信息安全測評認(rèn)證體系介紹

信息平安測評認(rèn)證

中國信息平安測評中心一、信息平安測評認(rèn)證的背景1、對信息平安問題的認(rèn)識；2、信息平安事關(guān)國家的平安；〔1〕對信息平安問題的認(rèn)識國家高度重視信息平安測評認(rèn)證工作信息平安事關(guān)國家的平安由信息平安問題所引起的國家面臨的主要威脅有：信息霸權(quán)的威脅；經(jīng)濟(jì)平安的威脅；輿論平安的威脅；社會穩(wěn)定的威脅；信息霸權(quán)的威脅經(jīng)濟(jì)平安的威脅輿論平安的威脅信息化網(wǎng)絡(luò)是傳媒的革命，對文化和文明提出了新挑戰(zhàn)：多樣的文化將共存于同一個互聯(lián)網(wǎng)上；文明的沖突直接表現(xiàn)為信息的沖突輿論操縱已成為互聯(lián)網(wǎng)上的政治武器文化侵略已成為主權(quán)國家必須面臨的持久戰(zhàn)社會穩(wěn)定的威脅信息化社會的安定依賴信息根底設(shè)施政府管理、航空運輸、水、電控管、通信傳播、指揮調(diào)度、財稅經(jīng)貿(mào)、日常生活都要依賴信息系統(tǒng)和信息化設(shè)施信息根底設(shè)施一旦遭到破壞，立即就會引發(fā)社會不安和動亂美國總統(tǒng)專門發(fā)布總統(tǒng)令，提出信息系統(tǒng)保護(hù)國家方案，保護(hù)信息根底設(shè)施傳統(tǒng)的信息平安測評方法用戶測試；廠商自測；商業(yè)性測試；政府內(nèi)部的平安測試與檢測；攻擊性〔分析、對抗性〕檢測；軟件工程質(zhì)量保障方法；傳統(tǒng)測評方法的缺乏缺乏標(biāo)準(zhǔn)的平安需求標(biāo)準(zhǔn)；缺乏通用的平安測評準(zhǔn)那么；缺乏客觀的平安測評工具；缺乏專門的平安測評人員；缺乏公正的第三方測評機制；缺乏完善的測評認(rèn)證體系；國家信息平安認(rèn)證二、信息平安測評認(rèn)證的意義二信息平安測評認(rèn)證標(biāo)準(zhǔn)CC的開展國家時間標(biāo)準(zhǔn)名稱功能級別保證級別美國1980TCSECD,C1,C2,B1,B2,B3,A1德國1985綠皮書F1-F10Q1-Q8英國1989L1-L66歐共體1991ITSECF1-F10E0-E7加拿大1993CTCPEC美國1993FCISO1999CCEAL1-EAL7國際上平安測評標(biāo)準(zhǔn)的開展1985年美國國防部可信計算機評價準(zhǔn)那么TCSEC1993年加拿大可信計算機產(chǎn)品評價準(zhǔn)那么CTCPEC1993年美國聯(lián)邦政府評價準(zhǔn)那么FC1995年國際通用準(zhǔn)那么CC1999年CC成為國際標(biāo)準(zhǔn)ISO15408國際上與信息平安有關(guān)的組織及標(biāo)準(zhǔn)國外信息平安測評認(rèn)證體系美國早期的平安測評標(biāo)準(zhǔn)TCSEC歐洲的平安測評標(biāo)準(zhǔn)-ITSEC歐洲多國平安評價方法的產(chǎn)物，軍用、政府用和商用以超越TCSEC為目的，將平安概念化分為功能和保證評估兩個局部功能準(zhǔn)那么在測定上分F1-F10,1-5級對應(yīng)TCSEC中的D到A級保障評估準(zhǔn)那么分6級加拿大的評測準(zhǔn)那么CTCPEC美國聯(lián)邦準(zhǔn)那么〔FC〕對TCSEC的升級，1992年12月公布引入了“保護(hù)輪廓PP〞這一重要概每個輪廓均包括功能需求，保障需求和評測要求分級方式與TCSEC不同，吸取了ITSEC和CTCPEC中的優(yōu)點供美國政府用、商用、民用國際通用準(zhǔn)那么〔CC〕國際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)那么的努力1993年開始，1996年出現(xiàn)V1.0，1998年出現(xiàn)V2.0，1999年5月，成為ISO15408主要思想和框架取自FC和ITSEC充分突出“保護(hù)輪廓〞，將評估過程分為“功能〞和“保證〞兩局部是目前最全面的評價準(zhǔn)那么CC的結(jié)構(gòu)簡介和一般介紹，以及保護(hù)輪廓〔PP〕標(biāo)準(zhǔn)和平安目標(biāo)(ST)標(biāo)準(zhǔn)第二局部：平安功能需求第三局部：平安保障需求國際信息平安測評認(rèn)證情況比較信息平安測評認(rèn)證開展歷程測評標(biāo)準(zhǔn)及測評方法認(rèn)證證書授權(quán)測評機構(gòu)信息平安效勞認(rèn)證的意義測評認(rèn)證成為國際性話題國際會議：從6國發(fā)起到15國互認(rèn)各國政府在充分認(rèn)識到全球化和信息化利弊的根底上對信息平安高度重視各國平安機關(guān)為適應(yīng)信息化時代國際競爭的新形勢直接主管或參與測評認(rèn)證有條件的互認(rèn)是各國參與國際化和維護(hù)自主權(quán)的務(wù)實選擇1、國家信息平安測評認(rèn)證2、行業(yè)許可證制度3、部門推薦制度4、涉密網(wǎng)絡(luò)系統(tǒng)集成資質(zhì)評定5、商業(yè)性測評我國測評認(rèn)證中心的建設(shè)過程國家高度重視認(rèn)證認(rèn)可工作國家高度重視信息平安測評認(rèn)證工作錦濤同志在在2000年3月29日的信息網(wǎng)絡(luò)平安協(xié)調(diào)會議上強調(diào)“要建設(shè)好信息平安測評認(rèn)證中心〞邦國同志在一份報告上批示：信息平安認(rèn)證中心的工作很重要，是確保國家信息平安，促進(jìn)互聯(lián)網(wǎng)健康開展的重大舉措，又是當(dāng)前急需解決的緊迫問題測評認(rèn)證中心的建設(shè)過程(1)測評認(rèn)證中心的建設(shè)過程(2)測評認(rèn)證中心的建設(shè)過程(3)目前信息平安測評認(rèn)證體系組成結(jié)構(gòu)中國信息平安產(chǎn)品測評認(rèn)證中心授權(quán)測試實驗室國家實驗室認(rèn)可程序ISO65、25認(rèn)證申請者授權(quán)質(zhì)管測試報告申報測試報告評估報告認(rèn)證證書監(jiān)管機構(gòu)國家認(rèn)證實體授權(quán)測評機構(gòu)認(rèn)證中心的主要職責(zé)中華人民共和國國家信息安全認(rèn)證認(rèn)證標(biāo)志CNITSEC信息平安主管部門的授權(quán)信息平安要害部門的委托中國國家信息平安測評認(rèn)證體系的特點評估目標(biāo)ETR評估文檔準(zhǔn)備評估開展評估進(jìn)行認(rèn)證認(rèn)證維持認(rèn)證報告證書認(rèn)證流程:主要步驟認(rèn)證要點一個目標(biāo)兩種方法三個階段四類活動

一個認(rèn)證目標(biāo)保證授權(quán)測評機構(gòu)實施的TOE〔評估對象〕評估的正確性和一致性認(rèn)證的主要任務(wù)評價授權(quán)測評機構(gòu)對TOE的評估符合認(rèn)證機構(gòu)規(guī)定的標(biāo)準(zhǔn)和程序的要求兩種認(rèn)證方法“質(zhì)量過程核查〞

“評估活動評價〞三個認(rèn)證階段準(zhǔn)備階段評估階段認(rèn)證階段申請者產(chǎn)品/系統(tǒng)監(jiān)督評估報告認(rèn)證申請認(rèn)證機構(gòu)認(rèn)證報告證書認(rèn)證程序認(rèn)證維持認(rèn)證證書只對“TOE〞的特定版本有效。認(rèn)證維持旨在保證當(dāng)TOE或其環(huán)境發(fā)生變化時，能夠繼續(xù)滿足平安目標(biāo)的要求。認(rèn)證維持意義意義〔主要針對申請者〕：〔1〕最大限度更新優(yōu)化先前的評估結(jié)果〔2〕盡可能減少重復(fù)進(jìn)行相關(guān)的平安評估和認(rèn)證〔3〕以較小的代價〔時間和費用〕獲得TOE新版本仍然滿足其平安目標(biāo)要求的保證認(rèn)證維持周期從對TOE的最近一次評估完成到下一次再評估的完成即是一個認(rèn)證維持周期，可以劃分成以下的三個階段：a)接受階段，是周期的開始階段，申請者在此階段建立認(rèn)證維持的方案和程序〔即：認(rèn)證維持方案〕，提交認(rèn)證中心批準(zhǔn)；

b)監(jiān)控階段，在這一階段，申請者在周期內(nèi)提供必需的證據(jù)證明根據(jù)認(rèn)證維持方案，TOE的平安保證得到了維持。認(rèn)證中心對維持的證據(jù)進(jìn)行核實。

c)再評估階段，結(jié)束周期，在這一階段，基于從已認(rèn)證版本以來影響TOE的重大變化，向認(rèn)證中心提交一個更新的TOE版本，以進(jìn)行認(rèn)證維持再評估。5、商業(yè)性測評國內(nèi)局部企業(yè)開始推行依據(jù)BS7799〔ISO17799〕和SSE-CMM的平安評估效勞五、理想的測評認(rèn)證體系設(shè)計商業(yè)認(rèn)證機構(gòu)認(rèn)監(jiān)委認(rèn)可機構(gòu)國家認(rèn)證機構(gòu)測試、檢查、評估、評定實驗室

認(rèn)證機構(gòu)Lab認(rèn)可機構(gòu)證書認(rèn)可授權(quán)認(rèn)證信息平安測評認(rèn)證體系模式CB認(rèn)可機構(gòu)信息平安測評認(rèn)證開展趨勢逐漸推行通用準(zhǔn)那么CC的國際標(biāo)準(zhǔn)化和以商業(yè)性實驗室為主的評估認(rèn)證機制的建立。重新評估將在產(chǎn)品評估活動中占很大的比例。非操作系統(tǒng)產(chǎn)品的評估將占據(jù)評估的主流，對專業(yè)化平安產(chǎn)品的評估已成為重點。廠商希望評估實驗室提供價格較低的效勞。七、認(rèn)證業(yè)務(wù)的范圍依據(jù)標(biāo)準(zhǔn)對產(chǎn)品進(jìn)行測試依據(jù)質(zhì)量保證標(biāo)準(zhǔn)對申請認(rèn)證廠商的質(zhì)量體系和平安保證能力進(jìn)行審核。

背景國內(nèi)平安效勞提供商水平良莠不齊行業(yè)用戶單位的需求我國參加WTO帶來的新的形式……………認(rèn)證依據(jù)?信息系統(tǒng)平安效勞資質(zhì)評估準(zhǔn)那么??信息系統(tǒng)平安工程質(zhì)量管理要求??計算機信息系統(tǒng)平安保護(hù)等級劃分準(zhǔn)那么?ISO/IEC17799CC(ISO/IEC15408)SSE-CMMSSAM……………認(rèn)證參考級別劃分1、根本執(zhí)行級2、方案跟蹤級3、充分定義級4、量化控制級5、連續(xù)改進(jìn)級級別遞增1、根本執(zhí)行級定義：組織未經(jīng)嚴(yán)格的方案和跟蹤以某種方式執(zhí)行一些根本過程。2、方案跟蹤級定義：方案并跟蹤執(zhí)行本組織已定義的過程。制定過程執(zhí)行方案標(biāo)準(zhǔn)化執(zhí)行驗證執(zhí)行跟蹤執(zhí)行3、充分定義級定義：執(zhí)行充分定義的過程，依據(jù)對已批準(zhǔn)發(fā)布的、文檔化的標(biāo)準(zhǔn)過程進(jìn)行適當(dāng)裁減，來充分定義組織的過程。定義標(biāo)準(zhǔn)過程執(zhí)行已定義過程協(xié)調(diào)工程和組織活動4、量化控制級定義：收集和分析執(zhí)行的詳細(xì)測量，獲得對過程能力和