甘肃建标企业管理有限公司
服务热线:13609384352
Banner
您现在的位置: 首页 > 新闻动态 > 内容
认证咨询
新闻动态
信息安全认证常识
编辑:甘肃建标企业管理有限公司   时间:2018-12-21

党中央、国务院高度重视信息安全认证认可体系建设,早在2003年,中办发〔2003〕27号文件就提出“要推进认证认可工作,规范和加强信息安全产品测评认证”,国认证联〔2004〕57号文明确提出“建立既符合国家利益的需要又遵循国际通行规则的统一的国家信息安全产品认证认可体系”,国发[2012]23号文要求“完善信息安全认证认可体系,武器装备认证加强信息安全产品认证工作,减少重复检测和重复收费”,国发[2012]9号《质量发展纲要(2011-2020年)》要求“完善信息安全认证认可体系,加强信息安全认证认可制度和能力建设,健全信息安全认证认可工作体系,促进信息安全认证认可结果的社会采信”。 近期,中央领导对新形势下信息安全认证认可工作提出更高要求,2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上做出重要指示“减少重复检测认证,施行优质优价政府采购制度,减轻企业负担,破除体制机制障碍”。

要切实落实中央要求,完善信息安全认证认可体系,就必须解决我国信息安全认证认可工作面临的三个基本问题:

一是对某些关键产品和服务,因缺少基于度量理论的评价指标体系和标准,或缺少检测所需的技术和方法等造成的“评价不了”问题;

二是因缺乏一致性溯源,检测结果不确定度未知等造成的“评价不准”问题;

三是因缺乏对关键产品和服务整体质量风险的监测技术手段,难以评估认证有效性造成的“评价效果不明”问题。

研究目标

从国内外研究现状看,在信息安全评价体系方面,国际上通用评估准则(CC)较成熟,但PP标准不统一,难以适应新技术发展,评价体系正面临改革。例如,CC互认安排实施十余年,仅形成针对具体产品的保护轮廓(PP)一百余项,近期推出的cPP仅4项。国内虽已建立起信息安全标准体系,开展了信息安全认证工作,但仍面临国家标准缺失、滞后,评价指标缺乏,对某些关键产品测评深度不够,对大型软件测评能力不足,对新兴领域测评能力不具备等问题。在信息安全检测基准方面:国外在在个别领域已开展初步研究,例如,网络安全基准检测方面形成了RFC 2544、RFC3511、RFC2889等标准,在一些性能基准方面开展了研究,但未形成普遍应用技术,在比对和检测质量控制方面仍然薄弱。国内初步研制了信息安全产品检测基准,积累了一定经验,但在检测基准的系统性、全面性、动态性方面存在不足。在产品信息安全质量风险监测方面,研究还存在空白,仅在相关方面具有一定基础,例如,已有可作为分析数据源的产品漏洞库,互联网安全事件应急响应系统等。

针对造成上述问题的体系不健全、关键技术能力不足等发展瓶颈,结合目前研究现状,本项目拟围绕信息安全评价、检测基准和质量风险监测,突破关键共性技术,研制急需的标准、样机、评估工具和系统平台,在关键信息基础设施领域和新兴领域开展应用,提高评价有效性和一致性水平,支撑国家信息安全产品认证制度实施和质量监管,提升信息安全认证认可体系在国家网络安全保障中的基础性支撑能力。

研究内容

研究信息安全认证认可理论和总体技术体系:信息安全认证认可理论、模型;涵盖评价、基准、监测等体系的总体技术框架;信息安全度量模型。

研究信息安全检测基准技术体系:关键信息安全指标测量不确定度分析理论,测量溯源方法和体系;信息安全检测基准体系框架,信息安全产品检测基准标准、样机和能力验证物品;重要产品安全评价基准指标体系及指标库系统。

研究信息安全评价技术体系:适应我国信息安全认证需求的IT产品安全通用评价技术;针对关键信息基础设施中智能卡和工控关键设备等重要产品的安全设计的形式化验证、安全策略验证及数据流分析、隐通道分析等安全性评价关键、难点技术;新兴领域重要IT产品、系统和服务信息安全认证技术。

研究信息安全质量风险监测技术体系:基于互联网的信息安全质量风险监测模型、方法和体系;信息安全质量风险信息获取、评估、预警技术及相应系统。

各部分研究内容关系如下图所示。

技术路线

拟按6阶段展开研究任务:分析上述三个问题及其原因,确定研究研究对象及其技术难点;研究国内外相关理论、方法,兰州信息安全认证公司为研究信息安全评价、检测基准和质量风险监测准备理论基础;研究建立信息安全度量模型和质量风险监测模型,为提出信息安全认证认可技术框架提供支撑;根据技术框架,建立信息安全检测基准技术体系、信息安全评价技术体系和信息安全质量风险监测技术体系;研制标准、工具、系统平台,形成技术评价方案;在关键信息基础设施领域和新兴领域进行应用和验证,修正研究结果。

预期成果和效益

项目预期研究建立信息安全度量模型、信息安全测量溯源体系;研制重要的信息安全检测基准样机和实验室能力验证物品、信息安全检测基准指标库系统、信息安全质量风险监测系统,以及重要产品、服务、系统的信息安全检测、评估工具和配套技术规范;编制信息安全质量风险评估指南、信息安全认证认可发展战略报告,以及信息技术安全性评价技术体系运行所需的支撑性技术文件等。

项目成果预期直接支撑国家信息安全产品认证制度实施,并在关键信息基础设施网络安全保障体系建设中发挥基础性支撑作用。

随着市场经济的成熟以及标准化水平的提高,现代认证已经发展成为市场经济体制下政府履行经济和社会管理职能的一个有机组成部分,成为国际上通行的技术管理和质量评价形式,日益受到各国政府和市场的高度重视并获得迅猛发展。

在信息安全领域,认证认可制度作为一种社会管理手段有其独特的优势。首先,信息安全产品和服务管理的技术性很强,通过采用认证认可制度,可以将政府从繁重的技术工作中解放出来,使政府能够将注意力集中在国家安全的专控领域。其次,政府部门依靠认证认可手段实现对经济社会活动的间接管理,直接采信认证结果,可以提高行政效率,减少行政成本和风险,从而实现科学管理、科学决策。

信息安全认证认可工作基本内容

2003年9月,国务院发布了《认证认可条例》(以下简称《条例》),对认证和认可做出了定义:认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动;认可则是指由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格,予以承认的合格评定活动。根据《条例》的定义,认证的对象分为三类:产品、服务和管理体系。在信息安全领域,目前针对这三类对象的认证活动在我国都已开展,即信息安全产品认证、信息安全服务认证和信息安全管理体系认证。

此外,社会上还广泛存在信息安全人员认证的概念,国外产业界以及研究机构也将信息安全领域的人员认证作为一种重要的信息安全认证活动,甚至将信息安全人员认证作为信息安全认证的基本形式之一。

  信息安全认证认可的国际发展

  认证认可的发展历史已经有一百余年,但从世界范围看,这一制度在信息安全领域的应用总体上还处于初期阶段。近年来,信息安全认证认可制度对信息安全的重要意义已经被越来越多的国家和地区所重视,很多实践工作也已开展。

  根据欧洲网络与信息安全局(ENISA)的调查,当前在欧盟成员国内广泛存在着名目繁多的信息安全认证制度(包括产品认证、人员认证和管理体系认证),数目可能达到百余种。ENISA报告中谈到,欧洲从事信息安全活动的人都认为基于公认标准的认证将在今后几年得到更广泛的接受。因此,ENISA强调要在全欧洲范围内广泛传播信息安全认证知识,促进信息安全认证结果被更多的人所采信,以此推动欧洲信息安全水平的提高。

  美国的信息安全认证制度主要是产品认证,这项工作起源于20世纪80年代,先后经历了“可信产品评估项目”(TPEP)、“可信技术评价项目”(TTAP)以及“国家信息保障联盟”(NIAP)的阶段。2001年,美国国家安全电信和信息系统安全委员会宣布,自2002年7月起,在“国家安全系统”(对于国家安全至关重要的信息系统)中强制使用经过NIAP认证的产品。2003年7月,美国国家安全电信和信息系统安全委员会发布了《国家信息保障采购政策修改概要》,重申了这一要求。近年来,美国不断强调信息安全产品认证的意义,推进商业产品和标准在国家安全系统中的使用,鼓励联邦和商业领域积极参考认证结果。

  亚洲国家近年来加快了信息安全产品认证的步伐。比如,为了加强政府信息系统安全、推动国际标准应用以及促进企业改进技术能力,韩国政府在采购政策中明确规定,政府机构必须在2006年1月1日起采购经认证的IT安全产品。日本的认证机构为国家信息技术安全局下属的信息安全认证办公室,负责运行日本的测评和认证体系。为了加强电子政务信息系统安全,2011年4月,日本信息安全政策委员会发布了新的管理标准《中央政府计算机系统信息安全度量的管理标准》,要求在有必要并且有供选择的获证产品的情况下,应采购经过IT安全评估和认证的产品。

  在信息安全的综合管理方面,西方发达国家重视系统化地安全管理。比如,德国对于政府及重点领域的安全管理,甘肃信息安全认证办理流程要求相关组织建立信息安全管理体系,以此为基本要求,突出各行业的针对性安全管理要求,从而构成信息安全保障体系的基本框架。

  目前,我国金融领域、通信领域、能源领域的行业主管部门均出台了信息安全管理体系建设和认证的引导政策。北京市经信委于2013年夏出台的文件,则鼓励北京市委办局有些选用通过27001认证的技术队伍提供的信息技术服务或信息安全服务。

地址:甘肃省兰州市城关区安定门外58号甘霖大厦1105室  电话:13609384352  手机:13609384352  电子邮箱:156162365@qq.com

技术支持: 众智捷网络 版权所有:甘肃建标企业管理有限公司手机版