信息安全等级保护与分级认证研究.pdfVIP

·3ID· 第二十次全国计算机安全学术交流会论文 信息安全等级保护与分级认证 陈晓桦 中国信息安全产品测评认证中心 表国家开展信息安全测评认证工作，并依据国家有 一、走近我国信息安全测评认证 关产品质量认证和信息安全管理的法律法规，管理 什么是信息安全测评认证?首先我们需要了解 和运行国家信息安全测评认证体系。 测试、评估、认证这三个相互关联却实质各异的概 目前，中国信息安全产品测评认证中心开展的 念。 认证业务主要包括以下四个方面：信息安全产品认 测试是一种技术操作，它按规定的程序对给定 证，信息系统安全认证、信息安全服务资质认证和 的产品、材料、设备等一种或多种特性进行判定； 注册信息安全专业人员资质认证。主要的技术依据 评估是对测试／检验产生的数据进行分析，形成结 和方法包括：信息技术安全性评估准则(也称为通 论的一种技术活动，由于目前计算机技术和自动化 用评估准则，简称CC，等同于国际标准ISO／ 工具的发展，测试和评估往往是合为一体的。认证 是指第三方依据程序对产品、过程或服务符合规定 信息系统安全等级保障评估标准(SEE)、信息安全 的要求给予书面保证(证书)，用于评价产品质量 服务资质评估标准(SPC)、信息安全专业人员注册 和企业质量管理水平。认证以标准和测试、检验、 准则，以及国家认证认可管理委员会批准的与安全 评估的结果为依据。具体到信息安全测评认证，测 技术、规范等相关的技术要求文件及其它国内外相 评是指专门的机构根据一定的标准，通过对信息安 关标准等。 全产品和信息系统进行测试和评估，确定产品或者 产品认证：信息安全产品认证主要分为型号认 系统能够达到安全级别可信程度。测评包括生产商 证和分级认证两种。其中分级认证根据相应的标准 自我测试与评估、用户测试、专家鉴定会、第三方 又分成7个级别。中国信息安全产品测评认证中心 测评等多种类型，是检验产品好坏和是否安全的根 目前开展的是1到5级的认证。其中，对电信智能 本手段。相对来说，来自第三方的测评是比较科学 卡的认证已达到5级，其他安全产品目前最高达到 和客观的。信息安全的认证是代表国家对达到评价 3级。 标准和标准要求的产品和系统进行的一种独立于用 系统安全认证：系统安全认证的技术标准分为 户和厂商之间的第三方的认可活动，表明其特点和 5个级别，目前，我们从技术、工程、管理和综合 功能达到了规定的要求。 等方面开展了两个级别的系统认证工作。在实施过 信息安全测评认证具有重要的意义，它能促进 程中，主要分为方案评审、系统测评、系统认证等 信息技术产业的进步与成熟；提高信息技术产品的 三个方面。其中，方案评审是为确定特定信息系统 市场竞争力，帮助厂家发现问题，用更高更严的标 是否达到标准的安全性设计要求；系统测评是对运 准来要求制作，提升厂家的开发能力；有利于国塞 行由的信息系统韵娄全功能钓技林坝4词埘信氇i系 对信息安全产业和市场准大进行管理-合格产品的一一一统妄至蕞沫和管理体系的调查取证和对特定系统运 市场进入与流通，以及政府采购中产品安全性的保 行情况是否达到标准的安全要求的评估；最后进行 证；推动信息安全技术和标准化的进程一韵系统韵嵌衄提冽嚏扦弼均种驰薛剐豹墅唪系前硪 在我国，经中央批准成立、国家质量监督检验 信息安全服务资质认证：信息安全服务资质认 检疫总局授权，中国信息安全产品测评认证中心代 证主要是对信息安全系统服务提供商的资格状况、 大会论文