淺析IT系統(tǒng)安全和安防規(guī)范的融合

陳向榮

【摘要】 本文簡要介紹了系統(tǒng)安全工程標(biāo)準(zhǔn)和安防工程技術(shù)規(guī)范的發(fā)展現(xiàn)狀，依據(jù)網(wǎng)絡(luò)動態(tài)安全WPDRRC模型，提出了融合統(tǒng)一系統(tǒng)安全工程標(biāo)準(zhǔn)、安防工程技術(shù)規(guī)范和信息系統(tǒng)安全技術(shù)的建議。

【關(guān)鍵詞】 系統(tǒng)安全工程標(biāo)準(zhǔn) 安防工程技術(shù)規(guī)范 WPDRRC模型

一、系統(tǒng)安全工程標(biāo)準(zhǔn)發(fā)展現(xiàn)狀

SSE-CMM是IT系統(tǒng)安全工程能力成熟度模型（Systems Security Engineering Capability Maturity Model），它描述了一個組織的安全工程過程必須包含的本質(zhì)特征。SSE-CMM把安全工程劃分為三個基本領(lǐng)域：風(fēng)險、工程和保障。在企業(yè)和業(yè)務(wù)過程中的定義、管理和重建中必須強調(diào)安全的考慮，安全工程將應(yīng)用到系統(tǒng)和應(yīng)用的開發(fā)、集成、操作、管理、維護和進化以及產(chǎn)品的開發(fā)、交付和進化中。

2002年SSE-CMM被國際標(biāo)準(zhǔn)化組織采納成為國際標(biāo)準(zhǔn)即ISO/IEC 21827：2002，2006年被中國轉(zhuǎn)化為國標(biāo)GB/T 20261-2006。

二、安防工程技術(shù)規(guī)范發(fā)展現(xiàn)狀

安全防范工程，是用于維護社會公共安全和預(yù)防災(zāi)害事故為目的的報警、電視監(jiān)控、通訊、出入口控制、防爆、安全檢查等工程。安全防范是人防、物防、技防的有機結(jié)合。2004年，全國安全防范報警系統(tǒng)標(biāo)準(zhǔn)化技術(shù)委員會受公安部的委托，編制了《安全防范工程技術(shù)規(guī)范 GB 50348-2004》，主要對技術(shù)防范系統(tǒng)的設(shè)計、施工、檢驗、驗收做出了基本要求和規(guī)定，涉及物防、人防的要求由相關(guān)標(biāo)準(zhǔn)或法規(guī)做出規(guī)定。

相關(guān)配套規(guī)范還有《入侵報警系統(tǒng)工程設(shè)計規(guī)范GB 50394-2007》、《視頻安防監(jiān)控系統(tǒng)工程設(shè)計規(guī)范GB 50395-2007》、《出入口控制系統(tǒng)工程設(shè)計規(guī)范GB 50396-2007》。安防國家標(biāo)準(zhǔn)充分借鑒了浙江省地方標(biāo)準(zhǔn)《社會治安動態(tài)視頻監(jiān)控系統(tǒng)技術(shù)規(guī)范DB33/T 502-2004》和《跨區(qū)域視頻監(jiān)控聯(lián)網(wǎng)共享技術(shù)規(guī)范DB33/T 629-2011》。

三、依據(jù)WPDRRC模型，融合統(tǒng)一系統(tǒng)安全工程標(biāo)準(zhǔn)、安防工程技術(shù)規(guī)范和信息系統(tǒng)安全技術(shù)

信息安全可被理解為信息系統(tǒng)抵御意外事件或惡意行為的能力，這些意外或惡意事件和行為將破壞由信息系統(tǒng)所提供的可用性、機密性、完整性、不可否認(rèn)性、真實性等安全特性。

在信息安全領(lǐng)域，我國863計劃信息安全專家組在美國國防部給出的PDR動態(tài)模型基礎(chǔ)上，提出了適合我國國情的網(wǎng)絡(luò)動態(tài)安全WPDRRC模型（Warning、Protection、Detection、Response、Recovery、Counterattack）。信息生命周期中涉及的信息內(nèi)容、計算環(huán)境、基礎(chǔ)設(shè)施、邊界鏈接等諸多方面，均通過平臺支撐著信息系統(tǒng)應(yīng)用程序的運轉(zhuǎn)。信息安全保障過程分為預(yù)警、防護、檢測、響應(yīng)、恢復(fù)和反擊6個環(huán)節(jié)，人員在管理和流程的指導(dǎo)下，利用信息安全技術(shù)在整個生命周期中提供可用性、機密性、完整性、不可否認(rèn)性、真實性等安全特性的保障。WPDRRD模型中，三大要素是人、管理、技術(shù)，其中人是基礎(chǔ)和核心，管理是中間層，包括法律法規(guī)、流程制度，技術(shù)屬于外層，落實在6個環(huán)節(jié)的各個方面，它的操作必須受到人和管理的制約。

系統(tǒng)安全工程標(biāo)準(zhǔn)的三個基本領(lǐng)域：風(fēng)險、工程和保障，安防工程技術(shù)規(guī)范的三個基本組成部分：人防、物防、技防，都可以統(tǒng)一在WPDRRC模型的人、管理、技術(shù)三大要素中。系統(tǒng)安全工程標(biāo)準(zhǔn)、安防工程技術(shù)規(guī)范和信息系統(tǒng)安全技術(shù)的融合統(tǒng)一，將會極大地促進信息安全、系統(tǒng)安全和人文安全的發(fā)展。

參 考 文 獻

[1]趙戰(zhàn)生. 中國信息安全體系機構(gòu)基本框架與構(gòu)想[J]. 計算機安全， 2002（1）： 44-47.

[2]GB/T 20261-2006， 信息技術(shù)系統(tǒng)安全工程能力成熟度模型

[3]GB 50348-2004， 安全防范工程技術(shù)規(guī)范