信息安全共性技术国家工程研究中心简介.ppt

2019年5月,信息安全共性技术国家工程 研究中心简介,2,中心概况,2004年8月，国家发改委批准中科院软件所牵头组建 前身为中国科学院信息安全工程技术研究中心 总投资6500万元 中心总部位于北京市中关村核心区，研发基地位于中科院软件园区,新中关大厦16层,中科院软件所9层,针对我国信息安全建设中存在的安全技术难控制和安全攻击防范措施薄弱的问题，开展信息安全保障体系相关的国家信息安全战略、安全体系结构、核心技术、产业标准、系统测评等共性支撑技术的研究、开发、咨询服务与培训工作。 加速我国信息安全领域科研成果向现实生产力的转化，推动我国信息安全产业的整体发展，满足国家信息安全战略的需求。,中心定位,4,中心目标,两个面向 面向促进我国信息安全行业的整体发展 面向满足国家信息安全的战略需求 五项任务 搭建国家信息安全工程化与产业化平台 推广创新性工程技术 推动科研成果转化 提升信息安全产业核心竞争力 促进国家信息安全保障体系建设,5,中心运作机制,采用理事会领导下的主任负责制 实行“理事会决策、主任班子执行、专家组把关、市场化运作”的机制 下设三大安全实验室 信息安全测评与服务实验室 信息安全关键技术实验室 信息安全技术标准实验室,中心环境建设,6,中心团队建设,测评服务实验室共33人 咨询组、攻防组、实施组负责对外开展各类安全测评与服务，其中骨干人员曾接受公安部等保测评培训，并拥有开展安全测评和咨询服务的技术能力和丰富经验 研发部依托工程中心和重点实验室，负责为测评服务所需的方法研究、技术开发、工具平台研制提供支持,商用密码产品生产定点单位 商用密码产品销售许可单位 国家信息安全测评信息安全服务资质 ISO 9000质量管理体系认证 北京市政务信息安全应急处置协作单位 高新技术企业 软件企业 中关村高新技术企业协会会员 中关村开放实验室 中关村企业信用促进会会员,中心资质,9,核心业务（1）,咨询服务 面向政府、军队、大型企事业单位的安全体系规划、等级保护咨询及整改建设、风险评估、安全加固、渗透测试、安全运维保障、信息安全工程监理 安全测评 支撑国家战略和行业发展需求的安全测评技术、平台与工具 标准制定与验证 国家标准、行业标准、特殊行业应用标准及规范的研究与制定 验证标准符合性及安全功能的关键技术与管理体系,10,核心业务（2）,关键技术研发 高强度认证技术、高性能网络安全防护技术、高安全等级系统软件、大规模网络主动防御技术、信息安全工程化技术 成果转化 信息安全共性构件、安全和基础平台软件、高端核心产品 人才培养 面向信息安全产业发展的技术与服务人员培养 面向国家及行业需求的信息安全专业培训,承担国家高技术研究发展计划（863）、国家高技术产业化等国家级和部委级科研项目10余项 针对20余家政府部门、行业机构和企事业单位提供了安全测评、安全服务、安全测评工具，其中包括政府、电力、金融、军工等重要行业 共计开展30余项安全测评服务工作，范围涵盖咨询规划、测评加固、安全整改、应急保障、工具研发、安全培训等方面,中心业务开展情况,承担国家项目情况,国家高新技术产业化项目 面向重要信息系统安全测评检查的基准测试床与配套服务 国家863计划项目 分布式计算的安全模型及关键技术研究 信息系统等级保护安全功能符合性检验技术研究与实现 基于大规模网络安全风险评估的主动防御系统ActiveNetCT 国家自然基金项目 分布式系统的脆弱性模型研究,12,13,已有成果,已转化7项信息安全核心技术 已获得6项软件著作权 参与制定2项国家标准 参与制定8项地方和行业标准规范 承担国家高技术产业化信息安全专项,主要客户,14,成功案例（1）,国家新闻出版总署等级保护咨询服务及建设整改 北京市教内蒙古电力公司等级保护测评 北京市教育委员会等级保护咨询服务 中国人民大学安全测评加固与整体规划 北京大学信息安全测评与体系规划 中国科协信息中心信息安全测评加固 中国投资担保有限公司风险评估及整改加固 国防科工委信息安全风险评估 中国科学院信息安全保障体系建设规划 国家信息中心电子政务外网安全互联规划 北京信北京政务网站信息安全应急响应 息安全测评中心统一安全配置规范 某专网安全评估与应急响应,成功案例（2）,公安部一所等级保护符合性检验工具 公安部一所奥运信息安全风险评估平台 中国信息安全测评中心安全态势评估系统 北京信息安全测评中心等级保护支撑平台 北京信息安全测评中心脆弱性扫描器 上海信息安全测评中心强制访问控制检验工具 国家密码管理局可信计算机检测平台 外交部可信数据发布系统 联想网御智能化安全评估系统 中石油原油评价数据中心网络平台 轻工业信息中心统一用户管理平台 水利部-自然资源与空间信息数据平台,典型项目简介,新闻出版总署项目简介 中国人民大学项目简介 北京信息安全测评中心项目简介 公安部一所项目简介,17,新闻出版总署项目简介,工程中心为国家新闻出版总署旗下定级为等级保护三级系统的新闻出版总署门户网站、国家版权局门户网站、记者网、中国农家书屋网、中国扫黄打非网等系统提供等级保护咨询、整改建设加固服务。使上述系统达到等级保护第三级系统的要求，并最终获得测评机构出具的结论为基本符合的测评报告。,18,中国人民大学项目简介,工程中心为中国人民大学的“数字校园”提供整体的安全咨询服务，完成“数字校园”各业务系统的渗透测试和风险评估，并针对高危风险进行整改加固，协助中国人民大学制定未来三年的信息安全整体规划及相关管理体系的建立，为中国人民大学未来三年的信息化建设奠定了理论及标准基础。,19,北京信息安全测评中心项目简介,工程中心通过本项目的攻关，为北京信息安全测评中心研发国内首个等级保护支撑平台，形成了大量的研究成果，构建了一套技术先进、功能完善的等级保护业务平台，技术水平达到国际先进，国内领先。项目共登记软件著作权12项，起草北京地方标准2项，发布北京地方技术指南8部，相继完成了60余个重要信息系统的安全测评，项目成果推广应用产生了良好的社会效益，大大推进了北京市乃至全国的等级保护工作进展。,20,等级保护支撑平台,21,国内首个等级保护综合业务平台 实现等级测评、备案、管理等流程的自动化和规范化 内置多标准融合的等级测评方法库 GB17859、GB/T18336、GB/T19716等 涵盖操作系统等40余类软硬件系统 包含安全策略等10大管理类，36个管理目标 建立5400余项测试用例和300余项管理核查项 集成自动化测评工具 等级保护安全功能符合性检验工具 脆弱性扫描器工具 包括14000余条漏洞记录的安全漏洞库 在北京市信息办、总参机要局等单位推广应用,公安部一所项目简介,工程中心为公安部一所研发“二、三、四级”安全功能符合性检验工具集，为等级保护的合规性检测，提供自动化、半自动化的安全性检验工具，大大减低检测实施的工作难度，提高了检测实施的工作效率，为国家信息安全等级保护的工作的推动贡献了巨大的力量。,22,安全功能符合性检验工具集,23,基于动态、可定制的安全基线库 等级保护基本要求（2,3,4级） 安全管理规范 安全评估通用准则 终端安全配置规范 自定义安全基线 实现自动化安全核查和功能检验 插件方式满足基线库的扩充性和更新要求 在公安部一所、上海信息安全测评中心等单位应用,24,第三方咨询服务机构：作为信息安全高端咨询服务提供商，以第三方角度为客户设计安全解决方案 丰富的项目经验：拥有丰富的等级测评、风险评估、安全体系咨询规划、等级保护整改建设的项目实施经验，涉及电力、金融、教育、军工、政府等行业 完备的安全知识库：拥有开展各类安全服务所需的测评表、检查清单、调查问卷、标准规范、方案模板等 自主产权的测评工具：拥有自主研发的等级测评系统、风险评估支撑平台及其他测评工具 政策的深刻理解：长期跟踪研究国内外信息安全政策、标准、法规和最佳实践，参与制订相关技术标准，对国家和相关行业的合规性要求有深刻理解,中心主要优势（1）,25,人员团队： 公安部等级保护高级测评师评审专家2名（连一峰、李嵩） 经过公安部认可的等级测评师7名（张春明、张海霞、马闽、李宁、高宏亮、李子龙、宋坤） 拥有CISP、CISA、BSI、CCIE、PMP、ITIL等专业资质的安全技术专家 精通信息安全等级保护、信息安全管理体系（ISO27000）、IT服务管理体系（ISO 20000）、信息保障技术框架（IATF）等国内外信息安全标准和最佳实践的专业咨询团队 拥有丰富黑客攻防经验的渗透测试技术组,中心主要优势,与华北电力大学联合成立电力行业信息安全等级测评中心第一测评实验室，于6月9日通过公安部三所组织的等级保护测评机构能力评