1、信息安全理论信息系统安全测评认证概述,中国信息安全产品测评认证中心(CNITSEC)CISP-1-信息系统安全测评认证概述(培训样稿),目录,信息安全测评认证基础我国信息安全测评认证基本情况信息安全标准通用准则CC(GB/T 18336 idt ISO/IEC 15408)信息系统安全保障通用评估准则中国信息安全产品测评认证中心业务介绍,一. 信息安全测评认证基础,1.1 测评认证基本概念,什么是测评认证测试、评估、认证是三个不同的概念测试检验:按照规定的程序,为确定给定的产品、材料、设备、生物组织、物理现象、工艺或服务的一种或多种特性的技术操作评估:对测试检验产生的数据进行分析、形成结论的技
2、术活动认证是指第三方依据程序对产品、过程或服务符合规定的要求给予书面保证(证书),用于评价产品质量和企业质量管理水平认证的依据是标准和测试检验评估的结果,传统的安全测评方法,用户测试厂商自测商业性测试政府内部的安全测试与检测攻击性(分析、对抗性)检测软件工程质量保障方法,传统测评方法的不足,缺乏标准的安全需求规范缺乏通用的安全测评准则缺乏客观的安全测评工具缺乏专业的安全测评人员缺乏公正的第三方测评机制缺乏完善的测评认证体系,国家信息安全认证,统一的国家标准和行业补充技术要求国际通用的安全测评方法客观的安全测评工具专业的安全测评人员独立运作的公正第三方测评机制国家授权的、权威的测评认证体系,信息
3、安全测评认证,发展是第一位的,是硬道理。 安全是保驾护航。没有安全,就没有健康的发展。 作为国家信息基础设施,没有安全,就是“豆腐渣”工程。,认证的分类,按认证对象的不同可分为产品质量认证和质量体系认证产品质量认证是依据产品标准和相应技术要求,经认证机构确认并通过颁发认证证书和认证标志来证明某一产品符合相应标准和相应技术要求的活动质量体系认证是以质量体系标准为依据,参照审核要点进行现场审核,以评价受审核单位的质量体系是否符合质量保证模式标准的活动,测评认证在信息安全中的作用,对信息技术的依赖越来越强,信息技术自主性越来越弱是全球性的趋势测评认证是做到心中有数和市场准入控制的重要手段,是我国加入
4、WTO的需要测评认证是信息安全保障的重要环节信息技术的复杂性与质量问题信息技术的两用性与安全问题世界各国都将测评认证体系作为国家信息化的重要基础设施,由信息安全主管部门和质量监督部门共同负责管理,1.2 国外信息安全测评认证体系,美国由NSA与国家标准局联合实施国家信息安全认证,英、德、法、澳、加、荷等国家也由国家信息安全主管部门联合国家标准主管部门共同管理信息安全认证工作。先后建立起国家信息安全测评认证体系芬兰、瑞典、西班牙、挪威、意大利、比利时等欧洲国家和日本、韩国等亚洲国家纷纷仿效,积极开展信息安全测评认证工作国外的信息安全测评认证体系由:1)一个测评认证管理协调组织、2)一个测评认证实
5、体、和3)多个技术检测机构组成,信息技术安全测试实验室,信息安全认证管理委员会,信息技术安全认证中心,认证机构,Lab认可机构,认可,授权,认证,信息安全测评认证体系模式,信息技术安全测试实验室,信息技术安全测试实验室,信息技术安全测试实验室,CB认可机构,美国(NIAP),负责管理和运行美国的信息安全测评认证体系,德国(GISA),负责管理和运行德国的信息安全测评认证体系,法国(SCSSI),French IT Evaluation and CertificationScheme,负责管理和运行法国的信息安全测评认证体系,澳大利亚(AISEP),Australasian Informatio
6、n Security Evaluation Programme,负责管理和运行澳大利亚的信息安全测评认证体系,测评认证成为国际性话题,国际会议:从6国发起到14国互认各国政府在充分认识到全球化和信息化利弊的基础上对信息安全予以高度重视各国为适应信息化时代国际竞争的新形势纷纷成立专门的测评认证机构有条件的互认是各国参与国际化和维护自主权的务实选择,2、我国信息安全测评认证体系的基本情况,建设国家测评认证机构是发展的需要,产业发展的需要:信息安全产品的开发、使用和管理需要统一的规范技术监督的需要:安全性、可靠性、可用性需要依据标准的检测与认证国际接轨的需要:测试、评估与认证的框架必须符合国际惯例和
7、通用标准国际竞争的需要:加入WTO 的客观要求(例外)国家管理的需要:安全检查、许可证管理、行业管理需要技术支持国家安全的需要:信息化时代的国家主权和安全,测评认证中心的建设过程,1997年初,国务院信息化工作领导小组委托筹建“中国互联网络安全产品测评认证中心”1998年7月, 该中心挂牌运行1998年10月,国家质量技术监督局授权成立“中国国家信息安全测评认证中心”1999年2月9日,该中心挂牌运行 2001年5月,中编办根据党中央、国务院有关领导的指示精神,正式批准成立“中国信息安全产品测评认证中心” ,英文简称为CNITSEC,为独立的副局级事业单位,国家信息安全测评认证体系组织结构,国
8、家信息安全测评认证管理委员会,中国信息安全产品测评认证中心及其分支机构,授权测试实验室,国家实验室认可程序ISO65、25,认证申请者,授权质管,测试报告,申报,测试报告评估报告认证证书,监管机构,国家认证实体,授权测评机构,认证中心的性质,中国信息安全产品测评认证中心是经中央批准成立的、代表国家实施信息安全测评认证的职能机构,依据国家有关产品质量认证和信息安全管理的法律法规,管理和运行国家信息安全测评认证体系,认证中心的主要职能任务,1、 对国内外信息安全设备和信息技术实施安全性检验、测试与认证2、对国内信息系统和工程进行安全性评估与认证3、对提供信息安全服务的单位、人员的资质进行评估与认证
9、4、承担国家信息安全技术标准的研究、制订和信息安全培训5、与各国相应的测评认证机构进行国际交流与合作,中 心 标 志,中 华 人 民 共 和 国国 家 信 息 安 全 认 证,认 证 标 志,测评认证体系的发展,地区性授权测评机构1、上海测评中心:由上海市政府2000年列编设立2、东北测评中心:由吉林省政府2000年列编设立3、北京测评中心:由北京市政府2000年列编设立4、华中测评中心:由湖南省政府2001年列编设立5、西南测评中心:由四川省政府2001年列编设立行业性授权测评机构1、计算机测评中心:由信产部(15所)2000年列编设立2、广电测评中心:由广电部2000年列编设立3、银行、证
10、券、电信等行业,2001年起开始测评认证,二、信息安全测评认证标准,1 、通用准则CC(GB/T 18336 idt ISO/IEC 15408)2、信息系统安全保障通用评估准则3、其他标准,通用准则CC(GB/T 18336 idt ISO/IEC 15408),(1)通用准则CC概述和历史(2)通用准则CC内容介绍(3)保护轮廓PP介绍,(1)通用准则CC概述和历史,通用准则CC(Common Criteria)国际标准为ISO/IEC 15408 GB/T 18336采用统一、通用的结构和语言表示信息技术产品或系统的安全要求对信息技术安全要求的组件和要素进行标准化的分类,国际上安全测评标
11、准的发展,1990年欧洲信息技术安全性评价准则(ITSEC),1995年国际通用准则(CC),1985年美国国防部可信计算机评价准则(TCSEC),1990年加拿大可信计算机产品评价准则(CTCPEC),1991年美国联邦政府评价准则(FC),1999年CC成为国际标准(ISO15408),国际上与信息安全有关的组织及标准:国际:ISO(国际标准化组织)SC27 WG1:信息安全有关的需求、服务和指南;WG2:信息安全技术和机制;WG3:信息安全评估标准;TC68:信息安全分技术委员会美国:ANSI:X9,NIST(FIPS),DoD(DoDI)欧洲:ECMA(欧洲计算机制造商协会)TC36:
12、IT安全;ECBS(银行)和CEN(欧洲银行标准化组织)其他国际组织:IETF(RFC、Internet Draft);ETSI(电信) (A5-A8、UMTS);ITU-T (X400)行业:IEEE-1363,PGP,PKCS,GOST(俄罗斯),美国早期的安全测评标准(TCSEC),1970年由美国国防科学委员会提出,1985年公布为国防部标准,后扩展至民用安全级别从高到低分为A、B、C、D四级,级下再分小类分级分类主要依据四个准则:a 安全政策 b 可控性 c 保证能力 d 文档,欧洲多国安全评价方法的综合产物,军用、政府用和商用以超越TCSEC为目的,将安全概念分为功能与功能评估两部
13、分功能准则在测定上分F1-F10共10级。15级对应于TCSEC的D到A。610级加上了以下概念:F6:数据和程序的完整性 F7:系统可用性F8:数据通信完整性 F9:数据通信保密性F10 包括机密性和完整性的网络安全评估准则分为6级: E1:测试 E2:配置控制和可控的分配 E3:能访问详细设计和源码 E4:详细的脆弱性分析 E5:设计与源码明显对应 E6:设计与源码在形式上一致,欧洲的安全测评标准(ITSEC),ITSEC与TCSEC的对应关系,加拿大的评测标准(CTCPEC),1989年公布,专为政府需求而设计与ITSEC类似,将安全分为功能性需求和保证性需要两部分功能性要求分为四个大类
14、: a 机密性 b 完整性 c 可用性 d 可控性在每种安全需求下又分成很多小类,表示安全性上的差别,分级条数为05级,CTCPEC的功能性要求及分级,CTCPEC与TCSEC分级的对比,美国联邦准则(FC),对TCSEC的升级 1992年12月公布引入了“保护轮廓(PP)”这一重要概念每个轮廓都包括功能部分、开发保证部分和评测部分分级方式与TCSEC不同,吸取了ITSEC、CTCPEC中的优点供美国政府用、民用和商用,四种评测准则的比较,国际通用准则(CC),国际标准化组织统一现有多种准则的努力1993年开始,1996年出V 1.0, 1998年出V 2.0;1999年5月,成为ISO-15
15、408主要思想和框架取自ITSEC和FC充分突出“保护轮廓”,将评估过程分为“功能”和“保证”两部分是目前最全面的评价准则,CC的目标用户,消费者:利用评估结果比较不同产品和系统。以保护轮廓的形式表明特定安全要求开发者:为开发者准备产品或系统评估提供技术支持,通过评估特定安全功能和安全保证来证明产品或系统满足了特定的安全要求评估者:为评估者提供可重复性和客观性的评估依据,保证独立的安全评估具有可比性,CC的应用范围,CC的评估对象(TOE)为具有信息安全功能的产品和系统不包括属于行政性管理安全措施的评估准则不包括安全技术物理方面(诸如电磁辐射控制)的评估准则不包括密码算法固有质量评价准则,(2
16、)通用准则CC内容介绍,CC的文档结构第一部分:简介和一般介绍以及保护轮廓规范(PP)和安全目标(ST)规范第二部分:安全功能要求第三部分:安全保证要求,CC 第一部分,保护轮廓规范,基本原理,PP简介,评估对象描述,评估对象安全环境,安全目的,IT安全要求,PP应用注释,TOE安全环境描述,CC 第一部分,假定:如果环境满足该假定,TOE被认为是安全的,威胁:包括TOE及其环境需要保护的特定资产所面临的与TOE安全操作相关的威胁,组织安全策略:TOE必须遵守的任何组织安全策略和规则,安全目的,CC 第一部分,环境安全目的,TOE安全目的,定义:意在对抗确定的攻击,满足确定的组织安全策略和假定
17、的陈述,IT安全要求,CC 第一部分,TOE安全要求,IT环境安全要求,TOE安全功能要求,TOE安全保证要求,CC 第一部分,安全目标规范,基本原理,ST简介,评估对象描述,评估对象安全环境,安全目的,IT安全要求,评估对象概要规范,PP声明,评估对象开发模型,CC 第一部分,CC 第二部分,安全功能要求的表达形式,类(Class),族(Family),族(Family),组件,组件,CC 第二部分,安全功能要求的11个类,FAU类:安全审计,FCO类:通信,FCS类:密码支持,FDP类:保护用户数据,FIA类:标识和鉴别,FMT类:安全管理,FPR类:秘密,FPT类:TOE 安全功能 的保
18、护,FRU类:资源利用,FTA类:TOE访问,FTP类:可信路径/通道,CC 第二部分,FAU类:安全审计,族,CC 第二部分,FCO类:通信,FCS类:密码支持,族,族,安全功能要求组件标识,CC 第二部分,FDP_IFF.4.2,F-功能要求,DP-保护用户数据,IFF-信息流控制功能族,4 -第四个组件,安全功能要求应用,CC 第二部分, 用于构成PP中IT安全要求的TOE安 全功能要求, 用于构成ST中IT安全要求的TOE安 全功能要求,不同于CC的常见安全功能分类,ISO 7498-2分为鉴别、访问控制、机密性、完整性和抗抵赖等五种安全服务IATF中分为访问控制、机密性、完整性、抗抵
19、赖和可用性等五种安全服务,1.标识与鉴别,1.1登录控制 对用户标识 对用户鉴别 限制重复性登录失败次数 保证登录的可信路径(本地或远程) 限制在一天当中允许访问的时间,1.2口令字选取控制用户口令字选取(如最小长度,组合,历史)某些口令可由系统生成再分配给用户强制实施口令字生命期(有效期),1.3鉴别数据保护 输入口令字时不许回显 避免未授权的访问与修改 防止重播攻击 防止伪造或拷贝 防止重用(如,单次使用的口令) 提供口令字修改的可信路径,1.4会话连接挂起 在用户停止操作一段时间后挂起 根据用户要求挂起 在用户停止操作一段时间后终止1.5用户帐号与属性文件控制对用户帐号的生成、删除、激活
20、或停用定义用户属性文件中所包含的安全属性控制对用户属性文件的修改,2.访问控制,2.1自决性访问控制(DAC) 安全政策范围验证(主体、客体以及操作) 控制主体访问客体的规则验证 验证可超越DAC的特权2.2对DAC属性的控制 改变客体的许可权限/ACL 对新建客体的缺省保护 改变客体的属主 改变用户组的隶属关系,2.3强制性访问控制(MAC) 安全政策范围验证(主体、客体以及操作) 验证控制访问和信息流的规则 验证可超越MAC特权 隐蔽通道限制2.4对MAC属性的控制 改变客体标记 对新建客体的缺省标记 改变用户安全属性 在登录时选择会话连接,2.5导出/导入 导入未标记数据 通过通信通道/
21、设备导出,不泄露安全属性 为打印输出打上标记2.6信息标识 对信息标识值的限制 控制“浮动”标识的规则2.7对象重用 保护在文件、内存等之中的驻留信息,2.8基于角色的访问控制(RBAC) 政策范围(涉及角色、操作 ) 完成操作的规则控制 标识角色 强制2人规则2.9对RBAC属性的控制 改变用户特权/授权 改变角色能力定义 改变对用户角色的指派2.10防火墙访问控制 主体客体信息流查阅 基于会话连接的查阅,3.审计安全,3.1审计事件 对可审计事件和需记录信息的说明 对需审计事件选择的控制 选择需审计事件的基础 对单个身份审计3.2入侵检测和应对 生成报警并对即将发生的安全违规采取应对措施
22、定义用于指示潜在或即将发生的安全违规的那些规则、 事件、事件序列或系统使用模式,3.3审计记录保护避免数据丢失(如,审计记录饱和、操作中断)避免未授权的修改/访问3.4审计记录分析/查阅提供审计记录分析/查阅工具,4.完整性,4.1数据完整性 对存储数据错误的检测 生成并验证校验和、单向Hash、信息摘要等 事务回卷(如,数据库)4.2系统完整性 篡改检测 抗篡改4.3数据鉴别 数字签名与验证 证书生成与验证(如,公钥证书),5.可用性安全功能验证5.1资源消耗 对用户可消耗全局资源的定量/额进行强制限制 限制用一同户可登录的会话连接数目5.2出错处理 当万一出现故障时,维持系统的进行(容错)
23、 出错检测 出错恢复5.3调度 根据所建立的优先关系,对活动/进程调度,6.机密性安全功能,6.1基于用户身份的机密性在使用服务或资源时,避免用户身份泄露通过受保护的用户别名,以匿名但可审计的方式使用服务或资源6.2基于资源/服务的机密性避免泄露同一用户多次使用了资源和服务的关联系统保证对指定的资源或服务的使用是不可观察的,7.数据交换安全功能,7.1数据交换保密性用户数据关键性安全数据(如,密钥,口令字)7.2数据交换完整性用户数据关键性安全数据(如,密钥,口令字)7.3抗抵赖证明交换信息的发起者证明交换信息的接收者,威胁举例,CC 第一部分,T.REPLAY,当截获了有效用户的识别和鉴别数
24、据后,未授权用户可能在将来使用这些鉴别数据,以访问TOE提供的功能,CC 第一部分,安全目的举例,O.SECFUN,TOE必须提供一种功能使授权管理员能够使用TOE的安全功能,并且确保只有授权管理员才能访问该功能,CC 第一部分,O.SINUSE,FIA_ATD.1 用户属性定义,允许为每个用户单独保存其用户安全属性。FIA_UAU.1 鉴别时,允许用户在身份被鉴别前,实施一定的动作。FIA_UAU.4 单用户鉴别机制,需要操作单用户鉴别数据的鉴别机制。FMT_MSA.3 静态属性初始化,确保安全属性的默认值是允许的或限制某行为的。,TOE安全功能要求举例,CC 第一部分,FMT_MOF.1
25、安全功能行为的管理,允许授权用户管理TSF中使用规则或有可管理的指定条件的功能行为。FAU_STG.1 受保护的审计踪迹存贮,放在审计踪迹中的数据将受到保护,以避免未授权的删除和或修改。FAU_STG.4 防止审计数据丢失,规定当审计踪迹溢满时的行动。,O.SECFUN,TOE安全功能要求举例,CC 第三部分,安全保证要求结构,APE类 - 保护轮廓的评估准则,ASE类 - 安全目标的评估准则,用于TOE的七个安全保证要求类,CC 第三部分,用于TOE的七个安全保证要求类,AGD类: 指导性文件,ADV类:开发,ADO类:分发和操作,ACM类:配置管理,AVA类: 脆弱性评定,ATE类: 测试
26、,ALC类: 生命周期支持,CC 第三部分,ACM类:配置管理,ADO类:分发和操作,AGD类: 指导性文件,族,族,CC 第三部分,安全策略模型化(ADV_SPM),族,CC 第三部分,ADV类:开发,ALC类: 生命周期支持,工具和技术(ALC_TAT),生命周期定义(ALC_LCD ),缺陷纠正(ALC_FLR),开发安全(ALC_DVS),族,CC 第三部分,ATE类: 测试,独立性测试 (ATE_IND),功能测试 (ATE_FUN),深度 (ATE_DPT),范围 ( ATE_COV),族,CC 第三部分,AVA类: 脆弱性评定,族,CC 第三部分,评估保证级别,CC 第三部分,E
27、AL1级:功能测试级,适用于在对正确运行需要一定信任的场合,但在该场合中对安全的威胁应视为并不严重保证组件配置管理ACM_CAP.1 版本号交付和运行ADO_IGS.1 安装、生成和启动程序开发ADV_FSP.1 非形式化功能规范ADV_RCR.1 非形式化对应性论证指导性文档AGD_ADM.1 管理员指南AGD_USR.1用户指南测试ATE_IND.1 独立性测试 一致性,EAL2级:结构测试级,适用于:在缺乏现成可用的完整的开发记录时,开发者或使用者需要一种低到中等级别的独立保证的安全性 保证组件配置管理(ACM_CAP.2 配置项)交付和运行(ADO_DEL.1 交付程序、ADO_IGS
28、.1 安装、生成和启动程序)开发(ADV_FSP.1 非形式化功能规范、ADV_HLD.1 描述性高层设计、ADV_RCR.1非形式化对应性论证)指导性文档(AGD_ADM.1 管理员指南、AGD_USR.1用户指南)测试(ATE_COV.1 范围证据、ATE_FUN.1 功能测试、ATE_IND.2 独立性测试抽样)脆弱性评定(AVA_SOF.1 TOE安全功能强度评估、AVA_VLA.1开发者脆弱性分析),EAL3级:系统测试和检查级,适应于:开发者或使用者需要一个中等级别的独立保证的安全性,和在没有再次进行真正的工程实践的情况下,要求对TOE及其开发过程进行彻底调查 保证组件:(相对EA
29、L2增强的)配置管理(ACM_CAP.3 授权控制、ACM_SCP.1 TOE 配置管理(CM)范围)开发(ADV_HLD.2 安全加强的高层设计) 生命周期支持(ALD_DVS.1 安全措施标识)测试(ATE_COV.2 范围分析、ATE_DPT.1 测试:高层设计)脆弱性评定(AVA_MSU.1 指南审查),评估保证级别(EAL)关系,CC 第三部分,CC评估,保护轮廓,安全目标,安全产品或系统,APE,ASE,EAL,基于CC的认证,(3)保护轮廓PP介绍,目前产品认证用的PPGB/T 18018-1999 路由器安全技术要求 GB/T 18019-1999 信息技术 包过滤防火墙安全技
30、术要求 GB/T 18020-1999 信息技术 应用级防火墙安全技术要求 GB/T 17900-1999 网络代理服务器的安全技术要求等等,2、信息系统安全保障通用评估准则,(1)概述(2)内容介绍,(1)概述,为推动信息系统安全测评认证工作开展,2002年1月, 中国信息安全产品测评认证中心内部立项,开始进行有关部门信息系统安全测评认证的标准,程序,方法和工具的研究工作。信息系统安全通用评估准则作为其中十分重要的工作之一开始展开。经过两年的工作和实践,目前完成了:信息系统安全保障通用评估准则(征求意见稿)电子政务信息系统安全保障评估准则(征求意见稿),问题由来,信息系统安全性评估是从信息系
31、统层面上考虑和解释信息安全所必须解决的根本问题。目前,国内/国家在信息系统安全的各个领域都提出和实践了很多比较成熟相关的标准和实践,但将信息系统作为一个整体进行评估尚未形成一个完备的整体方案。信息系统安全保障(例如:电子政务系统、网上证券系统、网上银行系统等信息系统)的需求要求我们必须从信息系统层面综合建立相应评估和认证体系,以保障这些信息系统使命的安全实现。,信息系统安全保障的定义,信息系统安全保障是以风险和策略为出发点和核心,即从信息系统所面临的风险出发制定组织机构信息系统安全保障策略;通过在信息系统生命周期中从技术、过程、管理和人员等方面提出安全要求;确保信息的机密性、完整性和可用性特征
32、,从而实现和贯彻组织机构策略并将风险降低到可接受的程度;达到保护组织机构信息和信息系统资产;从而保障组织机构实现其使命的最终目的。,(2)内容介绍,相关定义说明信息系统安全保障模型信息系统安全保障分类和分级信息系统描述规范信息系统安全管理要求信息系统安全技术要求信息系统安全工程要求,信息系统和信息技术系统的定义,信息技术系统作为信息系统一部分的执行组织机构信息功能的用于采集、创建、通信、计算、分发、处理、存储和/或控制数据或信息的计算机硬件、软件和/或固件的任何组合。信息系统信息系统 用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和。信息系统是在信息技术系统
33、的基础上,综合考虑了人员、管理等系统综合运行环境的一个整体。,信息系统安全保障模型,信息系统分类和安全保障分级,信息系统使命类,信息系统威胁分级,信息系统安全保障级ISAL,+,价值,信息特征机密性完整行可用性,产品EAL级别要求EAL,管理能力成熟度级别ISAM-CML,过程能力成熟度级别ISAE-CML,信息系统安全分类,安全要求基线,信息系统使命类分类,信息系统威胁分类,信息系统安全保障级,信息系统描述规范,信息系统安全保障管理准则,组织体系,策略制度,遵循性,人员安全,采购管理,投资和预算管理,持续性管理,环境设备,紧急用途和供给,变更控制管理,信息技术战略规划,信息技术战略规划,信息
34、体系结构定义,系统操作,物理访问,运行环境,设备管理,信息系统安全保障技术分析模型,信息系统安全保障工程准则,信息系统安全保障安全管理能力成熟度级别,信息系统安全保障安全过程能力成熟度级别,3、其他标准,目前正在试行中的其它标准电信智能卡安全技术要求电子商务CA中心安全技术要求网络入侵检测系统的安全技术要求电信交换设备的安全技术要求信息安全服务评价准则信息安全工程质量管理要求密码模块的安全技术要求,三、中心的四种测评认证业务,1、信息安全产品测评认证2、信息系统安全性测评认证3、信息安全服务单位资质测评认证4、信息安全服务人员资质测评认证,国家信息安全测评认证目录,1)网络安全产品:如防火墙、
35、路由器、代理服务器、网关、IDS、扫描器等 2)应用安全产品:如安全电子邮件、安全办公系统、网上交易系统、电子商务系统等 3)安全支持类产品:如PKICA、密钥管理系统等 4)操作系统安全产品:如操作系统强制访问控制软件、操作系统安全审计系统等,国家信息安全测评认证目录(续1),5)数据库安全产品:如数据库多级访问控制产品等 6)内容安全产品:如内容分级系统、内容监控系统等 7)安全管理产品:如系统管理软件、数据备份系统等 8)通信安全产品:如链路加密机、保密电话/传真、电信智能卡等 9)物理安全产品:如TEMPEST计算机等,10)信息系统安全性:如网上证券委托交易系统、网上银行系统等11)
36、信息安全服务资质:包括单位和人员资质,国家信息安全测评认证目录(续2),1、信息安全产品测评认证,分为产品型号认证和产品认证目前进行的认证保证级别相当于EAL1与EAL2之间已开发了防火墙、IDS等多种补充技术要求(PP或译为保护轮廓),认证业务:产品型号认证,对送检样品进行型式试验(测试评估),若符合标准要求,即予认证 不需要进行质量体系审核监督检验:市场和/或工厂(车间)抽样 进行核查合格则维持认证,不合格则取消认证,认证业务:产品认证,获准认证条件:送达的样品进行型式试验 质量体系(即质量保证能力)进行检查、评审 这两项都符合有关标准要求 ,则予以认证注册监督检验、监督检查:市场和/或工
37、厂(车间)抽样核查质量体系进行监督性复查 若两方面都合格则维持认证,不合格则取消认证,2、信息系统安全认证,定义:“对信息系统在其运行环境中的技术和非技术环节进行全面的分析,从而确定与其所声称的安全目标和需求的符合性”(PP/ST)通过在系统生命周期过程中实施一整套结构化的活动来实现识别并降低系统非授权访问、修改信息和资源拒绝服务的风险,系统认可,定义:“某个指定机构根据认证过程的结果和其他相关的考虑对信息系统的运行所作出的管理决定”在实施恰当的安全措施后,平衡业务需求和信息系统的残余风险将信息系统或网络安全和可靠运行的责任指派给了某个指定的机构,信息系统测评认证流程,申请及文档审查阶段,项目
38、启动阶段,现场核查,安全性测试,综合评估阶段,现场检测阶段,安全认证阶段,用户申请书,提交的五类文档:,安全策略内容要求,目标(purpose)范围(scope)策略内容(policy)惩罚(enforcement)更改纪录(revision history),系统安全保障方案(ISST),管理制度描述,组织机构描述管理制度及流程描述系统资产描述,工程实施过程文档,工程实施计划 安全产品及应用系统功能及系统测试纪录,选型依据实施过程的重大改进或意外事件纪录系统联调及测试报告系统验收报告,系统自我风险评估文档,信息系统威胁分析;信息系统脆弱性分析;信息系统威胁所产生的后果分析;风险分析;风险处理
39、;,现场核查,管理核查运行核查审计核查,网络结构探测;Router,Firewall,IDSOS安全测试;脆弱性扫描; 口令猜解; 日志检查;渗透性测试,安全性测试,认证与认可阶段,提交认证与认可批准包:申请方系统安全计划;测评认证计划;安全性测试计划;申请方风险自评报告;安全现场核查报告;安全性测试报告;安全性综合评估报告;,每年进行一次管理体系监督检查每年进行一次产品质量的监督检测每年进行一次对系统运行维护状态的监督核查根据需要安排系统测试,2.3 证后监督,认证结论说明,达到中心认证标准的产品或系统只是达到了国家规定的管理安全风险的能力,并不表明该产品完全消除了安全风险中心的认证程序能确
40、保产品安全的风险降低到国家标准规定和公众可接受的水平中心认证程序是一个动态的过程。中心将根据信息安全产品的技术发展和最终用户的使用要求,增加认证测试的难度,34、信息安全服务认证,获准认证条件:对认证申请者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估对其质量体系进行评审,若符合有关标准、规范,则予以认证 这两项都符合有关标准要求 ,则予以认证注册监督检查 获取证书后,对上述各方面进行监督性核查、验证,核查、验证合格,即维持认证,否则取消认证主要依据标准:参照SSE-CMM和国际CISSP相关标准制定的国家标准(报批试行),中国信息安全产品测评认证中心对外办公地点:北京西三环北路27号互联网址:电话:68428899传真:68462942,问题?,
