分级评估业务白皮书 .doc

国家信息安全测评 信息安全产品分级评估业务白皮书 版本：2.1 ?版权2011—中国信息安全测评中心 二〇一一年三月 目 录 1．简介 1 1.1 引言 1 1.2 目的和意义 1 1.3 业务范围 1 2．分级评估业务介绍 2 2.1业务特点 2 2.1.1国家权威，国际认可 2 2.1.2公平、公正、保密 2 2.1.3技术成熟 2 2.2业务需求 2 2.2.1对用户 2 2.2.2对企业 3 2.2.3对政府 3 2.3依据标准 3 2.4业务实施 3 2.4.1证据需求 3 2.4.2业务流程 5 2.4.3评估内容 7 2.4.4人员及时间 8 2.4.5资费标准 8 2.4.6业务监督 8 2.5业务输出 8 2.6 FAQ 9 1．简介 1.1 引言 目前，众多组织机构开展了针对安全产品的多样化的测评业务，这些测评业务为人们了解产品的功能特点及实现方式提供了良好的途径。 然而，自身功能实现的好坏是否足以衡量一个产品的质量，为用户提供放心的使用环境呢？纵观国内外信息安全界，安全事件屡有发生，产品商业机密遭到泄露，这给用户带来了极大的危害。显然，产品设计是否全面、是否提供了足够的保密措施、保障文档是否完善，都会对用户的使用起到至关重要的作用。 信息安全产品分级评估是指依据国家标准GB/T 18336—2008，综合考虑产品的预期应用环境，通过对信息安全产品的整个生命周期，包括技术，开发、管理，交付等部分进行全面的安全性评估和测试，验证产品的保密性、完整性和可用性程度，确定产品对其预期应用而言是否足够安全，以及在使用中隐含的安全风险是否可以容忍，产品是否满足相应评估保证级的要求。 目的和意义 信息安全产品分级评估的目的是促进高质量、安全和可控的IT产品的开发，分级评估的具体的目的和意义包括： 对信息安全产品依据国家标准进行分级评估； 判定产品是否满足标准中的安全功能和安全保证要求； 有助于在涉及国家安全的信息安全领域中加强产品的安全性和可控性，维护国家和用户的安全利益； 促进中国信息安全市场的优胜劣汰机制的建立和完善，规范市场。 1.3 业务范围 具有信息技术安全功能的产品，如：防火墙，IDS/IPS、智能卡、网闸、桌面控制、审计等。 2．分级评估业务介绍 2.1业务特点 2.1.1国家权威，国际认可 中心多年来依据国家授权对外开展信息安全产品测评业务，是代表国家对信息安全产品的最高认可，出具的测评报告具有极高的权威性。 中心依据国标GB/T 18336—2008开展分级评估业务，该标准等同采用国际标准ISO/IEC 15408:2005，所采用的评估方法均为国际通用方法，具备强大的国际认可基础。 2.1.2公平、公正、保密 中心是第三方的独立测评机构，不代表任何商业组织的利益，出具的测评报告以事实为依据，以公平、公正为准则，为最终客户的产品选购提供了良好的依据。 我中心有成熟和完善的代码管理控制机制，可对厂家送测的产品源代码进行保密处理，确保不外泄。 2.1.3技术成熟 多年来，中心是国内唯一开展产品分级评估业务的专业职能机构。长期以来从事信息安全产品分级评估工作，使中心拥有一支专业的评估队伍，研发出丰富的评估技术手段，在承担国内标准的制定工作的同时，了解国内外对信息安全产品的最新要求及实时动态，其成熟的技术代表了业内领先水平。 2.2业务需求 统观国际发展趋势，国际知名企业，如微软、IBM等陆续加入到分级评估的队伍中。分级评估涉及的产品领域也在不断壮大，防火墙、IDS、网络交换机、操作系统等纷纷参与到分级评估的业务中。分级评估是促进国内企业的产品迈向国际化的重要一步。 2.2.1对用户 不同的应用环境要求信息技术产品所提供的安全性保证程度不同，因为不同的使用环境面临的安全威胁不同，所保护的信息资产的价值也有大有小。 分级评估业务可以为最终用户全面判断产品的安全性好坏提供依据，用户可以结合其对产品的预期使用环境，全方位的衡量该产品是否能够满足自身需求。同时，评估结果可以帮助用户确定信息安全产品对其预期应用环境而言是否足够安全，以及考量在使用中隐藏的安全风险是否可以被容忍。 2.2.2对企业 分级评估对产品需求、设计、开发、测试等整个生命周期均有严格的要求，企业通过分级评估可以提升产品安全设计水平。 分级评估从企业策略、开发环境、开发过程的控制、产品的安全交付等方面作出了要求，能够规范内部整体研发流程，从各个方面杜绝漏洞存在及泄密事件发生的可能。 分级评估是国际化的需要，通过分级评估的产品在我国入世后占据绝对的竞争优势。 2.2.3对政府 通过分级评估，可以了解国内企业生产研发整体水平，加强行业监管，提升全行业产品整体水平，使整体信息安全产业尽