基于CETIN系统安全工程实践的质量保证体系.pdfVIP

基于CETIN系统安全工程实践的质量保证体系1 刘炳华2刘强 (中国国防科技信息中心) 摘要计算机信息网络安全工程的组织需要一种质量管理体系。它是保障国家信息安全的一种挠略性决 簧．本文根据中国工程技术信息网(CETIN)安全工程的实践，报告如何在‘Iso／DIs9001：2000质量管理 安全工程的质量要求。文章完整地描述了CETIN安全工程质量保证体系，阚述实施安全工程的过程模型、 方法和任务，以及进行安全管理、安全改进的模式和内容。 关键词CETIN安全工程SSE-C础安全工程质量保证安全管理过程改进 1．CETIN安全系统建设过程和质量保证问题 中国工程技术信息网(CETIN)是面向工程技术服务的全国性互连网，主干节点采用多种 通信手段连接了我国大部分省市，其网络结构复杂，使用的网络设各、系统和应用平台种类 较多。所提供的数百个分布式信息瓷源数据库和电子刊物使C耵IN形成了国内规模最大、最 富有工程技术特色的网站，且网络和应用规模正在不断地扩大。 cETIN网络丰富的信息资源和特定的应用背景，对网络系统的安全提出了很高的要求。 在该网络初建时，已采用常规的安全防护方法，对部分接入单位的局域网设置了安全系统 并建立了安全监测系统。然而，这些所谓常规的安全防护方法，仅仅是凭技术人员想象的 安全策略和针对局部安全需要所进行的诸如防火墙之类的安全设置，只能对网络系统实现 一般意义上的防护。我们曾经在大量调研和实践的基础上，根据工程要求对cETIN全网安 全保密子系统进行过初步设计。有关评阅专家认为，设计方案涉及面广，考虑到了网络安 全的方方面面．但缺乏足够的理论依据和产品支持，实现后难以保证系统100％的安全性。 面对复杂的网络应用，必须寻找一个有效的、从整体上解决安全问题的系统方法。显然· 安全产品和安全系统集成方法学的问题，已经严重地影响到了安全系统建设晷标的实现。 因此．如何进行网络安全系统的建设和管理，以形成真正具有高安全性能力的系统，将涉 及～个工程建设和管理的质量问题。 本文根据CETIN安全工程实践．报告如何在《ISO／DIS9001：2000质量管理体系一要求”。》 的过程控制框架下，基于SSE-C珊模型实施CETIN系统安全工程¨1，以保证安全工程建设和 管理的质量。 2．CETIN网络安全质量控制方法 l本文获褥国家M3高技术研究发展计划信息安全技术应急计划项目301-7-6{泉题的支持． 2作者简介：刘炳华．男．工学博士．高级工程师．中国国防科技信息中心，从事大型信息网络管理、网 男．所长。高j爱工程师．巾国国舫科技信息中心，中固科技情报学会常务理事兼信息技术专业委员会主任 委员． 7 2．1基于过程控制的安全工程质量体系模型 CETIN网络安全工程组织需要一种质量管理体系，它是保障信息安全的一种战略性决 策。CETIN安全工程的需求分析、设计和实施等过程，将受到各种外部或内部的安全要求， 受到具体应用的安全目标、所提供的安全产品、所采用的过程以及组织的靓模和结构等方面 的影响。 C盯IN安全工程强调，在质量管理中应采用过程控制方法．使上述各种影响尽可能地明 确。我们将安全工程涉及的方方面面识别为如图l(圆框中)所示的4个主要；过程【3】，特别是 在安全工程实现过程中采用了“系统安全工程过程能力成熟模型SSE-C埘”进行工程质量的 过程控制，在管理中按照管理职责实旋可量化的测量、分析和控制，并按目标不断地进行改 进而使系统资源处于合理的管理状态。从而形成质量保证体系。 该体系承认国家和CETIN用户(可统称顾客)对网络信息安全的任何要求，在规定的输入 中将起到十分重要的作用。图中．一个过程的输出将直接形成下一个过程的输入。工程组织 必须对顾客的满意程度进行监控，以便评价和确定顾客要求是否已满足。 图1： c盯lN网络安全系统质量保证体系 CETIN系统安全工程质量保证体系总的要求是： ·识别所需要的安全工程建设和管理的过程； ●确定这些过程的顺序和相互作用： ●确定为确保这些过程有效运作和控制所需要的方法； ●确保可以获得必要的信息，以支持这些过程有效运作和对其监控：