信息安全测评认证体系介绍.ppt

信息安全测评认证 中国信息安全测评中心 一 信息安全测评认证的背景 1 对信息安全问题的认识 2 信息安全事关国家的安全 互联网的迅速发展直接牵动了科技创新 信息产业的发展和知识经济的勃兴 信息网络已逐渐成为经济繁荣 社会稳定和国家发展的基础信息化深刻影响着全球经济的整合 国家战略的调整和安全观念的转变全球化和信息化的潮流 给我国带来了难得的发展机遇 同时也在国际斗争和国家安全方面提出了严峻的挑战 信息安全问题已从单纯的技术性问题变成事关国家安全的全球性问题 1 对信息安全问题的认识 国家高度重视信息安全测评认证工作 江总书记指出 面对经济 科技全球化趋势 在信息化进程中要趋利避害 锦涛同志在一份报告上批示 信息安全事关国家安全 必须予以高度重视 在去年3月29日的信息网络安全协调会议上强调 要建设好信息安全测评认证中心 岚清同志在中办的一份信息通报上批示 信息安全是危及国家安全的大事 必须予以高度重视 邦国同志批示 信息安全认证中心的工作很重要 是确保国家信息安全 促进互联网健康发展的重大举措 又是当前急需解决的紧迫问题 信息安全事关国家的安全 由信息安全问题所引起的国家面临的主要威胁有 信息霸权的威胁 经济安全的威胁 舆论安全的威胁 社会稳定的威胁 信息霸权的威胁 网络空间打破了传统的地缘政治格局 信息霸权日益成为国家安全的新威胁 网络空间的权利制衡包括制信息化权 制信息权 制创新权和网络能量的制衡权 以信息为武器 在数字化地球这个新的网际舞台上 各国将围绕信息化利益展开政治角逐 信息霸权已成为美国政治扩展的新武器 经济安全的威胁 信息化对日益全球化的经济带来隐患 国民经济运行与监管的安全 国家金融资本流动与运作的安全 证券市场的安全 经济金融网络的安全 经济信息的安全 舆论安全的威胁 信息化网络是传媒的革命 对文化和文明提出了新挑战 多样的文化将共存于同一个互联网上 文明的冲突直接表现为信息的冲突舆论操纵已成为互联网上的政治武器文化侵略已成为主权国家必须面临的持久战 社会稳定的威胁 信息化社会的安定依赖信息基础设施政府管理 航空运输 水 电控管 通信传播 指挥调度 财税经贸 日常生活都要依赖信息系统和信息化设施信息基础设施一旦遭到破坏 立即就会引发社会不安和动荡美国总统专门发布总统令 提出信息系统保护国家计划 保护信息基础设施 信息技术与产品成为信息安全的基础和焦点 信息技术已经成为应用面最广 渗透性最强的战略性技术 信息安全问题日益突出 信息安全产业应运而生信息安全产品和信息系统固有的敏感性和特殊性 直接影响着国家的安全利益和经济利益各国政府纷纷采取颁布标准 实行测评认证制度等方式 对信息安全产品的研制 生产 销售 使用和进出口实行严格 有效的控制 传统的信息安全测评办法 用户测试 厂商自测 商业性测试 政府内部的安全测试与检测 攻击性 分析 对抗性 检测 软件工程质量保障方法 传统测评方法的不足 缺乏标准的安全需求规范 缺乏通用的安全测评准则 缺乏客观的安全测评工具 缺乏专门的安全测评人员 缺乏公正的第三方测评机制 缺乏完善的测评认证体系 国家信息安全认证 统一的国家标准和行业补充技术要求 国际通用的安全测评方法 客观的安全测评工具 专业的安全测评人员 独立运作的公正第三方测评机制 国家授权的 权威的测评认证体系 二 信息安全测评认证的意义 二信息安全测评认证标准 通用准则CC国际标准ISO IEC15408GB18336采用统一 通用的结构和语言表述信息技术产品或系统的安全要求对信息技术安全要求的组件和要素进行标准化的分类信息系统评估通用准则 CCforInformation CC的发展 国际上安全测评标准的发展 1991年欧洲信息技术安全性评估准则ITSEC 1985年美国国防部可信计算机评价准则TCSEC 1993年加拿大可信计算机产品评价准则CTCPEC 1993年美国联邦政府评价准则FC 1995年国际通用准则CC 1999年CC成为国际标准ISO15408 国际上与信息安全有关的组织及标准 国际 ISO 国际标准化组织 SC27WG1 信息安全有关的需求 服务和指南WG2 信息安全技术和机制 WG3 信息安全评估标准 TC68 信息安全分技术委员会 美国 ANSI X9 NIST FIPS DoD DoDI 欧洲 ECMA 欧洲计算机制造商协会 TC36 IT安全 ECBS 银行 CEN 欧洲银行标准化组织 其它国际组织 IETF RFC internetdraft ETSI 电信 UMTS ITU T X400 行业 IEEE 1363 PGP PKCS GOST 国外信息安全测评认证体系 美国由国家安全局与国家标准局联合实施国家信息安全认证 英国 德国 法国 澳大利亚 加拿大 荷兰等国家也由国家安全部门或情报主管机构主管信息安全认证工作 先后建立起国家信息安全测评认证体系芬兰 瑞典 西班牙 挪威 意大利 比利时等欧洲国家和日本 韩国等亚洲国家纷纷仿效 积极开展信息安全测评认证工作国外的信息安全测评认证体系由 1 一个测评认证管理协调组织 2 一个测评认证实体 和3 多个技术检测机构组成 美国早期的安全测评标准TCSEC 1970年由美国国防科学委员会提出 1985年公布为国防部标准 后扩展至民用 分级分类主要依据四个准则 安全政策可控性保证能力文档 欧洲的安全测评标准 ITSEC 欧洲多国安全评价方法的产物 军用 政府用和商用以超越TCSEC为目的 将安全概念化分为功能和保证评估两个部分功能准则在测定上分F1 F10 1 5级对应TCSEC中的D到A级保障评估准则分6级 加拿大的评测准则CTCPEC 1993年公布 专为政府需求而设计与ITSEC类似 将安全分为功能需求和保证需求功能性需求分四大类 机密性 完整性 可用性 可控性在每种安全需求下又分了很多小类 表示安全性上的差别 分级条数0 5 美国联邦准则 FC 对TCSEC的升级 1992年12月公布引入了 保护轮廓PP 这一重要概每个轮廓均包括功能需求 保障需求和评测要求分级方式与TCSEC不同 吸取了ITSEC和CTCPEC中的优点供美国政府用 商用 民用 国际通用准则 CC 国际标准化组织统一现有多种准则的努力1993年开始 1996年出现V1 0 1998年出现V2 0 1999年5月 成为ISO15408主要思想和框架取自FC和ITSEC充分突出 保护轮廓 将评估过程分为 功能 和 保证 两部分是目前最全面的评价准则 CC的结构 简介和一般介绍 以及保护轮廓 PP 规范和安全目标 ST 规范第二部分 安全功能需求第三部分 安全保障需求 国际信息安全测评认证情况比较 信息安全测评认证发展历程测评标准及测评方法认证证书授权测评机构 信息安全服务认证的意义 掌握信息安全服务商的背景和现状掌握信息系统的建设情况掌握信息安全专业人才 特别是黑客 的情况掌握信息安全技术的最新动态掌握信息安全产业的情况可以全面掌握国内外的信息安全技术情况 这本身就是重要的情报 测评认证成为国际性话题 国际会议 从6国发起到15国互认各国政府在充分认识到全球化和信息化利弊的基础上对信息安全高度重视各国安全机关为适应信息化时代国际竞争的新形势直接主管或参与测评认证有条件的互认是各国参与国际化和维护自主权的务实选择 四 国内测评认证体系的基本情况 1 国家信息安全测评认证2 行业许可证制度3 部门推荐制度4 涉密网络系统集成资质评定5 商业性测评 我国测评认证中心的建设过程 1997年初 受国务院信息化工作领导小组委托筹建 中国互联网络安全产品测评认证中心 1998年7月 该中心挂牌运行 1998年10月 国家质量技术监督局授权成立 中国国家信息安全测评认证中心 1999年2月9日 该中心挂牌运行 2001年5月 中编办根据党中央 国务院有关领导的指示精神 正式批准成立 中国信息安全产品测评认证中心 性质为副局级事业单位 国家高度重视认证认可工作 国家高度重视信息安全测评认证工作 锦涛同志在在2000年3月29日的信息网络安全协调会议上强调 要建设好信息安全测评认证中心 邦国同志在一份报告上批示 信息安全认证中心的工作很重要 是确保国家信息安全 促进互联网健康发展的重大举措 又是当前急需解决的紧迫问题 测评认证中心的建设过程 1 1997年初 国务院信息化工作领导小组批准筹建 中国互联网络安全产品测评认证中心 1998年7月 该中心正式运行 测评认证中心的建设过程 2 1998年10月 国家质量技术监督局授权成立 中国国家信息安全测评认证中心 国家质量技术监督局组建跨部委的国家信息安全测评认证管理委员会 1999年2月9日 中国国家信息安全测评认证中心正式运行 测评认证中心的建设过程 3 2001年5月 中编办根据党中央 国务院有关领导的指示精神 正式行文 中编办 2001 51号 批准成立 中国信息安全产品测评认证中心 英文简称为CNITSEC 目前信息安全测评认证体系组成结构 国家信息安全测评认证管理委员会 中国信息安全产品测评认证中心 授权测试实验室 国家实验室认可程序ISO65 25 认证申请者 授权质管 测试报告 申报 测试报告评估报告认证证书 监管机构 国家认证实体 授权测评机构 认证中心的主要职责 1 对国内外信息安全设备和信息技术实施安全性检验 测试与认证 2 对国内信息系统和工程进行安全性评估与认证 3 对提供信息安全服务的单位 人员的资质进行评估与认证 4 承担国家信息安全技术标准的研究 制订和信息安全培训 5 与各国相应的测评认证机构进行国际交流与合作 中华人民共和国国家信息安全认证 认证标志 信息安全主管部门的授权 1998年9月 与有关部委联合开展对党政机关重点部门和要害部位信息系统和网络的技术安全测评认证 1999年6月 国家保密局授权认证中心负责对党政机关涉密通信系统 计算机系统和办公自动化系统的安全认证 2000年1月 国家密码委 中办机要局 授权认证中心负责全国商用密码产品的检测认证 信息安全要害部门的委托 2000年1月 中国人民银行发布信息技术总体纲要 规定金融系统的计算机设备和信息安全产品将逐步要求通过认证中心的测评认证 2000年3月30日 国家证监会发布 网上证券委托管理办法 要求网络证券系统和服务必须通过认证中心的认证 中国国家信息安全测评认证体系的特点 1 对评估活动进行技术监督2 确认评估结果 形成认证报告 发布证书3 加大认证维持的工作力度 评估目标 ETR 评估文档 批准评估技术报告 准备评估 开展评估 进行认证 评估技术报告 认证维持 认证报告 认证流程 主要步骤 认证要点 一个目标两种方法三个阶段四类活动 一个认证目标 保证授权测评机构实施的TOE 评估对象 评估的正确性和一致性 认证的主要任务 评价授权测评机构对TOE的评估符合认证机构规定的标准和程序的要求 评价授权测评机构对TOE的评估结果在技术上是合理的 授权测评机构一致地应用了CC和CEM 两种认证方法 质量过程核查 评估活动评价 三个认证阶段 准备阶段评估阶段 认证阶段 申请者 信息技术安全测试实验室 认证程序 认证维持 认证证书只对 TOE 的特定版本有效 认证维持旨在保证当TOE或其环境发生变化时 能够继续满足安全目标的要求 认证维持意义 意义 主要针对申请者 1 最大限度更新优化先前的评估结果 2 尽可能减少重复进行相关的安全评估和认证 3 以较小的代价 时间和费用 获得TOE新版本仍然满足其安全目标要求的保证 认证维持周期 从对TOE的最近一次评估完成到下一次再评估的完成即是一个认证维持周期 可以划分成下列的三个阶段 a 接受阶段 是周期的开始阶段 申请者在此阶段建立认证维持的计划和程序 即 认证维持计划 提交认证中心批准 b 监控阶段 在这一阶段 申请者在周期内提供必需的证据证明根据认证维持计划 TOE的安全保证得到了维持 认证中心对维持的证据进行核实 c 再评估阶段 结束周期 在这一阶段 基于从已认证版本以来影响TOE的重大变化 向认证中心提交一个更新的TOE版本 以进行认证维持再评估 5 商业性测评 国内部分企业开始推行依据BS7799 ISO17799 和SSE CMM的安全评估服务 五 理想的测评认证体系设计 部际协调 管理委员会 商业认证机构 认监委 认可机构 国家认证机构 测试 检查 评估 评定实验室 信息技术安全测试实验室 信息安全认证管理委员会 信息技术安全认证中心 认证机构 Lab认可机构 认可 授权 认证 信息安全测评认证体系模式 信息技术安全测试实验室 信息技术安全测试实验室 信息技术安全测试实验室 CB认可机构 信息安全测评认证发展趋势 逐渐推行通用准则CC的国际标准化和以商业性实验室为主的评估认证机制的建立 重新评估将在产品评估活动中占很大的比例 非操作系统产品的评估将占据评估的主流 对专业化安全产品的评估已成为重点 厂商希望评估实验室提供价格较低的服务 七 认证业务的范围 信息技术产品的认证 TOE 信息系统的认证信息安全服务提供商资质的认证信息安全专业人员资质的认证 信息技术产品的认证 依据标准对产品进行测试依据质量保证标准对申请认证厂商的质量体系和安全保证能力进行审核 信息技术产品认证流程 背景 国内安全服务提供商水平良莠不齐行业用户单位的需求我国加入WTO带来的新的形式 认证依据 信息系统安全服务资质评估准则 信息系统安全工程质量管理要求 国家质量技术监督局试行发布 计算机信息系统安全保护等级划分准则 ISO IEC17799CC ISO IEC15408 SSE CMMSSAM 认证参考 级别划分 1 基本执行级 2 计划跟踪级 3 充分定义级 4 量化控制级 5 连续改进级 级别递增 1 基本执行级 定义 组织未经严格的计划和跟踪以某种方式执行一些基本过程 2 计划跟踪级 定义 计划并跟踪执行本组织已定义的过程 制定过程执行计划规范化执行验证执行跟踪执行 3 充分定义级 定义 执行充分定义的过程 依据对已批准发布的 文档化的标准过程进行适当裁减 来充分定义组织的过程 定义标准过程执行已定义过程协调项目和组织活动 4 量化控制级 定义 收集和分析执行的详细测量 获得对过程能力和改进能力的量化理解以预测执行情况 建立可测量的质量目标客观地管理执行 5 连续改进级 定义 针对过程有效性和效率建立量化执行目标 通过执行已定义的过程和有创见的新概念 新技术的量化反馈来保证对这些目标进行连续的过程改进 改进组织能力改进过程有效性 申请委托人 限期整改 申请书 不予认证 形式化审查 受理决定 静态评估 现场审核 专家组评审 发证备案 公告 证后监督 抽样检查 评审决定 认证决定 认证流程 获证后监管措施 监督管理复查换证 三年 争议 投诉与申诉处置 谢谢