信息安全共性技術(shù)國(guó)家工程研究中心簡(jiǎn)介培訓(xùn)課件

一月25信息安全共性技術(shù)國(guó)家工程

研究中心簡(jiǎn)介2中心概況2004年8月，國(guó)家發(fā)改委批準(zhǔn)中科院軟件所牽頭組建前身為中國(guó)科學(xué)院信息安全工程技術(shù)研究中心總投資6500萬(wàn)元中心總部位于北京市中關(guān)村核心區(qū)，研發(fā)基地位于中科院軟件園區(qū)

新中關(guān)大廈16層中科院軟件所9層針對(duì)我國(guó)信息安全建設(shè)中存在的安全技術(shù)難控制和安全攻擊防范措施薄弱的問(wèn)題，開展信息安全保障體系相關(guān)的國(guó)家信息安全戰(zhàn)略、安全體系結(jié)構(gòu)、核心技術(shù)、產(chǎn)業(yè)標(biāo)準(zhǔn)、系統(tǒng)測(cè)評(píng)等共性支撐技術(shù)的研究、開發(fā)、咨詢服務(wù)與培訓(xùn)工作。加速我國(guó)信息安全領(lǐng)域科研成果向現(xiàn)實(shí)生產(chǎn)力的轉(zhuǎn)化，推動(dòng)我國(guó)信息安全產(chǎn)業(yè)的整體發(fā)展，滿足國(guó)家信息安全戰(zhàn)略的需求。中心定位5中心運(yùn)作機(jī)制采用理事會(huì)領(lǐng)導(dǎo)下的主任負(fù)責(zé)制實(shí)行“理事會(huì)決策、主任班子執(zhí)行、專家組把關(guān)、市場(chǎng)化運(yùn)作”的機(jī)制下設(shè)三大安全實(shí)驗(yàn)室信息安全測(cè)評(píng)與服務(wù)實(shí)驗(yàn)室信息安全關(guān)鍵技術(shù)實(shí)驗(yàn)室信息安全技術(shù)標(biāo)準(zhǔn)實(shí)驗(yàn)室中心環(huán)境建設(shè)6中心團(tuán)隊(duì)建設(shè)測(cè)評(píng)服務(wù)實(shí)驗(yàn)室共33人咨詢組、攻防組、實(shí)施組負(fù)責(zé)對(duì)外開展各類安全測(cè)評(píng)與服務(wù)，其中骨干人員曾接受公安部等保測(cè)評(píng)培訓(xùn)，并擁有開展安全測(cè)評(píng)和咨詢服務(wù)的技術(shù)能力和豐富經(jīng)驗(yàn)研發(fā)部依托工程中心和重點(diǎn)實(shí)驗(yàn)室，負(fù)責(zé)為測(cè)評(píng)服務(wù)所需的方法研究、技術(shù)開發(fā)、工具平臺(tái)研制提供支持商用密碼產(chǎn)品生產(chǎn)定點(diǎn)單位商用密碼產(chǎn)品銷售許可單位國(guó)家信息安全測(cè)評(píng)信息安全服務(wù)資質(zhì)ISO9000質(zhì)量管理體系認(rèn)證北京市政務(wù)信息安全應(yīng)急處置協(xié)作單位高新技術(shù)企業(yè)軟件企業(yè)中關(guān)村高新技術(shù)企業(yè)協(xié)會(huì)會(huì)員中關(guān)村開放實(shí)驗(yàn)室中關(guān)村企業(yè)信用促進(jìn)會(huì)會(huì)員中心資質(zhì)9核心業(yè)務(wù)（1）咨詢服務(wù)面向政府、軍隊(duì)、大型企事業(yè)單位的安全體系規(guī)劃、等級(jí)保護(hù)咨詢及整改建設(shè)、風(fēng)險(xiǎn)評(píng)估、安全加固、滲透測(cè)試、安全運(yùn)維保障、信息安全工程監(jiān)理安全測(cè)評(píng)支撐國(guó)家戰(zhàn)略和行業(yè)發(fā)展需求的安全測(cè)評(píng)技術(shù)、平臺(tái)與工具標(biāo)準(zhǔn)制定與驗(yàn)證國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、特殊行業(yè)應(yīng)用標(biāo)準(zhǔn)及規(guī)范的研究與制定驗(yàn)證標(biāo)準(zhǔn)符合性及安全功能的關(guān)鍵技術(shù)與管理體系10核心業(yè)務(wù)（2）關(guān)鍵技術(shù)研發(fā)高強(qiáng)度認(rèn)證技術(shù)、高性能網(wǎng)絡(luò)安全防護(hù)技術(shù)、高安全等級(jí)系統(tǒng)軟件、大規(guī)模網(wǎng)絡(luò)主動(dòng)防御技術(shù)、信息安全工程化技術(shù)成果轉(zhuǎn)化信息安全共性構(gòu)件、安全和基礎(chǔ)平臺(tái)軟件、高端核心產(chǎn)品人才培養(yǎng)面向信息安全產(chǎn)業(yè)發(fā)展的技術(shù)與服務(wù)人員培養(yǎng)面向國(guó)家及行業(yè)需求的信息安全專業(yè)培訓(xùn)承擔(dān)國(guó)家高技術(shù)研究發(fā)展計(jì)劃（863）、國(guó)家高技術(shù)產(chǎn)業(yè)化等國(guó)家級(jí)和部委級(jí)科研項(xiàng)目10余項(xiàng)針對(duì)20余家政府部門、行業(yè)機(jī)構(gòu)和企事業(yè)單位提供了安全測(cè)評(píng)、安全服務(wù)、安全測(cè)評(píng)工具，其中包括政府、電力、金融、軍工等重要行業(yè)共計(jì)開展30余項(xiàng)安全測(cè)評(píng)服務(wù)工作，范圍涵蓋咨詢規(guī)劃、測(cè)評(píng)加固、安全整改、應(yīng)急保障、工具研發(fā)、安全培訓(xùn)等方面中心業(yè)務(wù)開展情況承擔(dān)國(guó)家項(xiàng)目情況國(guó)家高新技術(shù)產(chǎn)業(yè)化項(xiàng)目面向重要信息系統(tǒng)安全測(cè)評(píng)檢查的基準(zhǔn)測(cè)試床與配套服務(wù)國(guó)家863計(jì)劃項(xiàng)目分布式計(jì)算的安全模型及關(guān)鍵技術(shù)研究信息系統(tǒng)等級(jí)保護(hù)安全功能符合性檢驗(yàn)技術(shù)研究與實(shí)現(xiàn)基于大規(guī)模網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的主動(dòng)防御系統(tǒng)ActiveNetCT國(guó)家自然基金項(xiàng)目分布式系統(tǒng)的脆弱性模型研究1213已有成果已轉(zhuǎn)化7項(xiàng)信息安全核心技術(shù)已獲得6項(xiàng)軟件著作權(quán)參與制定2項(xiàng)國(guó)家標(biāo)準(zhǔn)參與制定8項(xiàng)地方和行業(yè)標(biāo)準(zhǔn)規(guī)范承擔(dān)國(guó)家高技術(shù)產(chǎn)業(yè)化信息安全專項(xiàng)主要客戶14成功案例（1）國(guó)家新聞出版總署－等級(jí)保護(hù)咨詢服務(wù)及建設(shè)整改北京市教內(nèi)蒙古電力公司－等級(jí)保護(hù)測(cè)評(píng)北京市教育委員會(huì)－等級(jí)保護(hù)咨詢服務(wù)中國(guó)人民大學(xué)－安全測(cè)評(píng)加固與整體規(guī)劃北京大學(xué)－信息安全測(cè)評(píng)與體系規(guī)劃中國(guó)科協(xié)信息中心－信息安全測(cè)評(píng)加固中國(guó)投資擔(dān)保有限公司－風(fēng)險(xiǎn)評(píng)估及整改加固國(guó)防科工委－信息安全風(fēng)險(xiǎn)評(píng)估中國(guó)科學(xué)院－信息安全保障體系建設(shè)規(guī)劃國(guó)家信息中心－電子政務(wù)外網(wǎng)安全互聯(lián)規(guī)劃北京信北京政務(wù)網(wǎng)站－信息安全應(yīng)急響應(yīng)息安全測(cè)評(píng)中心－統(tǒng)一安全配置規(guī)范某專網(wǎng)－安全評(píng)估與應(yīng)急響應(yīng)成功案例（2）公安部一所－等級(jí)保護(hù)符合性檢驗(yàn)工具公安部一所－奧運(yùn)信息安全風(fēng)險(xiǎn)評(píng)估平臺(tái)中國(guó)信息安全測(cè)評(píng)中心－安全態(tài)勢(shì)評(píng)估系統(tǒng)北京信息安全測(cè)評(píng)中心－等級(jí)保護(hù)支撐平臺(tái)北京信息安全測(cè)評(píng)中心－脆弱性掃描器上海信息安全測(cè)評(píng)中心－強(qiáng)制訪問(wèn)控制檢驗(yàn)工具國(guó)家密碼管理局－可信計(jì)算機(jī)檢測(cè)平臺(tái)外交部－可信數(shù)據(jù)發(fā)布系統(tǒng)聯(lián)想網(wǎng)御－智能化安全評(píng)估系統(tǒng)中石油—原油評(píng)價(jià)數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)輕工業(yè)信息中心－統(tǒng)一用戶管理平臺(tái)水利部-自然資源與空間信息數(shù)據(jù)平臺(tái)典型項(xiàng)目簡(jiǎn)介新聞出版總署項(xiàng)目簡(jiǎn)介中國(guó)人民大學(xué)項(xiàng)目簡(jiǎn)介北京信息安全測(cè)評(píng)中心項(xiàng)目簡(jiǎn)介公安部一所項(xiàng)目簡(jiǎn)介17新聞出版總署項(xiàng)目簡(jiǎn)介

工程中心為國(guó)家新聞出版總署旗下定級(jí)為等級(jí)保護(hù)三級(jí)系統(tǒng)的新聞出版總署門戶網(wǎng)站、國(guó)家版權(quán)局門戶網(wǎng)站、記者網(wǎng)、中國(guó)農(nóng)家書屋網(wǎng)、中國(guó)掃黃打非網(wǎng)等系統(tǒng)提供等級(jí)保護(hù)咨詢、整改建設(shè)加固服務(wù)。使上述系統(tǒng)達(dá)到等級(jí)保護(hù)第三級(jí)系統(tǒng)的要求，并最終獲得測(cè)評(píng)機(jī)構(gòu)出具的結(jié)論為基本符合的測(cè)評(píng)報(bào)告。18中國(guó)人民大學(xué)項(xiàng)目簡(jiǎn)介

工程中心為中國(guó)人民大學(xué)的“數(shù)字校園”提供整體的安全咨詢服務(wù)，完成“數(shù)字校園”各業(yè)務(wù)系統(tǒng)的滲透測(cè)試和風(fēng)險(xiǎn)評(píng)估，并針對(duì)高危風(fēng)險(xiǎn)進(jìn)行整改加固，協(xié)助中國(guó)人民大學(xué)制定未來(lái)三年的信息安全整體規(guī)劃及相關(guān)管理體系的建立，為中國(guó)人民大學(xué)未來(lái)三年的信息化建設(shè)奠定了理論及標(biāo)準(zhǔn)基礎(chǔ)。19北京信息安全測(cè)評(píng)中心項(xiàng)目簡(jiǎn)介

工程中心通過(guò)本項(xiàng)目的攻關(guān)，為北京信息安全測(cè)評(píng)中心研發(fā)國(guó)內(nèi)首個(gè)等級(jí)保護(hù)支撐平臺(tái)，形成了大量的研究成果，構(gòu)建了一套技術(shù)先進(jìn)、功能完善的等級(jí)保護(hù)業(yè)務(wù)平臺(tái)，技術(shù)水平達(dá)到國(guó)際先進(jìn)，國(guó)內(nèi)領(lǐng)先。項(xiàng)目共登記軟件著作權(quán)12項(xiàng)，起草北京地方標(biāo)準(zhǔn)2項(xiàng)，發(fā)布北京地方技術(shù)指南8部，相繼完成了60余個(gè)重要信息系統(tǒng)的安全測(cè)評(píng)，項(xiàng)目成果推廣應(yīng)用產(chǎn)生了良好的社會(huì)效益，大大推進(jìn)了北京市乃至全國(guó)的等級(jí)保護(hù)工作進(jìn)展。20等級(jí)保護(hù)支撐平臺(tái)21國(guó)內(nèi)首個(gè)等級(jí)保護(hù)綜合業(yè)務(wù)平臺(tái)實(shí)現(xiàn)等級(jí)測(cè)評(píng)、備案、管理等流程的自動(dòng)化和規(guī)范化內(nèi)置多標(biāo)準(zhǔn)融合的等級(jí)測(cè)評(píng)方法庫(kù)GB17859、GB/T18336、GB/T19716等涵蓋操作系統(tǒng)等40余類軟硬件系統(tǒng)包含安全策略等10大管理類，36個(gè)管理目標(biāo)建立5400余項(xiàng)測(cè)試用例和300余項(xiàng)管理核查項(xiàng)集成自動(dòng)化測(cè)評(píng)工具等級(jí)保護(hù)安全功能符合性檢驗(yàn)工具脆弱性掃描器工具包括14000余條漏洞記錄的安全漏洞庫(kù)在北京市信息辦、總參機(jī)要局等單位推廣應(yīng)用公安部一所項(xiàng)目簡(jiǎn)介

工程中心為公安部一所研發(fā)“二、三、四級(jí)”安全功能符合性檢驗(yàn)工具集，為等級(jí)保護(hù)的合規(guī)性檢測(cè)，提供自動(dòng)化、半自動(dòng)化的安全性檢驗(yàn)工具，大大減低檢測(cè)實(shí)施的工作難度，提高了檢測(cè)實(shí)施的工作效率，為國(guó)家信息安全等級(jí)保護(hù)的工作的推動(dòng)貢獻(xiàn)了巨大的力量。22安全功能符合性檢驗(yàn)工具集23基于動(dòng)態(tài)、可定制的安全基線庫(kù)等級(jí)保護(hù)基本要求（2,3,4級(jí)）安全管理規(guī)范安全評(píng)估通用準(zhǔn)則終端安全配置規(guī)范自定義安全基線實(shí)現(xiàn)自動(dòng)化安全核查和功能檢驗(yàn)插件方式滿足基線庫(kù)的擴(kuò)充性和更新要求在公安部一所、上海信息安全測(cè)評(píng)中心等單位應(yīng)用24第三方咨詢服務(wù)機(jī)構(gòu)：作為信息安全高端咨詢服務(wù)提供商，以第三方角度為客戶設(shè)計(jì)安全解決方案豐富的項(xiàng)目經(jīng)驗(yàn)：擁有豐富的等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估、安全體系咨詢規(guī)劃、等級(jí)保護(hù)整改建設(shè)的項(xiàng)目實(shí)施經(jīng)驗(yàn)，涉及電力、金融、教育、軍工、政府等行業(yè)完備的安全知識(shí)庫(kù)：擁有開展各類安全服務(wù)所需的測(cè)評(píng)表、檢查清單、調(diào)查問(wèn)卷、標(biāo)準(zhǔn)規(guī)范、方案模板等自主產(chǎn)權(quán)的測(cè)評(píng)工具：擁有自主研發(fā)的等級(jí)測(cè)評(píng)系統(tǒng)、風(fēng)險(xiǎn)評(píng)估支撐平臺(tái)及其他測(cè)評(píng)工具政策的深刻理解：長(zhǎng)期跟蹤研究國(guó)內(nèi)外信息安全政策、標(biāo)準(zhǔn)、法規(guī)和最佳實(shí)踐，參與制訂相關(guān)技術(shù)標(biāo)準(zhǔn)，對(duì)國(guó)家和相關(guān)行業(yè)的合規(guī)性要求有深刻理解中心主要優(yōu)勢(shì)（1）25人員團(tuán)隊(duì)：公安部等級(jí)保護(hù)高級(jí)測(cè)評(píng)師評(píng)審專家2名（連一峰、李嵩）經(jīng)過(guò)公安部認(rèn)可的等級(jí)測(cè)評(píng)師7名（張春明、張海霞、馬閩、李寧、高宏亮、李子龍、宋坤）擁有CISP、CISA、BSI、CCIE、PMP、ITIL等專業(yè)資質(zhì)的安全技術(shù)專家精通信息安全等級(jí)保護(hù)、信息安全管理體系（ISO27000）、IT服務(wù)管理體系（ISO20000）、信息保障技術(shù)框架（IATF）等國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)和最佳實(shí)踐的專業(yè)咨詢團(tuán)隊(duì)擁有豐富黑客攻防經(jīng)驗(yàn)的滲透測(cè)試技術(shù)組中心主要優(yōu)勢(shì)與華北電力大學(xué)聯(lián)合成立電力行業(yè)信息安全等級(jí)測(cè)評(píng)中心第一測(cè)評(píng)實(shí)驗(yàn)室，于6月9日通過(guò)公安部三所組織