陈向荣
【摘要】 本文简要介绍了系统安全工程标准和安防工程技术规范的发展现状,依据网络动态安全WPDRRC模型,提出了融合统一系统安全工程标准、安防工程技术规范和信息系统安全技术的建议。
【关键词】 系统安全工程标准 安防工程技术规范 WPDRRC模型
一、系统安全工程标准发展现状
SSE-CMM是IT系统安全工程能力成熟度模型(Systems Security Engineering Capability Maturity Model),它描述了一个组织的安全工程过程必须包含的本质特征。SSE-CMM把安全工程划分为三个基本领域:风险、工程和保障。在企业和业务过程中的定义、管理和重建中必须强调安全的考虑,安全工程将应用到系统和应用的开发、集成、操作、管理、维护和进化以及产品的开发、交付和进化中。
2002年SSE-CMM被国际标准化组织采纳成为国际标准即ISO/IEC 21827:2002,2006年被中国转化为国标GB/T 20261-2006。
二、安防工程技术规范发展现状
安全防范工程,是用于维护社会公共安全和预防灾害事故为目的的报警、电视监控、通讯、出入口控制、防爆、安全检查等工程。安全防范是人防、物防、技防的有机结合。2004年,全国安全防范报警系统标准化技术委员会受公安部的委托,编制了《安全防范工程技术规范 GB 50348-2004》,主要对技术防范系统的设计、施工、检验、验收做出了基本要求和规定,涉及物防、人防的要求由相关标准或法规做出规定。
相关配套规范还有《入侵报警系统工程设计规范GB 50394-2007》、《视频安防监控系统工程设计规范GB 50395-2007》、《出入口控制系统工程设计规范GB 50396-2007》。安防国家标准充分借鉴了浙江省地方标准《社会治安动态视频监控系统技术规范DB33/T 502-2004》和《跨区域视频监控联网共享技术规范DB33/T 629-2011》。
三、依据WPDRRC模型,融合统一系统安全工程标准、安防工程技术规范和信息系统安全技术
信息安全可被理解为信息系统抵御意外事件或恶意行为的能力,这些意外或恶意事件和行为将破坏由信息系统所提供的可用性、机密性、完整性、不可否认性、真实性等安全特性。
在信息安全领域,我国863计划信息安全专家组在美国国防部给出的PDR动态模型基础上,提出了适合我国国情的网络动态安全WPDRRC模型(Warning、Protection、Detection、Response、Recovery、Counterattack)。信息生命周期中涉及的信息内容、计算环境、基础设施、边界链接等诸多方面,均通过平台支撑着信息系统应用程序的运转。信息安全保障过程分为预警、防护、检测、响应、恢复和反击6个环节,人员在管理和流程的指导下,利用信息安全技术在整个生命周期中提供可用性、机密性、完整性、不可否认性、真实性等安全特性的保障。WPDRRD模型中,三大要素是人、管理、技术,其中人是基础和核心,管理是中间层,包括法律法规、流程制度,技术属于外层,落实在6个环节的各个方面,它的操作必须受到人和管理的制约。
系统安全工程标准的三个基本领域:风险、工程和保障,安防工程技术规范的三个基本组成部分:人防、物防、技防,都可以统一在WPDRRC模型的人、管理、技术三大要素中。系统安全工程标准、安防工程技术规范和信息系统安全技术的融合统一,将会极大地促进信息安全、系统安全和人文安全的发展。
参 考 文 献
[1]赵战生. 中国信息安全体系机构基本框架与构想[J]. 计算机安全, 2002(1): 44-47.
[2]GB/T 20261-2006, 信息技术系统安全工程能力成熟度模型
[3]GB 50348-2004, 安全防范工程技术规范