；• 召开课题专家研讨会，就课题研究中的技术难点和遇到的 关键技术问题听取专家的指导意见,确保了研究路线和技术 方案的正确性。

课题实施技术路线调研分析（国内、国外）实施 战略 研究管理工具开发认证关键 技术研究产品与服务技术 要求和测评标准 制定示范应用基准库开发课题研究进度计划课题考核指标完成情况汇报提纲一、课题情况介绍三、课题关键技术四、课题创新点六、实施成效及效益分析五、课题成果八、问题与建议七、经费使用情况二、课题组织实施及完成情况课题关键技术Ø信息安全产品（安全隔离与信息交换产品、数据备份与恢复产品）的认证评价技术；Ø信息安全服务（信息安全系统集成与信息安全应急响应服务）能力的认证评价技术；Ø信息安全产品认证评价技术和评价能力的验证技术信息安全产品的认证评价技术Ø解决了数据备份与恢复产品功能验证、性能测试、安全保证等认证评价技术l规范了产品的安全功能，提出可操作的测试方法；l规范产品的性能要求，提出性能测试方法，编制了性能测试的典型测试用例；l构建了数据备份与恢复产品的标准符合性测试环境Ø解决了安全隔离与信息交换产品的安全性测试、 渗透性测试、安全保证等认证评价技术l基于安全隔离与信息交换产品的脆弱性分析，提出了 安全漏洞列表；l将渗透性测试技术用于产品的安全保证评估，以支撑 产品的标准符合性测试；l开发了安全隔离与信息交换产品测试工具，构建了相 应的测试环境、测试方法、测试用例等，利用共享存 储介质（如内存、显存）进行渗透性测试。

信息安全产品的认证评价技术Ø提出了信息安全应急响应服务过程模型和评价指 标体系l建立信息安全应急响应服务6阶段模型•准备阶段、检测阶段、抑制阶段、根除阶段、恢复 阶段、总结阶段；l提出信息安全应急响应服务能力评价指标体系•3类指标：组织规模、技术能力、质量控制；•3个级别：由高到低分为1级、2级、3级信息安全服务能力的认证评价技术Ø提出了信息安全系统集成服务过程模型和成熟度级 别指标体系l建立信息安全系统集成服务全过程模型• 提出信息安全系统集成服务的分类、以及相关的关键过 程节点，形成统一的服务过程模型，规范认证对象和内 容l提出信息安全系统集成服务能力成熟度级别指标体系• 基于服务过程模型，提出服务能力成熟的指标体系，为 认证提供基本依据和方法信息安全服务能力的认证评价技术汇报提纲一、课题情况介绍三、课题关键技术四、课题创新点六、实施成效及效益分析五、课题成果八、问题与建议七、经费使用情况二、课题组织实施及完成情况课题创新点Ø首次提出了针对数据备份与恢复产品的技术要求和 测试标准草案l目前国内外还没有针对数据备份与恢复产品的功能、性能 、安全性等技术要求的标准，课题通过对该类产品的调研 和分析，首次提出针对数据备份与恢复产品的技术要求和 测试方法标准草案；l《数据备份与恢复产品技术要求和测试方法》标准草案为 我国在该类产品研发、测试、管理等方面提供技术支持， 有利保障了数据备份与恢复产品认证工作的顺利开展；l建立了数据备份与恢复产品的标准符合性测试环境和测试 用例集。

课题创新点Ø构建了完整的安全隔离与信息交换产品测试平台， 包括测试环境、测试方法、测试工具、测试用例等测试工具原理图课题创新点Ø较全面的提出应急响应服务能力的评价指标体系课题创新点Ø将建立信息安全关键产品和信息安全服务能力认证基准库l认证基准库包括相关政策法规、技术标准、理论知识、认证评价方 法、认证评价工具、案例等，能够保证认证评价的一致性，为认证 工作的开展提供技术支撑课题创新点Ø将提出我国信息安全产品和信息安全服务认证策略l结合我国信息安全服务与产品的产业现状，针对性的提出既符合国家利益，又遵循国际通用规则的我国信息安全产品和服务认证策略，为制定我国信息安全认证实施战略奠定基础，推动信息安全产业发展，降低信息安全风险汇报提纲一、课题情况介绍三、课题关键技术四、课题创新点六、实施成效及效益分析五、课题成果八、问题与建议七、经费使用情况二、课题组织实施及完成情况课题成果Ø数据备份与恢复产品技术要求及测试方法（征求 意见稿）；Ø信息安全服务管理指南（草案）；Ø信息安全服务指南（草案）；Ø安全隔离与信息交换产品调研报告；Ø数据备份与恢复产品调研报告；Ø信息安全服务管理研究报告；Ø……课题成果Ø信息安全应急处理服务资质认证证书26张l应急处理服务资质认证一级证书9张，二、三级证书17 张。

Ø信息安全产品国家认证证书34张l北京启明星辰信息安全技术有限公司等14家企业的34 款信息安全产品汇报提纲一、课题情况介绍三、课题关键技术四、课题创新点六、实施成效及效益分析五、课题成果八、问题与建议七、经费使用情况二、课题组织实施及完成情况实施成效Ø将信息安全产品和信息安全服务能力认证关键技术等课题研 究成果应用于认证实施，目前已颁发应急处理服务资质认证 证书26张，信息安全产品认证证书34张，对于规范信息安全 应急响应服务行业、促进信息安全产业的发展具有重要的意 义，为国家重要活动的顺利举办提供了保障l在奥运保障期间，首批获得应急处理服务资质认证的22家企业全力 参与了奥运安保工作，其中8家获得了国家计算机网络应急处理技术 协调中心的表彰；l获得资质认证证书的上海三零卫士信息安全有限公司、北京天融信 科技有限公司等被推荐为世博会信息安全系统应急响应和安全集成 服务提供商，为世博会信息系统的安全、稳定、高效运行提供安全 保障,取得了良好的社会效益效益分析Ø经济效益: 课题研究成果将明确我国信息安全产品和服务的认证策 略，建立健全我国信息安全产品与服务认证制度，提高国内信息安全 产品和服务质量，推动国内信息安全企业主导我国信息安全产业市场 ，提高国内信息安全产品与国际信息安全产品的兼容性以及在国际上 的影响力和竞争力，促进我国信息安全产品和服务产业的快速、健康 发展；Ø社会效益: 课题研究成果将突破信息安全产品和服务认证关键技术 ，增强我国信息安全评价能力，保证信息安全产品的安全性和可靠性 ，为建设自主可控的信息安全保障体系提供基础支撑，有效防范和控 制军队、政府等核心要害部门在信息技术产品和服务的采购过程中可 能引入的安全风险，保障国家信息安全。

汇报提纲一、课题情况介绍三、课题关键技术四、课题创新点六、实施成效及效益分析五、课题成果八、问题与建议七、经费使用情况二、课题组织实施及完成情况经费使用情况Ø课题实施已使用经费198.4万(已到经费283万)汇报提纲一、课题情况介绍三、课题关键技术四、课题创新点六、实施成效及效益分析五、课题成果八、问题与建议七、经费使用情况二、课题组织实施及完成情况问题与建议Ø国外对信息安全产品关键测试评价技术不公开，尤其是对高安全级别 产品的测试评价技术保密；Ø在目前时间过半、任务过半、经费过半的情况下，课题组需要进一步 加强课题内部沟通交流，强化课题实施管理，合理安排经费使用；Ø进一步发挥课题专家顾问组作用，在基准库建设、认证实施策略研究 等方面广泛听取专家指导意见；Ø加强对信息安全产品认证评价技术和评价能力的验证技术合力攻关， 突破关键技术难点；Ø建议加强产品和服务认证的推广和实施力度，提高社会对信息安全认 证的认可度敬请各位专家领导指正！谢谢！。