信息安全測評認(rèn)證

信息平安測評認(rèn)證

開展?fàn)顩r中國信息平安產(chǎn)品測評認(rèn)證中心李守鵬2004年7月3日2004年7月3日主要內(nèi)容一、測評認(rèn)證的起因二、測評認(rèn)證的作用三、測評認(rèn)證體制四、國外測評認(rèn)證的開展情況五、我國測評認(rèn)證的開展情況六、測評認(rèn)證的開展趨勢一、測評認(rèn)證的起因2004年7月3日信息平安與信息平安保障TCSEC的產(chǎn)生背景TCSEC評估向CC評估的過度我國信息平安測評認(rèn)證的產(chǎn)生二、測評認(rèn)證的作用2004年7月3日對國家信息平安保障的作用對信息平安產(chǎn)業(yè)的作用促進(jìn)產(chǎn)品平安質(zhì)量的提高有利于信息平安市場的良性開展促進(jìn)產(chǎn)品的國際競爭能力對用戶的作用指導(dǎo)用戶選擇合格的IT產(chǎn)品IT平安產(chǎn)品支持平安的IT產(chǎn)品是用戶建設(shè)平安的信息系統(tǒng)的根底保護(hù)用戶的信息財(cái)產(chǎn)平安三、測評認(rèn)證體制2004年7月3日測評認(rèn)證體制的構(gòu)成認(rèn)證體制主要包括三個(gè)方面測評認(rèn)證標(biāo)準(zhǔn)〔準(zhǔn)那么〕方法論測評認(rèn)證組織體系測評認(rèn)證標(biāo)準(zhǔn)和方法論測評認(rèn)證組織體系評估機(jī)構(gòu)〔實(shí)驗(yàn)室〕中國信息平安產(chǎn)品測評認(rèn)證中心

認(rèn)證機(jī)構(gòu)認(rèn)可機(jī)構(gòu)〔CNAB/CNAL〕證書認(rèn)可授權(quán)認(rèn)證評估機(jī)構(gòu)〔實(shí)驗(yàn)室〕評估機(jī)構(gòu)〔實(shí)驗(yàn)室〕評估機(jī)構(gòu)〔實(shí)驗(yàn)室〕認(rèn)可認(rèn)證主要流程評估目標(biāo)ETR評估文檔批準(zhǔn)評估技術(shù)報(bào)告準(zhǔn)備評估開展評估進(jìn)行認(rèn)證評估技術(shù)報(bào)告認(rèn)證維持認(rèn)證報(bào)告證書四、國外測評認(rèn)證

開展情況2004年7月3日歐洲國家和地區(qū)89-93年加拿大89-93年通用準(zhǔn)則計(jì)劃93年起ISOIS15408‘99美國TCSEC83/85年CTCPEC93年聯(lián)邦準(zhǔn)則92年通用準(zhǔn)則（CC1.0）96年通用準(zhǔn)則（CC2.1）99年NIST’sMSFR90年ITSEC1.291年ISO92年起=CC的意義建立了國際統(tǒng)一標(biāo)準(zhǔn)ISO/IEC15408建立了國際互認(rèn)根底為產(chǎn)品開發(fā)提供了參照使產(chǎn)品在國際上廣泛可得CC國際互認(rèn)情況測評標(biāo)準(zhǔn)的相關(guān)工作美國國家認(rèn)證機(jī)構(gòu)多個(gè)授權(quán)測試實(shí)驗(yàn)室認(rèn)證申請者國家實(shí)驗(yàn)室認(rèn)可程序管理監(jiān)督指導(dǎo)評估結(jié)果美國測評認(rèn)證體系模式NIAP認(rèn)證機(jī)構(gòu)國家志愿實(shí)驗(yàn)室認(rèn)可程序ISO標(biāo)準(zhǔn)(導(dǎo)那么65)已批準(zhǔn)實(shí)驗(yàn)室列表已批準(zhǔn)測試方法列表認(rèn)證報(bào)告已認(rèn)證產(chǎn)品列表通用準(zhǔn)那么證書－消費(fèi)者組－本國政府－本國非政府－國外政府－國外非政府－平安社團(tuán)體制需要評估結(jié)果認(rèn)可ISO/IEC(導(dǎo)那么25)要求通用準(zhǔn)那么測試實(shí)驗(yàn)室評估發(fā)起者〔IT產(chǎn)品或保護(hù)輪廓〕IT平安評估要求美國信息平安認(rèn)證程序主任副主任質(zhì)量主管資料/信息主管技術(shù)監(jiān)督主管資源主管人事部培訓(xùn)部項(xiàng)目部評估部認(rèn)證部證書管理文檔控制資料管理證書維護(hù)機(jī)構(gòu)管理美國測評認(rèn)證機(jī)構(gòu)的內(nèi)部結(jié)構(gòu)美國信息平安測評認(rèn)證開展情況美國信息平安測評認(rèn)證證書目前只頒發(fā)通用準(zhǔn)那么〔CC〕證書美國信息平安測評機(jī)構(gòu)目前批準(zhǔn)的通用準(zhǔn)那么測試實(shí)驗(yàn)室〔CCTL〕有8個(gè)，它們是：BoozAllenHamiltonCommonCriteriaTestingLaboratoryCableandWirelessCommonCriteriaTestingLaboratoryCOACTInc.CAFELaboratoryComputerSciencesCorporationCriterianIndependentLabsCygnaComSolutions'SecurityEvaluationLaboratoryInfoGardLaboratories,IncSAICCommonCriteriaTestingLaboratory美國認(rèn)證體系公開出版物目錄

1 體制出版物#1組織、管理和運(yùn)作概念2體制出版物#2認(rèn)證機(jī)構(gòu)標(biāo)準(zhǔn)運(yùn)作程序3體制出版物#3IT平安評估的認(rèn)證員指南4體制出版物#4通用準(zhǔn)那么測試實(shí)驗(yàn)室指南5 體制出版物#5IT平安評估發(fā)起者指南6 體制出版物#5〔未發(fā)布〕證書維持標(biāo)準(zhǔn)英國通信電子平安局〔CESG〕負(fù)責(zé)管理和運(yùn)行英國的信息平安測評認(rèn)證體系英國信息平安測評認(rèn)證開展歷程1〕1991年開始依據(jù)ITSEC評估與認(rèn)證，2〕從1999年ISO15408正式發(fā)布起，也同時(shí)開始依據(jù)CC的評估與認(rèn)證。已進(jìn)行了10多年的測評認(rèn)證，比較成熟。

英國的測評認(rèn)證體系英國的信息平安測評認(rèn)證體系是1991年由掌管英國電子情報(bào)的皇家通信電子平安局〔CESG〕與主管產(chǎn)業(yè)標(biāo)準(zhǔn)化工作的貿(mào)易與工業(yè)部〔DTI〕共同建立的，其體系結(jié)構(gòu)與美國根本相同通信電子安全局貿(mào)易與產(chǎn)業(yè)部國家測評認(rèn)證機(jī)構(gòu)授權(quán)測評機(jī)構(gòu)申請者國家認(rèn)可程序測評認(rèn)證管理委員會委托者認(rèn)證報(bào)告證書UKASCLEF開發(fā)者認(rèn)證機(jī)構(gòu)發(fā)起者評估體系管委會實(shí)驗(yàn)室認(rèn)可認(rèn)證評估工作程序觀測報(bào)告評估技術(shù)報(bào)告批準(zhǔn)和使用信息系統(tǒng)制訂策略和技術(shù)監(jiān)督觀測報(bào)告評估對象授權(quán)CLEF安全目標(biāo)評估對象安全目標(biāo)可交付性可交付性觀測報(bào)告英國信息平安認(rèn)證程序英國信息平安測評認(rèn)證方法兩種測評標(biāo)準(zhǔn)及方法并存：ITSEC和ITSEMCC和CEM

英國信息平安測評認(rèn)證證書目前頒發(fā)兩種證書：ITSEC證書、通用準(zhǔn)那么證書英國信息平安測評機(jī)構(gòu)目前批準(zhǔn)的商業(yè)性評估機(jī)構(gòu)共有5家，分別是：1)

AdmiralManagementServices公司2)

EDSLtd3)

LogicaUKLtd4)

Syntegra5)

IBMGlobalServices英國認(rèn)證體系公開出版物目錄1.UKSP01 英國ITSEC平安評估體制描述2.UKSP02 商業(yè)評估機(jī)構(gòu)認(rèn)可3.UKSP04/1 開發(fā)者指南第1局部：ITSEC中的開發(fā)者任務(wù)4.UKSP04/2 開發(fā)者指南第2局部：開發(fā)者參考資料5.UKSP04/3 開發(fā)者指南第3局部：向開發(fā)者提供的建議6.UKSP12 在系統(tǒng)評估過程中認(rèn)可文檔與評估平安目標(biāo)之間的關(guān)系7.UKSP16/1 英國證書維持體制第1局部：認(rèn)證維持的描述8.UKSP16/2 英國證書維持體制第2局部：影響分析及評估方法澳大利亞國防情報(bào)總局〔DSD〕負(fù)責(zé)管理和運(yùn)行澳大利亞的信息平安測評認(rèn)證體系澳大利亞信息平安測評認(rèn)證

開展歷程1〕從1994年9月到1997年8月試運(yùn)行依據(jù)ITSEC評估與認(rèn)證，2〕從1998年6月至今，向基于CC的評估和認(rèn)證過渡測評認(rèn)證的時(shí)間不太長，正在逐步成熟澳大利亞信息平安測評認(rèn)證方法早期為TCSEC目前為CC和CEM

澳大利亞信息平安測評認(rèn)證證書目前只頒發(fā)通用準(zhǔn)那么〔CC〕證書澳大利亞信息平安測評機(jī)構(gòu)澳大利亞目前有3個(gè)完全授權(quán)的測評機(jī)構(gòu)

CSCLogicaCMG

Tenix

Defence

加拿大通信平安機(jī)構(gòu)〔CSE〕負(fù)責(zé)管理和運(yùn)行加拿大的信息平安測評認(rèn)證體系加拿大信息平安測評認(rèn)證開展歷程1989年開始依據(jù)TCSEC評估，分為三個(gè)階段：1989年1993年，依賴別國標(biāo)準(zhǔn)〔即TCSEC〕階段；1993年1998年，依據(jù)本國標(biāo)準(zhǔn)〔即CTCPEC〕階段；從1998年至今，依據(jù)CC評估階段已進(jìn)行了10多年的測評認(rèn)證，比較成熟。加拿大信息平安測評認(rèn)證方法早期為TCSEC和TCSEM中期為CTCPEC目前為CC和CEM

加拿大信息平安測評認(rèn)證證書目前只頒發(fā)通用準(zhǔn)那么證書加拿大信息平安測評機(jī)構(gòu)目前批準(zhǔn)了3家商業(yè)性測評機(jī)構(gòu)

CGIInformationSystemsandManagementConsultantsIncDOMUSITSecurityLaboratoryEWA-Canada德國信息平安局〔GISA〕負(fù)責(zé)管理和運(yùn)行德國的信息平安測評認(rèn)證體系德國信息平安測評認(rèn)證開展歷程1〕1991年開始依據(jù)ITSEC評估與認(rèn)證，2〕從1999年ISO15408正式發(fā)布起，也同時(shí)開始依據(jù)CC的評估與認(rèn)證。已進(jìn)行了10多年的測評認(rèn)證，比較成熟。德國信息平安局的組織結(jié)構(gòu)局長副局長1處綜合管理2處認(rèn)證認(rèn)可3處密碼平安5處系統(tǒng)平安6處咨詢支持6個(gè)科5個(gè)科6個(gè)科4個(gè)科7個(gè)科5個(gè)科共340人德國信息平安測評認(rèn)證方法兩種測評標(biāo)準(zhǔn)及方法并存：ITSEC和ITSEMCC和CEM

德國信息平安測評認(rèn)證證書目前頒發(fā)兩種證書：ITSEC證書、通用準(zhǔn)那么證書德國信息平安測評機(jī)構(gòu)德國BSI目前已認(rèn)可了10家商業(yè)性公司作為其評估機(jī)構(gòu)，這10家評估機(jī)構(gòu)是：AtsecinformationsecurityGmbH

Prüfstelle

fürIT-Sicherheit

CompetenceCenterInformatikGmbHPrüfstelleIT-Sicherheit

CSCPloenzkeAGDeutsches

Forschungszentrum

für

künstliche

IntelligenzGmbH

PrüfstelleIT-Sicherheit

Industrieanlagen-Betriebsgesellschaft

mbH

SRCSecurityResearch&ConsultingGmbHPrüfstelle

fürIT-Sicherheit

Tele-ConsultingGmbH

Prüflabor

fürIT-Sicherheit

T-SystemsGEIGmbH

PrüfstelleIT-Sicherheit

TüVInformationstechnikGmbH

-ein

Unternehmen

derRWTüV-

Gruppe-Prüfstelle

fürIT-Sicherheit

TüVNord

e.V.

Software&ElektronikLabor

(SEELAB)法國FrenchITEvaluationandCertificationScheme信息系統(tǒng)平安局〔SCSSI〕負(fù)責(zé)管理和運(yùn)行法國的信息平安測評認(rèn)證體系法國信息平安測評認(rèn)證開展歷程1〕1995年開始依據(jù)ITSEC評估與認(rèn)證，2〕從1999年ISO15408正式發(fā)布起，也同時(shí)開始依據(jù)CC的評估與認(rèn)證。管理委員會國家認(rèn)證機(jī)構(gòu)授權(quán)測評機(jī)構(gòu)開發(fā)者發(fā)起者法國的信息平安測評認(rèn)證體系建于1995年9月，認(rèn)證工作由法國情報(bào)部門管理，其體系結(jié)構(gòu)如下：法國的信息平安測評認(rèn)證體系法國信息平安測評認(rèn)證方法兩種測評標(biāo)準(zhǔn)及方法并存：ITSEC和ITSEMCC和CEM

法國信息平安測評認(rèn)證證書目前頒發(fā)兩種證書：ITSEC證書、通用準(zhǔn)那么證書法國信息平安測評機(jī)構(gòu)韓國IT平安評估與認(rèn)證KISA的組織結(jié)構(gòu)圖董事會主席監(jiān)督委員會信息安全計(jì)劃部信息安全技術(shù)部信息安全評估與CA部信息基礎(chǔ)設(shè)施保護(hù)部綜合管理部個(gè)人信息協(xié)調(diào)秘書部計(jì)劃與協(xié)調(diào)組安全政策研究組教育與公共聯(lián)絡(luò)組安全技術(shù)標(biāo)準(zhǔn)化組密碼技術(shù)組先進(jìn)系統(tǒng)與網(wǎng)絡(luò)安全組IT安全評估準(zhǔn)則組IT安全評估組IIT安全評估組II韓國中央CA反黑客與病毒咨詢組信息基礎(chǔ)設(shè)施保護(hù)組技術(shù)援助組信息安全產(chǎn)業(yè)支持中心綜合事務(wù)組財(cái)務(wù)組資產(chǎn)管理組個(gè)人信息保護(hù)中心爭議調(diào)解組個(gè)人信息協(xié)調(diào)委員會韓國評估與認(rèn)證流程信息與通信部開發(fā)者發(fā)起者國家情報(bào)暑KISA/評估者用戶IT產(chǎn)品/評估證據(jù)支持對評估證據(jù)開發(fā)/補(bǔ)充頒發(fā)認(rèn)證結(jié)果與證書準(zhǔn)那么一致性推薦認(rèn)證體制運(yùn)作推薦通過認(rèn)證的產(chǎn)品提供通過認(rèn)證的產(chǎn)品清單對評估結(jié)果認(rèn)證評估報(bào)告國際測評認(rèn)證開展成就〔1〕認(rèn)證的PP數(shù)統(tǒng)計(jì)國際測評認(rèn)證開展成就〔2〕CC認(rèn)證的產(chǎn)品數(shù)統(tǒng)計(jì)國際測評認(rèn)證開展成就〔3〕

認(rèn)證的產(chǎn)品類型統(tǒng)計(jì)國際測評認(rèn)證開展成就〔4〕

認(rèn)證的產(chǎn)品EAL級別統(tǒng)計(jì)國際測評認(rèn)證開展成就〔5〕

認(rèn)證證書數(shù)統(tǒng)計(jì)五、我國測評認(rèn)證

開展情況2004年7月3日我國信息平安管理體系國家高度重視認(rèn)證認(rèn)可工作國家高度重視認(rèn)證認(rèn)可工作國家高度重視信息平安測評認(rèn)證工作錦濤同志在在2000年3月29日的信息網(wǎng)絡(luò)平安協(xié)調(diào)會議上強(qiáng)調(diào)“要建設(shè)好信息平安測評認(rèn)證中心〞邦國同志曾在報(bào)告上批示：信息平安認(rèn)證中心的工作很重要，是確保國家信息平安，促進(jìn)互聯(lián)網(wǎng)健康開展的重大舉措，又是當(dāng)前急需解決的緊迫問題測評認(rèn)證中心的建設(shè)過程(1)測評認(rèn)證中心的建設(shè)過程(2)測評認(rèn)證中心的建設(shè)過程(3)國家信息平安測評認(rèn)證體系組成結(jié)構(gòu)中國信息平安產(chǎn)品測評認(rèn)證中心授權(quán)測試實(shí)驗(yàn)室國家實(shí)驗(yàn)室認(rèn)可程序ISO65、25認(rèn)證申請者授權(quán)質(zhì)管測試報(bào)告申報(bào)測試報(bào)告評估報(bào)告認(rèn)證證書監(jiān)管機(jī)構(gòu)(CNCA)國家認(rèn)證實(shí)體授權(quán)測評機(jī)構(gòu)認(rèn)證中心的性質(zhì)中國信息平安產(chǎn)品測評認(rèn)證中心是經(jīng)中央批準(zhǔn)成立的、代表國家實(shí)施信息平安測評認(rèn)證的職能機(jī)構(gòu)，依據(jù)國家有關(guān)產(chǎn)品質(zhì)量認(rèn)證和信息平安管理的法律法規(guī)，管理和運(yùn)行國家信息平安測評認(rèn)證體系認(rèn)證中心的主要職能任務(wù)中心標(biāo)志中國信息安全產(chǎn)品測評認(rèn)證中心CHINAINFORMATIONTECHNOLOGYSECURITYCERTIFICATIONCENTERCNITSEC中華人民共和國國家信息安全認(rèn)證認(rèn)證標(biāo)志CNITSEC測評認(rèn)證體系的