国家信息安全整体保护技术实现工作情况介绍

公安部检测中心信息系统整体安全保护技术实现工作情况介绍二零零九年十一月2公安部检测中心前言近年来，按照部里的统一部署和安排，公安部检测中心高度重视信息安全工作，组成了专门的研究队伍，引进了一批专业人才，明确了工作的发展方向,加大了信息安全研究工作的投入，在信息系统整体安全保护技术实现上取得了一系列积极的、阶段性成果。3公安部检测中心承担信息安全标准的制订工作。31承担一系列国家及部级科研重点项目，开展信息系统等级保护的技术研发工作。32成为部机关各业务局的信息安全技术支持单位。334公安部检测中心信息安全标准制订GB/T20984-2007《信息安全风险评估规范》1国标《信息系统等级保护安全设计技术要求》（信安秘字[2009]059号）2《信息系统等级保护安全设计技术要求测评规范》（草案）3GB/T21052-2007《信息系统物理安全技术要求》4行标《信息安全等级保护产品分级使用审核与技术检验要求》5承担国家标准和强制性公共安全行业标准的制订：行标《信息安全等级保护测评机构资格审查规范》65公安部检测中心信息安全标准制订国家标准《信息系统等级保护安全设计技术要求》(信安秘字[2009]059号)是根据我国信息安全等级保护的实际需要，按照主管部门对信息系统安全建设的要求制订的，对信息系统等级保护安全建设技术方案的设计具有指导和参考作用。《信息系统等级保护安全设计技术要求测评规范》(草案)将为依据《信息系统等级保护安全设计技术要求》进行安全建设的工程验收和测试提供指导。6公安部检测中心承担国家及部级科研重点项目2007年起，根据国家信息安全等级保护的总体要求，我中心承担了“等级化信息系统安全建设实验环境与检验平台”、国家863项目“多级安全应用平台及互联关键技术”等信息安全等级保护技术科研项目。7公安部检测中心承担国家及部级科研重点项目“等级化信息系统安全建设实验环境与检验平台”项目的主要内容是：基于GB17859-1999的安全等级划分，构建多级安全应用平台，开发安全功能符合性检验工具集和第二十九届奥运会风险评估工具。该项目实现以下功能：为信息系统等级保护安全建设提供示范环境为信息安全产品分级使用管理提供检验平台与手段为信息系统等级保护安全技术方案设计提供验证环境为信息安全风险评估提供工具与手段8公安部检测中心承担国家及部级科研重点项目移动终端身份验证计算环境（可选）管理中心资源服务器集群数字证书认证服务器生物特征认证服务器数据中心计算环境恶意代码检测审计代理操作系统安全配置OA服务器边界完整性检测恶意代码检测审计代理客户端恶意代码检测审计代理操作系统安全配置管理控制台OA业务计算环境边界完整性检测恶意代码检测审计代理防火墙防火墙防火墙防火墙网络入侵检测引擎网络安全审计引擎智能卡认证服务器网络入侵检测引擎网络安全审计引擎网络入侵检测引擎网络安全审计引擎防火墙多级互联接口网络入侵检测引擎网络安全审计引擎审计服务器恶意代码服务器网管服务器入侵检测系统漏洞扫描系统区域边界安全区域边界安全区域边界安全区域边界安全网络通信安全二级安全应用平台拓扑结构9公安部检测中心承担国家及部级科研重点项目三级安全应用平台拓扑结构10公安部检测中心承担国家及部级科研重点项目移动终端身份验证计算环境安全管理中心资源服务器集群安全审计服务器安全策略管理中心容灾备份服务器数字证书认证服务器生物特征认证服务器数据中心计算环境安全操作系统强制访问控制机制安全数据库可信审计引擎系统完整性保护容灾备份代理主机监控代理应用安全封装部门服务器系统可信环境安全Linux可信审计组件安全策略组件多安全级别客户端安全操作系统强制访问控制内部保密性检查内部完整性检查可信审计组件可信备份/恢复应用安全应用封装安全管理控制台业务部门计算环境VPN客户端安全加固系统可信审计组件系统可信环境公文存储加密VPN安全网关网络流向控制组件网络干扰隔离组件VPN安全网关网络流向控制组件网络干扰隔离组件VPN安全网关网络流向控制组件网络干扰隔离组件VPN安全网关网络流向控制组件网络干扰隔离组件安全策略部署应用安全审计监测应用智能卡认证服务器网络可信接入组件网络安全审计组件网络可信接入组件网络安全审计组件可信信息过滤组件多级互联接口区域边界网络可信接入组件网络安全审计组件安全监控服务器区域边界区域边界区域边界网络通信密码管理中心网络通信Windows应用环境安全加固系统执行程序校验程序权限控制可信接入组件安全网关四级安全应用平台拓扑结构11公安部检测中心承担国家及部级科研重点项目通信链路结构化分析工具系统库基础库问卷库模板库模板库后台数据库多级安全应用支撑平台客户端客户端客户端检验工具集检验工具集检验工具集检验工具集检验工具集拓扑结构12公安部检测中心承担国家及部级科研重点项目系统功能模块用户管理模块项目管理模块保护对象功能模块威胁分析模块脆弱性分析模块控制措施分析模块风险分析模块风险处置模块统计分析模块手工检查管理核查技术测试网络资产软件及服务资产分析信息及内容资产分析人员资产分析信息安全风险评估系统类型管理模块报告生成模块第二十九届奥运会风险评估工具13公安部检测中心承担国家及部级科研重点项目2009年4月7日，国家863信息系统安全等级保护技术研发联盟正式成立，公安部第一研究所作为联盟组长单位，与国内十家企事业单位共同进行国家八六三目标导向项目“多级安全应用平台及互联关键技术”的研究与联合攻关，对国家信息安全等级保护制度的技术实施中的关键技术问题进行深入研究与实践。14公安部检测中心承担国家及部级科研重点项目取得如下成果：完成国家标准《信息系统安全等级保护安全设计技术要求》（信安秘字[2009]059号）3发表可以收录四检的高质量学术论文七十五篇5形成信息系统等级保护安全功能符合性检验的指导规范4完成二、三、四级安全应用平台的研发1完成二、三、四级安全应用平台功能符合性检验工具集的研发215公安部检测中心承担国家及部级科研重点项目申请专利十一项8培养锻炼一支队伍9出版专著《信息系统等级保护安全建设技术方案设计实现与应用》7出版专著《信息系统等级保护安全设计技术实现与使用》616公安部检测中心信息安全技术支持单位通过在信息安全领域的技术积累与发展，成为公安部科技信息化局、公安部网络安全保卫局的信息安全技术支持单位，承担公安信息通信网边界安全接入平台入围产品安全检测、接入平台安全测评和检测验收工作，公安信息系统安全检查工作，以及信息系统等级保护安全建设技术支持的有关工作。17公安部检测中心信息安全技术支持单位接入平台产品入围安全检测：为满足公安信息通信网边界接入平台建设需要，受公安部科技信息化局委托，检测中心依据《公安信息通信网边界接入平台安全规范（试行）》和国家有关安全产品的检测标准及要求，对防火墙和入侵检测等产品进行检测。通过检测的产品将入选公安信息通信网边界接入平台安全产品推荐目录。目前，已经对华为、启明星辰、天融信等将近二十家产品开展入围产品检测工作。18公安部检测中心信息安全技术支持单位接入平台工程验收安全测评：受公安部科技信息化局委托，检测中心作为信息通信网边界接入平台安全测评的委托单位，对公安信息通信网边界接入平台进行测评。依据《公安信息通信网边界接入安全规范（试行）》，起草接入平台测评大纲，开展了公安信息通信网边界接入平台安全测评工作。目前，已对长沙、吉林、泉州等地的接入平台进行了安全测评。19公安部检测中心信息安全技术支持单位安全检查：为贯彻落实部办公厅文件关于印发《全国公安信息系统安全检查实施意见》的通知精神，检测中心做为全国公安信息系统安全检查的委托技术单位之一，对全国公安信息系统从安全管理、安全计算环境、安全区域边界、安全通信网络和安全管理中心等几方面开展安全检查的技术支持服务。目前已在局里的统一指导下完成检查方案、检查工具、检查工作模式以及相关培训的准备，并已和部分省厅和市局进行了安全检查工作的前期准备。20公安部检测中心信息安全技术支持单位另外，检测中心目前正与多家具有实力的信息安全企业共同进行国标设计要求的解读与技术实现方案的研讨，共同为国家信息系统等级保护制度的实施进行技术理论与实践的探索。21公安部检测中心结束语做为部信息安全技术支持单位，公安部检测中心下一步将在部相关业务局指导下，在公安部第一研究所的领导下，继续推进信息安全各项工作。跟踪前沿成果31抓好重点课题32推进实际应用33服务公安一线3422公安部检测中心