CISP信息安全测评认证重点分析.ppt

信息安全理论信息系统安全测评认证概述 中国信息安全产品测评认证中心（CNITSEC） CISP-1-信息系统安全测评认证概述（培训样稿） 目录 信息安全测评认证基础 我国信息安全测评认证基本情况 信息安全标准 通用准则CC（GB/T 18336 idt ISO/IEC 15408） 信息系统安全保障通用评估准则 中国信息安全产品测评认证中心业务介绍 一. 信息安全测评认证基础 1.1 测评认证基本概念 什么是测评认证 测试、评估、认证是三个不同的概念 测试／检验：按照规定的程序，为确定给定的产品、材料、设备、生物组织、物理现象、工艺或服务的一种或多种特性的技术操作 评估：对测试／检验产生的数据进行分析、形成结论的技术活动 认证是指第三方依据程序对产品、过程或服务符合规定的要求给予书面保证（证书），用于评价产品质量和企业质量管理水平 认证的依据是标准和测试／检验／评估的结果 传统的安全测评方法 用户测试 厂商自测 商业性测试 政府内部的安全测试与检测 攻击性（分析、对抗性）检测 软件工程质量保障方法 传统测评方法的不足 缺乏标准的安全需求规范 缺乏通用的安全测评准则 缺乏客观的安全测评工具 缺乏专业的安全测评人员 缺乏公正的第三方测评机制 缺乏完善的测评认证体系 国家信息安全认证 统一的国家标准和行业补充技术要求 国际通用的安全测评方法 客观的安全测评工具 专业的安全测评人员