研究目的
党中央、国务院高度重视信息安全认证认可体系建设,早在2003年,中办发〔2003〕27号文件就提出“要推进认证认可工作,规范和加强信息安全产品测评认证”,国认证联〔2004〕57号文明确提出“建立既符合国家利益的需要又遵循国际通行规则的统一的国家信息安全产品认证认可体系”,国发[2012]23号文要求“完善信息安全认证认可体系,加强信息安全产品认证工作,减少重复检测和重复收费”,国发[2012]9号《质量发展纲要(2011-2020年)》要求“完善信息安全认证认可体系,加强信息安全认证认可制度和能力建设,健全信息安全认证认可工作体系,促进信息安全认证认可结果的社会采信”。 近期,中央领导对新形势下信息安全认证认可工作提出更高要求,2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上做出重要指示“减少重复检测认证,施行优质优价政府采购制度,减轻企业负担,破除体制机制障碍”。
要切实落实中央要求,完善信息安全认证认可体系,就必须解决我国信息安全认证认可工作面临的三个基本问题:
一是对某些关键产品和服务,因缺少基于度量理论的评价指标体系和标准,或缺少检测所需的技术和方法等造成的“评价不了”问题;
二是因缺乏一致性溯源,检测结果不确定度未知等造成的“评价不准”问题;
三是因缺乏对关键产品和服务整体质量风险的监测技术手段,难以评估认证有效性造成的“评价效果不明”问题。
研究目标
从国内外研究现状看,在信息安全评价体系方面,国际上通用评估准则(CC)较成熟,但PP标准不统一,难以适应新技术发展,评价体系正面临改革。例如,CC互认安排实施十余年,仅形成针对具体产品的保护轮廓(PP)一百余项,近期推出的cPP仅4项。国内虽已建立起信息安全标准体系,开展了信息安全认证工作,但仍面临国家标准缺失、滞后,评价指标缺乏,对某些关键产品测评深度不够,对大型软件测评能力不足,对新兴领域测评能力不具备等问题。在信息安全检测基准方面:国外在在个别领域已开展初步研究,例如,网络安全基准检测方面形成了RFC 2544、RFC3511、RFC2889等标准,在一些性能基准方面开展了研究,但未形成普遍应用技术,在比对和检测质量控制方面仍然薄弱。国内初步研制了信息安全产品检测基准,积累了一定经验,但在检测基准的系统性、全面性、动态性方面存在不足。在产品信息安全质量风险监测方面,研究还存在空白,仅在相关方面具有一定基础,例如,已有可作为分析数据源的产品漏洞库,互联网安全事件应急响应系统等。
针对造成上述问题的体系不健全、关键技术能力不足等发展瓶颈,结合目前研究现状,本项目拟围绕信息安全评价、检测基准和质量风险监测,突破关键共性技术,研制急需的标准、样机、评估工具和系统平台,在关键信息基础设施领域和新兴领域开展应用,提高评价有效性和一致性水平,支撑国家信息安全产品认证制度实施和质量监管,提升信息安全认证认可体系在国家网络安全保障中的基础性支撑能力。
研究内容
研究信息安全检测基准技术体系:关键信息安全指标测量不确定度分析理论,测量溯源方法和体系;信息安全检测基准体系框架,信息安全产品检测基准标准、样机和能力验证物品;重要产品安全评价基准指标体系及指标库系统。
研究信息安全评价技术体系:适应我国信息安全认证需求的IT产品安全通用评价技术;针对关键信息基础设施中智能卡和工控关键设备等重要产品的安全设计的形式化验证、安全策略验证及数据流分析、隐通道分析等安全性评价关键、难点技术;新兴领域重要IT产品、系统和服务信息安全认证技术。
研究信息安全质量风险监测技术体系:基于互联网的信息安全质量风险监测模型、方法和体系;信息安全质量风险信息获取、评估、预警技术及相应系统。
技术路线
预期成果和效益
项目成果预期直接支撑国家信息安全产品认证制度实施,并在关键信息基础设施网络安全保障体系建设中发挥基础性支撑作用。
