cisp考点整理资料.pdfVIP

一．信息安全测评服务介绍 1. 中国信息安全测评中心： 1）履行国家信息安全漏洞分析和风险评估职能2 ）对信息产品、系统和工程进行评 3 ）对信息安全服务，人员的资 质进行审核 2. CISP 以信息安全保障（IA ）作为主线 二．信息安全测评认证体系介绍 1．由信息安全问题所引起的国家面临的主要威胁：1）信息霸权的威胁 2 ）经济安全 3 ）舆论安全 4 ）社会稳定 2 ．我国测评认证中心的建设过程：1）1998.10 国家质量技术监督局成立“中国国家信息安全测评认证中心”，1999.2 该 中心挂牌运行 2 ）2001.5 中编办 “中国信息安全产品测评认证中心”（中编办【2001 】51 号）CNITSEC 3 ）2007 改名“中国信息安全测评中心” 3 ．认证要点 （1） 一个目标：TOE 评估的正确性和一致性 （2 ） 两种方法：“质量过程核查”，“评估活动评价” （3 ） 三个阶段：准备，评估，认证 （4 ）四类活动 4 ．行业许可证制度 1）信息安全产品：公安部3 所检测，公安部11 局颁发 2 ）防病毒产品：指定单位（天津市公安局）3 ）商用密码产 品：国密办颁发 5.商业性测评：制定化，控制，量化 6.认证业务的范围：服务商，专业人员，产品，系统 三．信息安全测评认标准 1. 测评标准发展 1）美国TCSEC （桔皮书）：美国国防部1985 年提出，军用机密性，D 最小保护 C1 自主安全保护C2 访问控制保 护 B1 安全标签保护 B2 结构化保护 B3 安全域保护 A1 验证设计保护 2 ）欧共体ITSEC：将安全性分为功能和保证；提出TOE ；提出“安全目标”ST；E1-6 3)加拿大CTCPEC：功能性要求分为机密性，完整性，可用性，可控性 4 ）美国联邦FC ：引入了保护轮廓PP ；每个轮廓包括功能，保障和评测需求 5 ）通用评估准则CC ：1996 年V1.0 ；1998 年V2.0 ；1999 年为ISO15408 （GB/T18336 ）；思想框架来源于FC 和ITSEC ； EAL1-7 2. CC 的评估保证级EAL EAL1 功能测试；EAL2 结构测试；EAL3 系统地测试和检查；EAL4 系统地设计、测试和复查；EAL5 半形式化设计 和测试（无隐蔽通道）；EAL6 半形式化验证的设计和测试；EAL7 形式化验证的设计和测试 3. CC 的结构：1）简介和一般介绍，以及保护轮廓规范和安全目标规范2 ）第二部分：安全功能需求3 ）第三部分： 安全保障需求 4. CC 的范围不包括：1）行政性管理安全措施的评估准则；2 ）物理安全方面（诸如电磁辐射控制）的评估准则；3 ） 密码算法固有质量评价准则 包括：信息系统产品和技术 5. 保护轮廓PP （甲方）没有详细的设计方案，安全目标ST （乙方）方案 6. APE 类：保护轮廓的评估准则； ASE 类：安全目标的评估准则 7. CC 的结构：类，子类，组件 8. 其他重要标准 1）ITIL：IT 服务框架 2 ）Gobit ：ISACA 协会IT 内控审计、IT 治理框架 四．我国标准 1. 我国：国家 GB/T; 行业：GA,GJB; 地方：DB/T; 企业：Q 2. 标准化：最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。 目的：获得最佳秩序和社会效益。 3. 我国通行“标准化八字原理：“统一”，“简化”，“协调”，“最优” 4. idt 为等同采用，MOD （修改采用），NEQ （非等效采用） 5 .1 ）IEC 国际电工委员会（有TC77 电磁兼容）；2 ）ITU 国际电信联盟（安全框架，安全联盟）；IETF （英特网工程工 作组） 6. 1 ）GB/T 5271.8-2001 (idt ISO 2382.8) ；GJB 2256-1994 《军用计算机安全术语》 2 ）GB/T 9387.2-1995 （idt ISO7498-2 ）；RFC 2401 因特网安全体系结构 3 ）安全框架 ISO/IEC 10181-1~7 4 ）信息安全管理框架(ISO 7498-4) 5 ）信息安全保证框架(ISO/IEC WD 15443) 6 ）64 位块加密算法操作方式(GB/T 15277) （Idt ISO 8372) 7 ）鉴别的保准 GB15843 8) 数据完整性机制 GB15852 9