网易科技讯 11月25日消息,2009中国(广州)计算机网络与信息安全高峰论坛今天在广州举行。网易科技作为独家门户网络支持媒体进行现场报道。
公安部安全与警用电子产品质量检测中心主任助理、信息安全博士后、副研究员 范红
公安部安全与警用电子产品质量检测中心主任助理、信息安全博士后、副研究员、国家863信息系统安全等级保护技术研发联盟组长范红出席本次论坛,进行了题为 “国家信息安全系统整体保护技术实现情况介绍”的主题演讲。
范红:尊敬的各位领导和来宾,我是公安部安全与警用电子产品安全中心的范红。近年来,按照部里面统一的部署和安排,公安部检测中心高度重视信息安全工作,组成了专门的研究队伍,引进了一批专业的人才,明确了工作的发展方向,加大信息安全工作的投入,在信息系统整体保护技术实现上取得了一系列阶段性的成果,承担信息安全的标准制订工作;承担一系列国家级部级科研重点项目,开展信息系统等级保护技术研发工作;成为部机关和业务局信息安全支持单位,这是检测中心承担的部分国家标准和国家强制性公共安全行业标准,这其中国家标准信息系统等级保护的实际需要,按照主管部门对信息系统安全建设的要求制订的,对信息系统等级保护安全建设技术方案的设计具有指导和参考作用。
《信息系统等级保护安全设计技术要求测评规范》(草案)依据《信息系统等级保护安全设计技术要求》进行安全建设工程验收和测试提供指导。
从2007年起检测中心根据国家信息安全等级保护的总体要求,承担了等级化信息系统安全建设实验环境与检验平台,国家863项目,多级安全应用平台及互联关键项目。
等级化信息系统安全建设实验环境与检验平台,项目主要内容是基于GB17859-1999的安全等级划分,构建多级安全应用平台,开发安全功能符合型检验工具集和第二十九届奥运会风险的评估工具。
该项目实现以下的功能:为信息系统等级保护安全建设提供示范环境;为信息安全产品分级使用管理提供检验平与手段;为信息系统等级保护安全技术方案设计提供验证环境;为信息安全风险评估提供工具与手段。2008年结合奥运的需求,按照奥运风险评估指南工具手段,随着评估对象的不同可以扩展。
具体的内容就不再展开了,依据等级保护系统对定级的信息系统从技术实现上国内首次的探索,这次是完成的二、三、四级系统安全建设,符合型检验的结构图,这是第29届风险评估工具主要的功能模块,该项目在2008年底通过验收。2009年4月7日国家863信息系统安全等级保护技术研发联盟正式成立,该联盟是检测中心所在的公安部第一研究所作为联盟组长单位,与国内十家企事业单位共同进行了国家863目标导向项目,多级安全应用平台和互联多项技术的研究和联合攻关,这在国家项目层面,从等级保护、关键技术、研究的第一个项目,国家投资将近一千万,这只是第一步,后续有更多的项目进行理论研究和攻关,通过这些努力,为技术实施当中的技术文化进行了深入的研究和实践。
通过上述的标准和项目的研究努力,我们目前已经或者即将取得以下成果,首先完成了国内首次的系统集成性二、三、四级应用平台的研发;完成了二、三、四级安全应用平台功能符合性检验工具集的研发;完成国家标准《信息系统安全等级保护安全设计技术要求》依据国家和政策一系列指导性标准,在系统基础上形成方案的依据;形成信息系统等级保护安全功能,符合型检验的指导规范。在这个基础之上,我们将进一步根据要求提炼出信息系统等级保护安全涉及技术要求的测评规范,通过这种测评规范保障设计要求的落地。通过在信息安全领域的技术积累与发展,目前成为了公安部科技信心化局,公安部网络保卫局和信息安全支持单位。为满足公安信息通信网边界接入平台建设需要,受公安部科技信息化局委托,检测中心依据《公安信息通信网边界接入平台安全规范(试行》和国家有关安全产品和检测标准及要求,对防火墙和入侵检测等产品进行检测。通过检测的产品将入选公安信息通信网边界接入平台安全产品推荐目录。
接入平台工程验收安全测评:受公安部科技信息化局的委托,检测中心作为信息通信网边界接入平台测评安全工作,目前对长沙、吉林、泉州等地的机构平台进行了安全测评,目前全国大概有100多个,我们将在局里面的统一部署下,对每个点进行了工程验收的安全测评,安全检查为贯彻落实办公厅文件,全国公安信息系统安全检查实施意见的通知要求,作为全国信息系统检查的委托技术单位之一,对全国公安信息系统,根据政策文件的要求,从安全管理,安全计算环境,安全区域边界,安全通信网络和安全管理中心几方面开展安全检查的技术支持服务,目前我们已在科技信息化局的统一指导下,完成的检查方案、检查工作模式以及相关培训的准备,并和部分省级和市级进行了长期检查的前期工作。检测中心与国内具有实力的企业正在联系共同进行国家标准和信息系统等级保护安全设计要求的解读,依据设计要求检验设计方案的研讨会。
作为部信息安全技术支持单位,公安部检测中心下一步将在部相关业务局指导下,在公安部第一研究所领导下,继续推进信息安全各项工作。抓好重点课题,我们认线多级安全业务平台等级保护的重要课题,目前在积极推进863重点项目企事业单位进行积累和储备。我们在企事业单位在全国范围内和公安安全进行了应用和示范推广,服务公安一线,我们将认真的继续完成好科技信息化局和网络安全保卫局赋予我们各项的任务,包括产品检测、系统平台验收,安全检查和技术保护实践的推荐工作,也为国家的信息安全,为公安信息化的建设作出我们的努力。以上是今天的发言,敬请领导和同志们批评指正。