陈向荣

【摘要】 本文简要介绍了系统安全工程标准和安防工程技术规范的发展现状，依据网络动态安全WPDRRC模型，提出了融合统一系统安全工程标准、安防工程技术规范和信息系统安全技术的建议。

【关键词】 系统安全工程标准 安防工程技术规范 WPDRRC模型

一、系统安全工程标准发展现状

SSE-CMM是IT系统安全工程能力成熟度模型（Systems Security Engineering Capability Maturity Model），它描述了一个组织的安全工程过程必须包含的本质特征。SSE-CMM把安全工程划分为三个基本领域：风险、工程和保障。在企业和业务过程中的定义、管理和重建中必须强调安全的考虑，安全工程将应用到系统和应用的开发、集成、操作、管理、维护和进化以及产品的开发、交付和进化中。

2002年SSE-CMM被国际标准化组织采纳成为国际标准即ISO/IEC 21827：2002，2006年被中国转化为国标GB/T 20261-2006。

二、安防工程技术规范发展现状

安全防范工程，是用于维护社会公共安全和预防灾害事故为目的的报警、电视监控、通讯、出入口控制、防爆、安全检查等工程。安全防范是人防、物防、技防的有机结合。2004年，全国安全防范报警系统标准化技术委员会受公安部的委托，编制了《安全防范工程技术规范 GB 50348-2004》，主要对技术防范系统的设计、施工、检验、验收做出了基本要求和规定，涉及物防、人防的要求由相关标准或法规做出规定。

相关配套规范还有《入侵报警系统工程设计规范GB 50394-2007》、《视频安防监控系统工程设计规范GB 50395-2007》、《出入口控制系统工程设计规范GB 50396-2007》。安防国家标准充分借鉴了浙江省地方标准《社会治安动态视频监控系统技术规范DB33/T 502-2004》和《跨区域视频监控联网共享技术规范DB33/T 629-2011》。

三、依据WPDRRC模型，融合统一系统安全工程标准、安防工程技术规范和信息系统安全技术

信息安全可被理解为信息系统抵御意外事件或恶意行为的能力，这些意外或恶意事件和行为将破坏由信息系统所提供的可用性、机密性、完整性、不可否认性、真实性等安全特性。

在信息安全领域，我国863计划信息安全专家组在美国国防部给出的PDR动态模型基础上，提出了适合我国国情的网络动态安全WPDRRC模型（Warning、Protection、Detection、Response、Recovery、Counterattack）。信息生命周期中涉及的信息内容、计算环境、基础设施、边界链接等诸多方面，均通过平台支撑着信息系统应用程序的运转。信息安全保障过程分为预警、防护、检测、响应、恢复和反击6个环节，人员在管理和流程的指导下，利用信息安全技术在整个生命周期中提供可用性、机密性、完整性、不可否认性、真实性等安全特性的保障。WPDRRD模型中，三大要素是人、管理、技术，其中人是基础和核心，管理是中间层，包括法律法规、流程制度，技术属于外层，落实在6个环节的各个方面，它的操作必须受到人和管理的制约。

系统安全工程标准的三个基本领域：风险、工程和保障，安防工程技术规范的三个基本组成部分：人防、物防、技防，都可以统一在WPDRRC模型的人、管理、技术三大要素中。系统安全工程标准、安防工程技术规范和信息系统安全技术的融合统一，将会极大地促进信息安全、系统安全和人文安全的发展。

参 考 文 献

[1]赵战生. 中国信息安全体系机构基本框架与构想[J]. 计算机安全， 2002（1）： 44-47.

[2]GB/T 20261-2006， 信息技术系统安全工程能力成熟度模型

[3]GB 50348-2004， 安全防范工程技术规范