分级评价业务白皮书-吉林信息安全测评中心.DOC

国家信息安全测评 SUBJECT \* MERGEFORMAT 信息安全产品分级评估业务白皮书 版本：2.1 ?版权2011—中国信息安全测评中心 二〇一一年三月 - PAGE I - 目 录 TOC \o 1-3 1．简介 PAGEREF _Toc287276023 \h 1 1.1 引言 PAGEREF _Toc287276024 \h 1 1.2 目的和意义 PAGEREF _Toc287276025 \h 1 1.3 业务范围 PAGEREF _Toc287276026 \h 1 2．分级评估业务介绍 PAGEREF _Toc287276027 \h 2 2.1业务特点 PAGEREF _Toc287276028 \h 2 2.1.1国家权威，国际认可 PAGEREF _Toc287276029 \h 2 2.1.2公平、公正、保密 PAGEREF _Toc287276030 \h 2 2.1.3技术成熟 PAGEREF _Toc287276031 \h 2 2.2业务需求 PAGEREF _Toc287276032 \h 2 2.2.1对用户 PAGEREF _Toc287276033 \h 2 2.2.2对企业 PAGEREF _Toc287276034 \h 3 2.2.3对政府 PAGEREF _Toc287276035 \h 3 2.3依据标准 PAGEREF _Toc287276036 \h 3 2.4业务实施 PAGEREF _Toc287276037 \h 3 2.4.1证据需求 PAGEREF _Toc287276038 \h 3 2.4.2业务流程 PAGEREF _Toc287276039 \h 5 2.4.3评估内容 PAGEREF _Toc287276040 \h 7 2.4.4人员及时间 PAGEREF _Toc287276041 \h 8 2.4.5资费标准 PAGEREF _Toc287276042 \h 8 2.4.6业务监督 PAGEREF _Toc287276043 \h 8 2.5业务输出 PAGEREF _Toc287276044 \h 8 2.6 FAQ PAGEREF _Toc287276045 \h 9 第 PAGE 9页，共9页 1．简介 1.1 引言 目前，众多组织机构开展了针对安全产品的多样化的测评业务，这些测评业务为人们了解产品的功能特点及实现方式提供了良好的途径。 然而，自身功能实现的好坏是否足以衡量一个产品的质量，为用户提供放心的使用环境呢？纵观国内外信息安全界，安全事件屡有发生，产品商业机密遭到泄露，这给用户带来了极大的危害。显然，产品设计是否全面、是否提供了足够的保密措施、保障文档是否完善，都会对用户的使用起到至关重要的作用。 信息安全产品分级评估是指依据国家标准GB/T 18336—2008，综合考虑产品的预期应用环境，通过对信息安全产品的整个生命周期，包括技术，开发、管理，交付等部分进行全面的安全性评估和测试，验证产品的保密性、完整性和可用性程度，确定产品对其预期应用而言是否足够安全，以及在使用中隐含的安全风险是否可以容忍，产品是否满足相应评估保证级的要求。 目的和意义 信息安全产品分级评估的目的是促进高质量、安全和可控的IT产品的开发，分级评估的具体的目的和意义包括： 对信息安全产品依据国家标准进行分级评估； 判定产品是否满足标准中的安全功能和安全保证要求； 有助于在涉及国家安全的信息安全领域中加强产品的安全性和可控性，维护国家和用户的安全利益； 促进中国信息安全市场的优胜劣汰机制的建立和完善，规范市场。 1.3 业务范围 具有信息技术安全功能的产品，如：防火墙，IDS/IPS、智能卡、网闸、桌面控制、审计等。 2．分级评估业务介绍 2.1业务特点 2.1.1国家权威，国际认可 中心多年来依据国家授权对外开展信息安全产品测评业务，是代表国家对信息安全产品的最高认可，出具的测评报告具有极高的权威性。 中心依据国标GB/T 18336—2008开展分级评估业务，该标准等同采用国际标准ISO/IEC 15408:2005，所采用的评估方法均为国际通用方法，具备强大的国际认可基础。 2.1.2公平、公正、保密 中心是第三方的独立测评机构，不代表任何商业组织的利益，出具的测评报告以事实为依据，以公平、公正为准则，为最终客户的产品选购提供了良好的依据。 我中心有成熟和完善的代码管理控制机制，可对厂家送测的产品源代码进行保密处理，确保不外泄。 2.1.3技术成熟 多年来，中心是国内唯一开展产品分级评估业务的专业职能机构。长期以来从事信息安全产品分级评估工作，使中心拥有一支专业的评估队伍，研发出丰富的