cisp考点整理..docVIP

信息安全测评服务介绍 中国信息安全测评中心： 1）履行国家信息安全漏洞分析和风险评估职能 2）对信息产品、系统和工程进行评估 3）对信息安全服务，人员的资质进行审核 CISP以信息安全保障（IA）作为主线 信息安全测评认证体系介绍 由信息安全问题所引起的国家面临的主要威胁：1）信息霸权的威胁 2）经济安全 3）舆论安全 4）社会稳定 我国测评认证中心的建设过程：1）1998.10 国家质量技术监督局成立“中国国家信息安全测评认证中心”，1999.2 该中心挂牌运行 2）2001.5 中编办 “中国信息安全产品测评认证中心”（中编办【2001】51号） CNITSEC 3）2007 改名“中国信息安全测评中心” 认证要点 一个目标：TOE评估的正确性和一致性 两种方法：“质量过程核查”，“评估活动评价” 三个阶段：准备，评估，认证 （4）四类活动 行业许可证制度 信息安全产品：公安部3所检测，公安部11局颁发 2）防病毒产品：指定单位（天津市公安局） 3）商用密码产品：国密办颁发 5.商业性测评：制定化，控制，量化 6.认证业务的范围：服务商，专业人员，产品，系统 信息安全测评认标准 测评标准发展 1）美国TCSEC（桔皮书）：美国国防部1985年提出，军用机密性，D最小保护 C1自主安全保护 C2访问控制保护 B1安全标签保护 B2结构化保护 B3安全域保护 A1验证设计保护 2）欧共体ITSEC：将安全性分为功能和保证；提出TOE；提出“安全目标”ST；E1-6 3)加拿大CTCPEC：功能性要求分为机密性，完整性，可用性，可控性 4）美国联邦FC：引入了保护轮廓PP；每个轮廓包括功能，保障和评测需求 5）通用评估准则CC：1996年V1.0；1998年V2.0；1999年为ISO15408（GB/T18336）；思想框架来源于FC和ITSEC；EAL1-7 2. CC的评估保证级EAL EAL1功能测试；EAL2结构测试；EAL3系统地测试和检查；EAL4系统地设计、测试和复查；EAL5半形式化设计和测试（无隐蔽通道）；EAL6半形式化验证的设计和测试；EAL7形式化验证的设计和测试 3. CC的结构：1）简介和一般介绍，以及保护轮廓规范和安全目标规范 2）第二部分：安全功能需求 3）第三部分：安全保障需求 4. CC的范围不包括：1）行政性管理安全措施的评估准则；2）物理安全方面（诸如电磁辐射控制）的评估准则；3）密码算法固有质量评价准则 包括：信息系统产品和技术 5. 保护轮廓PP（甲方）没有详细的设计方案，安全目标ST（乙方）方案 6. APE类：保护轮廓的评估准则； ASE类：安全目标的评估准则 7. CC的结构：类，子类，组件 8. 其他重要标准 1）ITIL：IT服务框架 2）Gobit：ISACA协会IT内控审计、IT治理框架 四．我国标准 1. 我国：国家 GB/T; 行业：GA,GJB; 地方：DB/T; 企业：Q 2. 标准化：最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。 目的：获得最佳秩序和社会效益。 3. 我国通行“标准化八字原理：“统一”，“简化”，“协调”，“最优” 4. idt为等同采用，MOD（修改采用），NEQ（非等效采用） 5 .1）IEC国际电工委员会（有TC77电磁兼容）；2）ITU国际电信联盟（安全框架，安全联盟）；IETF（英特网工程工作组） 6. 1）GB/T 5271.8-2001 (idt ISO 2382.8) ；GJB 2256-1994 《军用计算机安全术语》 2）GB/T 9387.2-1995（idt ISO7498-2）；RFC 2401 因特网安全体系结构 3）安全框架 ISO/IEC 10181-1~7 4）信息安全管理框架(ISO 7498-4) 5）信息安全保证框架(ISO/IEC WD 15443) 6）64位块加密算法操作方式(GB/T 15277) （ Idt ISO 8372) 7）鉴别的保准 GB15843 8) 数据完整性机制 GB15852 9）计算站场地安全要求 GB9361 10）机房适宜的湿度是40%-70%，GB2887 4.4.1 11）机房适宜的温度是15-30℃，见GB2887 4.4.1。 12）系统平台安全 参照标准：1）TCSEC 可信计算机评估准则；2）GB 17859 计算机信息系统安全保护等级划分准则 ；3）GJB 2646 军用计算机安全评估准则 ；4）TDI 可信数据库解释 13）网络平台安全：防火墙GB 18019-1999,GB 18020-1999 14）安全策略 ：1