• 收藏
  • 设为首页
  • 工作邮箱
微信公众号
分享
[字体: ]
分享到:
分享
国家经济信息系统政务终端安全核心配置标准研制课题圆满完成
来源:信息与网络安全部   时间:2013-04-23

为了发挥国家经济信息系统的优势,增强单位之间的合作氛围,我部以实施国家发展改革委2010年信息安全专项——“政务终端安全核心配置标准研制及其验证、应用平台建设项目”为契机,组织16家省市信息中心共同研制政务终端安全核心配置系列标准,开展标准验证和试点工作。自2011年3月国家信息中心发文启动课题申报工作以来,经过课题立项、标准研制、验证试点和课题验收等阶段的工作,目前16个课题研制任务全部顺利完成,共形成12项标准和4项研究报告,涵盖国内外终端基础软件的核心配置要求、等(分)级保护核心配置要求及核心配置实施指南,为政务部门在等(分)级保护要求下开展终端安全核心配置管理工作提供了重要的技术支撑。现将各阶段工作总结如下:

(一)课题立项阶段(2011年3月-6月)

2011年3月15日中心正式下达《关于组织研究政务终端安全核心配置标准的通知》(国信字[2011]24号),面向国家经济信息系统开展政务终端安全核心配置系列标准研制课题申报工作。各省市信息中心积极组织申报,共收到有效申报材料29份。5月,中心组织召开了课题立项专家评审会,确定了16家单位为课题承担单位。分别是:天津市信息中心、上海市信息中心、山西省经济信息中心、江苏省信息中心、安徽省经济信息中心、山东省信息中心、河南省信息中心、湖南省人民政府经济研究信息中心、广东省发展改革委信息中心、四川省经济信息中心、贵州省信息中心、甘肃省信息中心、青海省信息中心、新疆维吾尔自治区信息中心、宁波市信息中心和西安市信息中心。6月,中心分别与16家课题承担单位签订任务书。

(二)标准研制阶段(2011年7月至2012年6月)

各课题承担单位按照任务要求,积极落实研制人员、与当地信息安全主管部门,科研院所或安全厂商联合成立项目工作组,启动标准研制工作。各单位按要求制定了课题工作计划,按时提交标准大纲和工作月报。我部负责整体项目组织、指导和技术支持工作,按计划拨付课题经费。

为保证标准编写质量,2011年8月18至19日,我部在北京组织召开了“国家经济信息系统政务终端安全核心配置标准研制培训会”。各承担单位派课题主要负责同志参加了培训会。通过对标准研制要求、编制方法、安全配置策略编写方法等内容的讲解,各课题承担单位明确了任务要求和工作方法,为课题的顺利开展,起到了很好的促进作用。

在研制过程中各课题承担单位针对等(分)级保护基本要求,以及研究范围内的各类终端基础或常用软件的安全特性和配置方法进行了深入研究。我部协助联系软件厂商向课题承担单位提供技术支持,并及时提供标准及研究报告修改意见,指导标准编制过程。

2011年12月21日,我部在厦门市组织召开了全国政务终端安全护理工作交流会。会上,我部介绍了课题整体进展情况和标准应用平台建设进展,以及下一步试点工作计划。研制进展较快的广东省和山西省分别介绍了标准研制经验,上海市介绍了试点应用情况。与会单位就难点问题和工作方法进行了交流,为下一步开展标准验证试点工作打下了基础。

(三)标准验证试点阶段(2012年7月至12月)

为开展标准验证及试点应用工作,我部组织研发了核心配置自动实施工具,包括配置编辑工具、配置部署工具和配置检查工具,并与政务终端安全护理系统进行了集成,全国搭建的终端安全护理平台升级成为终端安全配置平台。各承担单位充分利用该平台进行标准验证,并在当地政府部门开展试点应用。河南省在省保密局的指导下,按照《涉及国家秘密的信息系统分级保护测评指南》(BMB22-2007)要求通过验证测试;山西省、江苏省和湖南省等进行充分试点验证,形成了大量珍贵的研究成果和测试数据;广东省在黄浦区的试点和安徽省在安全监督局的试点工作均取得了显著的效果;天津市信息中心自建Linux试点验证环境,为非Windows环境配置工作提供了重要依据。

在标准验证试点过程中,难点是对标准中提出的核心配置要求及配置清单进行有效性和适用性的验证和试点。我部加大了对各课题的工作指导和技术支持力度,及时协调解决技术问题,协助各承担单位完成了标准研制和验证试点工作任务。

2012年12月,我部在海南省海口市组织召开全国政务终端安全配置管理工作交流会,各承担单位分别对课题研制、验证试点工作过程及成果进行了总结。各单位通过参与标准课题研究,一方面提高了地方信息中心在终端安全配置方面的技术水平,另一方面提升了地方信息中心在当地的影响力。终端安全配置标准为本省信息安全及保密工作提供了支撑和依据,适时可将国家标准转化为地方标准。

(三)课题验收阶段(2013年1月-2013年4月)

为组织完成标准研制课题验收工作,我部制定并下发了《课题验收工作指导意见》。依据该意见,各承担单位陆续向中心提交了课题研究成果材料及验收申请。经我部审批后,16家课题承担单位分别组织专家对课题研究成果进行了评审。截至目前,16项课题已全部通过验收。课题成果分为两大类:一是总体类,包括等级保护安全配置要求、分级保护安全配置要求,以及安全配置实施指南,形成标准草案4项;二是技术类,包括国内外操作系统、浏览器、办公软件及其他常用软件的安全核心配置要求,共完成标准草案8项,研究报告4项。各课题成果汇总表详见附件。

(四)总结

在中心及各省市领导的支持和指导下,在所有课题承担单位的共同努力下,政务终端安全核心配置标准研制课题任务圆满完成。实践证明,这种委托课题研究的合作模式是成功的,所获得的成果和效益大大超出预期,不仅增强了国家与地方信息中心的业务联系,形成全国上下联动、紧密合作的技术研发团队,还提高了系统整体的信息安全研究水平,带动地方在产、学、研、用方面的合作发展,为终端安全配置工作在全国政务部门的进一步深化推广与应用打下了良好的基础。