淺析IT系統安全和安防規范的融合

陳向榮

【摘要】 本文簡要介紹了系統安全工程標準和安防工程技術規范的發展現狀，依據網絡動態安全WPDRRC模型，提出了融合統一系統安全工程標準、安防工程技術規范和信息系統安全技術的建議。

【關鍵詞】 系統安全工程標準 安防工程技術規范 WPDRRC模型

一、系統安全工程標準發展現狀

SSE-CMM是IT系統安全工程能力成熟度模型（Systems Security Engineering Capability Maturity Model），它描述了一個組織的安全工程過程必須包含的本質特征。SSE-CMM把安全工程劃分為三個基本領域：風險、工程和保障。在企業和業務過程中的定義、管理和重建中必須強調安全的考慮，安全工程將應用到系統和應用的開發、集成、操作、管理、維護和進化以及產品的開發、交付和進化中。

2002年SSE-CMM被國際標準化組織采納成為國際標準即ISO/IEC 21827：2002，2006年被中國轉化為國標GB/T 20261-2006。

二、安防工程技術規范發展現狀

安全防范工程，是用于維護社會公共安全和預防災害事故為目的的報警、電視監控、通訊、出入口控制、防爆、安全檢查等工程。安全防范是人防、物防、技防的有機結合。2004年，全國安全防范報警系統標準化技術委員會受公安部的委托，編制了《安全防范工程技術規范 GB 50348-2004》，主要對技術防范系統的設計、施工、檢驗、驗收做出了基本要求和規定，涉及物防、人防的要求由相關標準或法規做出規定。

相關配套規范還有《入侵報警系統工程設計規范GB 50394-2007》、《視頻安防監控系統工程設計規范GB 50395-2007》、《出入口控制系統工程設計規范GB 50396-2007》。安防國家標準充分借鑒了浙江省地方標準《社會治安動態視頻監控系統技術規范DB33/T 502-2004》和《跨區域視頻監控聯網共享技術規范DB33/T 629-2011》。

三、依據WPDRRC模型，融合統一系統安全工程標準、安防工程技術規范和信息系統安全技術

信息安全可被理解為信息系統抵御意外事件或惡意行為的能力，這些意外或惡意事件和行為將破壞由信息系統所提供的可用性、機密性、完整性、不可否認性、真實性等安全特性。

在信息安全領域，我國863計劃信息安全專家組在美國國防部給出的PDR動態模型基礎上，提出了適合我國國情的網絡動態安全WPDRRC模型（Warning、Protection、Detection、Response、Recovery、Counterattack）。信息生命周期中涉及的信息內容、計算環境、基礎設施、邊界鏈接等諸多方面，均通過平臺支撐著信息系統應用程序的運轉。信息安全保障過程分為預警、防護、檢測、響應、恢復和反擊6個環節，人員在管理和流程的指導下，利用信息安全技術在整個生命周期中提供可用性、機密性、完整性、不可否認性、真實性等安全特性的保障。WPDRRD模型中，三大要素是人、管理、技術，其中人是基礎和核心，管理是中間層，包括法律法規、流程制度，技術屬于外層，落實在6個環節的各個方面，它的操作必須受到人和管理的制約。

系統安全工程標準的三個基本領域：風險、工程和保障，安防工程技術規范的三個基本組成部分：人防、物防、技防，都可以統一在WPDRRC模型的人、管理、技術三大要素中。系統安全工程標準、安防工程技術規范和信息系統安全技術的融合統一，將會極大地促進信息安全、系統安全和人文安全的發展。

參 考 文 獻

[1]趙戰生. 中國信息安全體系機構基本框架與構想[J]. 計算機安全， 2002（1）： 44-47.

[2]GB/T 20261-2006， 信息技術系統安全工程能力成熟度模型

[3]GB 50348-2004， 安全防范工程技術規范