信息安全共性技術(shù)國家工程研究中心簡介培訓(xùn)課件

一月25信息安全共性技術(shù)國家工程

研究中心簡介2中心概況2004年8月，國家發(fā)改委批準(zhǔn)中科院軟件所牽頭組建前身為中國科學(xué)院信息安全工程技術(shù)研究中心總投資6500萬元中心總部位于北京市中關(guān)村核心區(qū)，研發(fā)基地位于中科院軟件園區(qū)

新中關(guān)大廈16層中科院軟件所9層針對我國信息安全建設(shè)中存在的安全技術(shù)難控制和安全攻擊防范措施薄弱的問題，開展信息安全保障體系相關(guān)的國家信息安全戰(zhàn)略、安全體系結(jié)構(gòu)、核心技術(shù)、產(chǎn)業(yè)標(biāo)準(zhǔn)、系統(tǒng)測評等共性支撐技術(shù)的研究、開發(fā)、咨詢服務(wù)與培訓(xùn)工作。加速我國信息安全領(lǐng)域科研成果向現(xiàn)實(shí)生產(chǎn)力的轉(zhuǎn)化，推動我國信息安全產(chǎn)業(yè)的整體發(fā)展，滿足國家信息安全戰(zhàn)略的需求。中心定位5中心運(yùn)作機(jī)制采用理事會領(lǐng)導(dǎo)下的主任負(fù)責(zé)制實(shí)行“理事會決策、主任班子執(zhí)行、專家組把關(guān)、市場化運(yùn)作”的機(jī)制下設(shè)三大安全實(shí)驗(yàn)室信息安全測評與服務(wù)實(shí)驗(yàn)室信息安全關(guān)鍵技術(shù)實(shí)驗(yàn)室信息安全技術(shù)標(biāo)準(zhǔn)實(shí)驗(yàn)室中心環(huán)境建設(shè)6中心團(tuán)隊(duì)建設(shè)測評服務(wù)實(shí)驗(yàn)室共33人咨詢組、攻防組、實(shí)施組負(fù)責(zé)對外開展各類安全測評與服務(wù)，其中骨干人員曾接受公安部等保測評培訓(xùn)，并擁有開展安全測評和咨詢服務(wù)的技術(shù)能力和豐富經(jīng)驗(yàn)研發(fā)部依托工程中心和重點(diǎn)實(shí)驗(yàn)室，負(fù)責(zé)為測評服務(wù)所需的方法研究、技術(shù)開發(fā)、工具平臺研制提供支持商用密碼產(chǎn)品生產(chǎn)定點(diǎn)單位商用密碼產(chǎn)品銷售許可單位國家信息安全測評信息安全服務(wù)資質(zhì)ISO9000質(zhì)量管理體系認(rèn)證北京市政務(wù)信息安全應(yīng)急處置協(xié)作單位高新技術(shù)企業(yè)軟件企業(yè)中關(guān)村高新技術(shù)企業(yè)協(xié)會會員中關(guān)村開放實(shí)驗(yàn)室中關(guān)村企業(yè)信用促進(jìn)會會員中心資質(zhì)9核心業(yè)務(wù)（1）咨詢服務(wù)面向政府、軍隊(duì)、大型企事業(yè)單位的安全體系規(guī)劃、等級保護(hù)咨詢及整改建設(shè)、風(fēng)險(xiǎn)評估、安全加固、滲透測試、安全運(yùn)維保障、信息安全工程監(jiān)理安全測評支撐國家戰(zhàn)略和行業(yè)發(fā)展需求的安全測評技術(shù)、平臺與工具標(biāo)準(zhǔn)制定與驗(yàn)證國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、特殊行業(yè)應(yīng)用標(biāo)準(zhǔn)及規(guī)范的研究與制定驗(yàn)證標(biāo)準(zhǔn)符合性及安全功能的關(guān)鍵技術(shù)與管理體系10核心業(yè)務(wù)（2）關(guān)鍵技術(shù)研發(fā)高強(qiáng)度認(rèn)證技術(shù)、高性能網(wǎng)絡(luò)安全防護(hù)技術(shù)、高安全等級系統(tǒng)軟件、大規(guī)模網(wǎng)絡(luò)主動防御技術(shù)、信息安全工程化技術(shù)成果轉(zhuǎn)化信息安全共性構(gòu)件、安全和基礎(chǔ)平臺軟件、高端核心產(chǎn)品人才培養(yǎng)面向信息安全產(chǎn)業(yè)發(fā)展的技術(shù)與服務(wù)人員培養(yǎng)面向國家及行業(yè)需求的信息安全專業(yè)培訓(xùn)承擔(dān)國家高技術(shù)研究發(fā)展計(jì)劃（863）、國家高技術(shù)產(chǎn)業(yè)化等國家級和部委級科研項(xiàng)目10余項(xiàng)針對20余家政府部門、行業(yè)機(jī)構(gòu)和企事業(yè)單位提供了安全測評、安全服務(wù)、安全測評工具，其中包括政府、電力、金融、軍工等重要行業(yè)共計(jì)開展30余項(xiàng)安全測評服務(wù)工作，范圍涵蓋咨詢規(guī)劃、測評加固、安全整改、應(yīng)急保障、工具研發(fā)、安全培訓(xùn)等方面中心業(yè)務(wù)開展情況承擔(dān)國家項(xiàng)目情況國家高新技術(shù)產(chǎn)業(yè)化項(xiàng)目面向重要信息系統(tǒng)安全測評檢查的基準(zhǔn)測試床與配套服務(wù)國家863計(jì)劃項(xiàng)目分布式計(jì)算的安全模型及關(guān)鍵技術(shù)研究信息系統(tǒng)等級保護(hù)安全功能符合性檢驗(yàn)技術(shù)研究與實(shí)現(xiàn)基于大規(guī)模網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的主動防御系統(tǒng)ActiveNetCT國家自然基金項(xiàng)目分布式系統(tǒng)的脆弱性模型研究1213已有成果已轉(zhuǎn)化7項(xiàng)信息安全核心技術(shù)已獲得6項(xiàng)軟件著作權(quán)參與制定2項(xiàng)國家標(biāo)準(zhǔn)參與制定8項(xiàng)地方和行業(yè)標(biāo)準(zhǔn)規(guī)范承擔(dān)國家高技術(shù)產(chǎn)業(yè)化信息安全專項(xiàng)主要客戶14成功案例（1）國家新聞出版總署－等級保護(hù)咨詢服務(wù)及建設(shè)整改北京市教內(nèi)蒙古電力公司－等級保護(hù)測評北京市教育委員會－等級保護(hù)咨詢服務(wù)中國人民大學(xué)－安全測評加固與整體規(guī)劃北京大學(xué)－信息安全測評與體系規(guī)劃中國科協(xié)信息中心－信息安全測評加固中國投資擔(dān)保有限公司－風(fēng)險(xiǎn)評估及整改加固國防科工委－信息安全風(fēng)險(xiǎn)評估中國科學(xué)院－信息安全保障體系建設(shè)規(guī)劃國家信息中心－電子政務(wù)外網(wǎng)安全互聯(lián)規(guī)劃北京信北京政務(wù)網(wǎng)站－信息安全應(yīng)急響應(yīng)息安全測評中心－統(tǒng)一安全配置規(guī)范某專網(wǎng)－安全評估與應(yīng)急響應(yīng)成功案例（2）公安部一所－等級保護(hù)符合性檢驗(yàn)工具公安部一所－奧運(yùn)信息安全風(fēng)險(xiǎn)評估平臺中國信息安全測評中心－安全態(tài)勢評估系統(tǒng)北京信息安全測評中心－等級保護(hù)支撐平臺北京信息安全測評中心－脆弱性掃描器上海信息安全測評中心－強(qiáng)制訪問控制檢驗(yàn)工具國家密碼管理局－可信計(jì)算機(jī)檢測平臺外交部－可信數(shù)據(jù)發(fā)布系統(tǒng)聯(lián)想網(wǎng)御－智能化安全評估系統(tǒng)中石油—原油評價(jià)數(shù)據(jù)中心網(wǎng)絡(luò)平臺輕工業(yè)信息中心－統(tǒng)一用戶管理平臺水利部-自然資源與空間信息數(shù)據(jù)平臺典型項(xiàng)目簡介新聞出版總署項(xiàng)目簡介中國人民大學(xué)項(xiàng)目簡介北京信息安全測評中心項(xiàng)目簡介公安部一所項(xiàng)目簡介17新聞出版總署項(xiàng)目簡介

工程中心為國家新聞出版總署旗下定級為等級保護(hù)三級系統(tǒng)的新聞出版總署門戶網(wǎng)站、國家版權(quán)局門戶網(wǎng)站、記者網(wǎng)、中國農(nóng)家書屋網(wǎng)、中國掃黃打非網(wǎng)等系統(tǒng)提供等級保護(hù)咨詢、整改建設(shè)加固服務(wù)。使上述系統(tǒng)達(dá)到等級保護(hù)第三級系統(tǒng)的要求，并最終獲得測評機(jī)構(gòu)出具的結(jié)論為基本符合的測評報(bào)告。18中國人民大學(xué)項(xiàng)目簡介

工程中心為中國人民大學(xué)的“數(shù)字校園”提供整體的安全咨詢服務(wù)，完成“數(shù)字校園”各業(yè)務(wù)系統(tǒng)的滲透測試和風(fēng)險(xiǎn)評估，并針對高危風(fēng)險(xiǎn)進(jìn)行整改加固，協(xié)助中國人民大學(xué)制定未來三年的信息安全整體規(guī)劃及相關(guān)管理體系的建立，為中國人民大學(xué)未來三年的信息化建設(shè)奠定了理論及標(biāo)準(zhǔn)基礎(chǔ)。19北京信息安全測評中心項(xiàng)目簡介

工程中心通過本項(xiàng)目的攻關(guān)，為北京信息安全測評中心研發(fā)國內(nèi)首個(gè)等級保護(hù)支撐平臺，形成了大量的研究成果，構(gòu)建了一套技術(shù)先進(jìn)、功能完善的等級保護(hù)業(yè)務(wù)平臺，技術(shù)水平達(dá)到國際先進(jìn)，國內(nèi)領(lǐng)先。項(xiàng)目共登記軟件著作權(quán)12項(xiàng)，起草北京地方標(biāo)準(zhǔn)2項(xiàng)，發(fā)布北京地方技術(shù)指南8部，相繼完成了60余個(gè)重要信息系統(tǒng)的安全測評，項(xiàng)目成果推廣應(yīng)用產(chǎn)生了良好的社會效益，大大推進(jìn)了北京市乃至全國的等級保護(hù)工作進(jìn)展。20等級保護(hù)支撐平臺21國內(nèi)首個(gè)等級保護(hù)綜合業(yè)務(wù)平臺實(shí)現(xiàn)等級測評、備案、管理等流程的自動化和規(guī)范化內(nèi)置多標(biāo)準(zhǔn)融合的等級測評方法庫GB17859、GB/T18336、GB/T19716等涵蓋操作系統(tǒng)等40余類軟硬件系統(tǒng)包含安全策略等10大管理類，36個(gè)管理目標(biāo)建立5400余項(xiàng)測試用例和300余項(xiàng)管理核查項(xiàng)集成自動化測評工具等級保護(hù)安全功能符合性檢驗(yàn)工具脆弱性掃描器工具包括14000余條漏洞記錄的安全漏洞庫在北京市信息辦、總參機(jī)要局等單位推廣應(yīng)用公安部一所項(xiàng)目簡介

工程中心為公安部一所研發(fā)“二、三、四級”安全功能符合性檢驗(yàn)工具集，為等級保護(hù)的合規(guī)性檢測，提供自動化、半自動化的安全性檢驗(yàn)工具，大大減低檢測實(shí)施的工作難度，提高了檢測實(shí)施的工作效率，為國家信息安全等級保護(hù)的工作的推動貢獻(xiàn)了巨大的力量。22安全功能符合性檢驗(yàn)工具集23基于動態(tài)、可定制的安全基線庫等級保護(hù)基本要求（2,3,4級）安全管理規(guī)范安全評估通用準(zhǔn)則終端安全配置規(guī)范自定義安全基線實(shí)現(xiàn)自動化安全核查和功能檢驗(yàn)插件方式滿足基線庫的擴(kuò)充性和更新要求在公安部一所、上海信息安全測評中心等單位應(yīng)用24第三方咨詢服務(wù)機(jī)構(gòu)：作為信息安全高端咨詢服務(wù)提供商，以第三方角度為客戶設(shè)計(jì)安全解決方案豐富的項(xiàng)目經(jīng)驗(yàn)：擁有豐富的等級測評、風(fēng)險(xiǎn)評估、安全體系咨詢規(guī)劃、等級保護(hù)整改建設(shè)的項(xiàng)目實(shí)施經(jīng)驗(yàn)，涉及電力、金融、教育、軍工、政府等行業(yè)完備的安全知識庫：擁有開展各類安全服務(wù)所需的測評表、檢查清單、調(diào)查問卷、標(biāo)準(zhǔn)規(guī)范、方案模板等自主產(chǎn)權(quán)的測評工具：擁有自主研發(fā)的等級測評系統(tǒng)、風(fēng)險(xiǎn)評估支撐平臺及其他測評工具政策的深刻理解：長期跟蹤研究國內(nèi)外信息安全政策、標(biāo)準(zhǔn)、法規(guī)和最佳實(shí)踐，參與制訂相關(guān)技術(shù)標(biāo)準(zhǔn)，對國家和相關(guān)行業(yè)的合規(guī)性要求有深刻理解中心主要優(yōu)勢（1）25人員團(tuán)隊(duì)：公安部等級保護(hù)高級測評師評審專家2名（連一峰、李嵩）經(jīng)過公安部認(rèn)可的等級測評師7名（張春明、張海霞、馬閩、李寧、高宏亮、李子龍、宋坤）擁有CISP、CISA、BSI、CCIE、PMP、ITIL等專業(yè)資質(zhì)的安全技術(shù)專家精通信息安全等級保護(hù)、信息安全管理體系（ISO27000）、IT服務(wù)管理體系（ISO20000）、信息保障技術(shù)框架（IATF）等國內(nèi)外信息安全標(biāo)準(zhǔn)和最佳實(shí)踐的專業(yè)咨詢團(tuán)隊(duì)擁有豐富黑客攻防經(jīng)驗(yàn)的滲透測試技術(shù)組中心主要優(yōu)勢與華北電力大學(xué)聯(lián)合成立電力行業(yè)信息安全等級測評中心第一測評實(shí)驗(yàn)室，于6月9日通過公安部三所組織