信息安全标准概述.pptx

第14讲 信息安全标准（二）信息安全评估标准北京邮电大学 计算机学院副教授 徐国爱本讲提纲我国信息安全测评认证概述TCSECCCGB17859测评认证相关概念信息安全测评依据标准对信息技术产品、系统、服务提供商和人员进行测试与评估，检验其是否符合测评的标准信息安全测评是检验/测试活动信息安全认证对信息技术领域内产品、系统、服务提供商和人员的资质、能力符合规范及安全标准要求的一种确认活动，即检验评估过程是否正确，并保证评估结果的正确性和权威性。信息安全认证是质量认证活动，更确切地说是产品认证活动。两者关系信息安全测评为信息安全认证提供必要的技术依据。 产品认证访问控制产品（防火墙/路由器/代理服务器/网关）鉴别产品安全审计产品安全管理产品数据完整性产品数字签名产品抗抵赖产品商用密码产品（须由国家商用密码管理办公室授权）防信息干扰、泄漏产品操作系统安全类产品 数据库安全类产品……系统安全测评信息系统的安全测评，是由具有检验技术能力和政府授权资格的权威机构，依据国家标准、行业标准、地方标准或相关技术规范，按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动。系统安全测评旨在为以前没有安全保障或安全保障体系不完善的系统（网络）提供改进服务，从而降低系统的安全风险 组织认证：对提供信息安全服务的组织和单位资质进行评估和认证，即服务资质认证 个人认证：对信息安全专业人员的资质进行评估和认证，即人员资质认证 我国信息安全测评认证体系组织结构于1997年启动，到1998年底，正式建立我国的信息安全测评认证体系，由三部分组成国家信息安全测评认证管理委员会中国信息安全产品测评认证中心授权测评机构国家信息安全测评认证管理委员会国家信息安全测评认证管理委员会是认证中心的监管机构。组成：由与信息安全相关的管理部门、使用部门、学术界和生产厂商四方面的代表组成主要职责：确定测评认证中心的发展策略，推动中心检测认证的标准研究和准则使用，对测评认证工作的公正性、科学性进行监督。管理委员会下设专家委员会和投诉、申诉委员会。中国信息安全产品测评认证中心中国信息安全产品测评认证中心（CNITSEC）：是经中央批准的、由国家质量监督检验检疫总局授权成立的、代表国家实施信息安全测评认证的职能机构。对国内外信息安全设备和信息技术产品进行安全性检验与测试； 对国内信息工程和信息系统进行安全性评估与安全质量体系认证； ?对在中国境内销售、使用的信息技术产品和安全设备进行安全性认证； 提供与信息安全有关的信息服务、技术服务及人员培训； 与国际上相应的测评认证机构联系与交流。国家认可委（CNAB）国家信息安全测评认证管理委员会认可中国信息安全产品测评认证中心测评认证报告授权监督测评报告认证申请实验室认可委（CNAL）认可授权测评机构测评认证申请者测评申请信息安全测评认证过程图示相关测评标准GB17859-1999《计算机信息系统安全保护等级划分准则》GB/T 18336-2001《信息技术 安全技术 信息技术安全性评估准则》GB/T 19716-2005《信息技术 信息安全管理实用规则》GB/T 20271-2006《信息系统通用安全技术要求》GB/T 20269-2006《信息系统安全管理要求》GB/T 20282-2006《信息系统安全工程管理要求》DB31/T 272-2002《计算机信息系统安全测评通用技术规范》测评认证相关技术渗透性测试：对测试目标进行脆弱性分析，探知产品或系统安全脆弱性的存在，其主要目的是确定测试目标能够抵抗具有不同等级攻击潜能的攻击者发起的渗透性攻击。因此，渗透性测试就是在测试目标预期使用环境下进行的测试，以确定测试目标中潜在的脆弱性的可利用程度。系统漏洞扫描：主要是利用扫描工具对系统进行自动检查，根据漏洞库的描述对系统进行模拟攻击测试，如果系统被成功入侵，说明存在漏洞。主要分为网络漏洞扫描和主机漏洞扫描等方式。本讲提纲我国信息安全测评认证概述信息安全评估标准的发展信息安全评估标准的发展 1999年GB 17859计算机信息系统安全保护等级划分准则1999年CC成为国际标准，2005年更新（ISO/IEC 15408）1993年加拿大可信计算机产品评估准则（CTCPEC）1985年美国可信计算机系统评估准则（TCSEC）国际通用准则1996年，CC 1.01998年，CC 2.01999年，CC2.11993年美国联邦政府评估准则（FC）1991年欧洲信息技术安全评估准则（ITSEC）2001年中国国家标准GB/T 183362008年更新（等同采用CC）可信计算机系统评估准则（TCSEC）可信计算机系统评估准则（TCSEC）简介信息安全技术的里程碑1985年作为美国国防部标准（DoD）发布（DoD 5200.28-STD）主要为军用