CISP-1-信息安全测评认证概述.ppt

信息安全理论信息系统安全测评认证概述 中国信息安全产品测评认证中心（CNITSEC） CISP-1-信息系统安全测评认证概述（培训样稿） 目录 信息安全测评认证基础 我国信息安全测评认证基本情况 信息安全标准 通用准则CC（GB/T 18336 idt ISO/IEC 15408） 信息系统安全保障通用评估准则 中国信息安全产品测评认证中心业务介绍 一. 信息安全测评认证基础 1.1 测评认证基本概念 什么是测评认证 测试、评估、认证是三个不同的概念 测试／检验：按照规定的程序，为确定给定的产品、材料、设备、生物组织、物理现象、工艺或服务的一种或多种特性的技术操作 评估：对测试／检验产生的数据进行分析、形成结论的技术活动 认证是指第三方依据程序对产品、过程或服务符合规定的要求给予书面保证（证书），用于评价产品质量和企业质量管理水平 认证的依据是标准和测试／检验／评估的结果 传统的安全测评方法 用户测试 厂商自测 商业性测试 政府内部的安全测试与检测 攻击性（分析、对抗性）检测 软件工程质量保障方法 传统测评方法的不足 缺乏标准的安全需求规范 缺乏通用的安全测评准则 缺乏客观的安全测评工具 缺乏专业的安全测评人员 缺乏公正的第三方测评机制 缺乏完善的测评认证体系 国家信息安全认证 统一的国家标准和行业补充技术要求 国际通用的安全测评方法 客观的安全测评工具 专业的安全测评人员 独立运作的公正第三方测评机制 国家授权的、权威的测评认证体系 认证的分类 按认证对象的不同可分为产品质量认证和质量体系认证 产品质量认证是依据产品标准和相应技术要求，经认证机构确认并通过颁发认证证书和认证标志来证明某一产品符合相应标准和相应技术要求的活动 质量体系认证是以质量体系标准为依据，参照审核要点进行现场审核，以评价受审核单位的质量体系是否符合质量保证模式标准的活动 测评认证在信息安全中的作用 对信息技术的依赖越来越强，信息技术自主性越来越弱是全球性的趋势 测评认证是做到心中有数和市场准入控制的重要手段，是我国加入WTO的需要 测评认证是信息安全保障的重要环节 信息技术的复杂性与质量问题 信息技术的两用性与安全问题 世界各国都将测评认证体系作为国家信息化的重要基础设施，由信息安全主管部门和质量监督部门共同负责管理 1.2 国外信息安全测评认证体系 美国由NSA与国家标准局联合实施国家信息安全认证，英、德、法、澳、加、荷等国家也由国家信息安全主管部门联合国家标准主管部门共同管理信息安全认证工作。先后建立起国家信息安全测评认证体系 芬兰、瑞典、西班牙、挪威、意大利、比利时等欧洲国家和日本、韩国等亚洲国家纷纷仿效，积极开展信息安全测评认证工作 国外的信息安全测评认证体系由：1）一个测评认证管理协调组织、2）一个测评认证实体、和3）多个技术检测机构组成 信息安全测评认证体系模式 美国（NIAP） 德国（GISA） 法国（SCSSI） 澳大利亚（AISEP） 测评认证成为国际性话题 国际会议：从6国发起到14国互认 各国政府在充分认识到全球化和信息化利弊的基础上对信息安全予以高度重视 各国为适应信息化时代国际竞争的新形势纷纷成立专门的测评认证机构 有条件的互认是各国参与国际化和维护自主权的务实选择 2、我国信息安全测评认证体系的基本情况 建设国家测评认证机构是发展的需要 产业发展的需要：信息安全产品的开发、使用和管理需要统一的规范 技术监督的需要：安全性、可靠性、可用性需要依据标准的检测与认证 国际接轨的需要：测试、评估与认证的框架必须符合国际惯例和通用标准 国际竞争的需要：加入WTO 的客观要求（例外） 国家管理的需要：安全检查、许可证管理、行业管理需要技术支持 国家安全的需要：信息化时代的国家主权和安全 测评认证中心的建设过程 1997年初，国务院信息化工作领导小组委托筹建“中国互联网络安全产品测评认证中心” 　1998年7月， 该中心挂牌运行 1998年10月，国家质量技术监督局授权成立“中国国家信息安全测评认证中心” 　1999年2月9日，该中心挂牌运行 2001年5月，中编办根据党中央、国务院有关领导的指示精神，正式批准成立“中国信息安全产品测评认证中心” ，英文简称为CNITSEC，为独立的副局级事业单位 国家信息安全测评认证体系组织结构 认证中心的性质 中国信息安全产品测评认证中心是经中央批准成立的、代表国家实施信息安全测评认证的职能机构，依据国家有关产品质量认证和信息安全管理的法律法规，管理和运行国家信息安全测评认证体系 认证中心的主要职能任务 1、 对国内外信息安全设备和信息技术实施安全性检验、测试与认证 2、对国内信息系统和工程进行安全性评估与认证 3、对提供信息安全服务的单位、人员的资质进行评估与认证 4、承担国家信息安全技术