陳向榮

【摘要】 本文簡(jiǎn)要介紹了系統(tǒng)安全工程標(biāo)準(zhǔn)和安防工程技術(shù)規(guī)范的發(fā)展現(xiàn)狀，依據(jù)網(wǎng)絡(luò)動(dòng)態(tài)安全WPDRRC模型，提出了融合統(tǒng)一系統(tǒng)安全工程標(biāo)準(zhǔn)、安防工程技術(shù)規(guī)范和信息系統(tǒng)安全技術(shù)的建議。

【關(guān)鍵詞】 系統(tǒng)安全工程標(biāo)準(zhǔn) 安防工程技術(shù)規(guī)范 WPDRRC模型

一、系統(tǒng)安全工程標(biāo)準(zhǔn)發(fā)展現(xiàn)狀

SSE-CMM是IT系統(tǒng)安全工程能力成熟度模型（Systems Security Engineering Capability Maturity Model），它描述了一個(gè)組織的安全工程過(guò)程必須包含的本質(zhì)特征。SSE-CMM把安全工程劃分為三個(gè)基本領(lǐng)域：風(fēng)險(xiǎn)、工程和保障。在企業(yè)和業(yè)務(wù)過(guò)程中的定義、管理和重建中必須強(qiáng)調(diào)安全的考慮，安全工程將應(yīng)用到系統(tǒng)和應(yīng)用的開(kāi)發(fā)、集成、操作、管理、維護(hù)和進(jìn)化以及產(chǎn)品的開(kāi)發(fā)、交付和進(jìn)化中。

2002年SSE-CMM被國(guó)際標(biāo)準(zhǔn)化組織采納成為國(guó)際標(biāo)準(zhǔn)即ISO/IEC 21827：2002，2006年被中國(guó)轉(zhuǎn)化為國(guó)標(biāo)GB/T 20261-2006。

二、安防工程技術(shù)規(guī)范發(fā)展現(xiàn)狀

安全防范工程，是用于維護(hù)社會(huì)公共安全和預(yù)防災(zāi)害事故為目的的報(bào)警、電視監(jiān)控、通訊、出入口控制、防爆、安全檢查等工程。安全防范是人防、物防、技防的有機(jī)結(jié)合。2004年，全國(guó)安全防范報(bào)警系統(tǒng)標(biāo)準(zhǔn)化技術(shù)委員會(huì)受公安部的委托，編制了《安全防范工程技術(shù)規(guī)范 GB 50348-2004》，主要對(duì)技術(shù)防范系統(tǒng)的設(shè)計(jì)、施工、檢驗(yàn)、驗(yàn)收做出了基本要求和規(guī)定，涉及物防、人防的要求由相關(guān)標(biāo)準(zhǔn)或法規(guī)做出規(guī)定。

相關(guān)配套規(guī)范還有《入侵報(bào)警系統(tǒng)工程設(shè)計(jì)規(guī)范GB 50394-2007》、《視頻安防監(jiān)控系統(tǒng)工程設(shè)計(jì)規(guī)范GB 50395-2007》、《出入口控制系統(tǒng)工程設(shè)計(jì)規(guī)范GB 50396-2007》。安防國(guó)家標(biāo)準(zhǔn)充分借鑒了浙江省地方標(biāo)準(zhǔn)《社會(huì)治安動(dòng)態(tài)視頻監(jiān)控系統(tǒng)技術(shù)規(guī)范DB33/T 502-2004》和《跨區(qū)域視頻監(jiān)控聯(lián)網(wǎng)共享技術(shù)規(guī)范DB33/T 629-2011》。

三、依據(jù)WPDRRC模型，融合統(tǒng)一系統(tǒng)安全工程標(biāo)準(zhǔn)、安防工程技術(shù)規(guī)范和信息系統(tǒng)安全技術(shù)

信息安全可被理解為信息系統(tǒng)抵御意外事件或惡意行為的能力，這些意外或惡意事件和行為將破壞由信息系統(tǒng)所提供的可用性、機(jī)密性、完整性、不可否認(rèn)性、真實(shí)性等安全特性。

在信息安全領(lǐng)域，我國(guó)863計(jì)劃信息安全專家組在美國(guó)國(guó)防部給出的PDR動(dòng)態(tài)模型基礎(chǔ)上，提出了適合我國(guó)國(guó)情的網(wǎng)絡(luò)動(dòng)態(tài)安全WPDRRC模型（Warning、Protection、Detection、Response、Recovery、Counterattack）。信息生命周期中涉及的信息內(nèi)容、計(jì)算環(huán)境、基礎(chǔ)設(shè)施、邊界鏈接等諸多方面，均通過(guò)平臺(tái)支撐著信息系統(tǒng)應(yīng)用程序的運(yùn)轉(zhuǎn)。信息安全保障過(guò)程分為預(yù)警、防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)和反擊6個(gè)環(huán)節(jié)，人員在管理和流程的指導(dǎo)下，利用信息安全技術(shù)在整個(gè)生命周期中提供可用性、機(jī)密性、完整性、不可否認(rèn)性、真實(shí)性等安全特性的保障。WPDRRD模型中，三大要素是人、管理、技術(shù)，其中人是基礎(chǔ)和核心，管理是中間層，包括法律法規(guī)、流程制度，技術(shù)屬于外層，落實(shí)在6個(gè)環(huán)節(jié)的各個(gè)方面，它的操作必須受到人和管理的制約。

系統(tǒng)安全工程標(biāo)準(zhǔn)的三個(gè)基本領(lǐng)域：風(fēng)險(xiǎn)、工程和保障，安防工程技術(shù)規(guī)范的三個(gè)基本組成部分：人防、物防、技防，都可以統(tǒng)一在WPDRRC模型的人、管理、技術(shù)三大要素中。系統(tǒng)安全工程標(biāo)準(zhǔn)、安防工程技術(shù)規(guī)范和信息系統(tǒng)安全技術(shù)的融合統(tǒng)一，將會(huì)極大地促進(jìn)信息安全、系統(tǒng)安全和人文安全的發(fā)展。

參 考 文 獻(xiàn)

[1]趙戰(zhàn)生. 中國(guó)信息安全體系機(jī)構(gòu)基本框架與構(gòu)想[J]. 計(jì)算機(jī)安全， 2002（1）： 44-47.

[2]GB/T 20261-2006， 信息技術(shù)系統(tǒng)安全工程能力成熟度模型

[3]GB 50348-2004， 安全防范工程技術(shù)規(guī)范