信息安全标准概述
测
权
评
监
报
督
告
授权测评机构
测评 申请
测
认
评
证
认
申
证
请
报
告
测评认证申请者
信息安全测评认证过程图示
LOGO
相关测评标准
▪ GB17859-1999《计算机信息系统安全保护等级划分准则》 ▪ GB/T 18336-2001《信息技术 安全技术 信息技术安全性评估准则》 ▪ GB/T 19716-2005《信息技术 信息安全管理实用规则》 ▪ GB/T 20271-2006《信息系统通用安全技术要求》 ▪ GB/T 20269-2006《信息系统安全管理要求》 ▪ GB/T 20282-2006《信息系统安全工程管理要求》 ▪ DB31/T 272-2002《计算机信息系统安全测评通用技术规范》
▪ 对在中国境内销售、使用的信息技术产品和安全设备进行安 全性认证;
▪ 提供与信息安全有关的信息服务、技术服务及人员培训; ▪ 与国际上相应的测评认证机构联系与交流。
LOGO
国家认可委 (CNAB)
国家信息安全测评认证管理委员会
认可
中国信息安全产品测评认证中心
实验室认可 委 ( CNAL )
认可
授
可信计算机系统评估准则(TCSEC)
▪ 可信计算机系统评估准则(TCSEC)
• 信息安全技术的里程碑 • 1985年作为美国国防部标准(DoD)发布(DoD 5200.28-STD)
▪ 简介
• 主要为军用标准,延用为民用 • 主要针对主机型分时操作系统,主要关注保密性 • 安全级别主要按功能分类 • 安全级别从高到低分别为A、B、C、D四级,级下再分小级,包含
LOGO
第14讲 信息安全标准(二)
信息安全评估标准
北京邮电大学 计算机学院 副教授 徐国爱
LOGO
本 ▪ 我国信息安全测评认证概述 讲 ▪ TCSEC 提 ▪ CC 纲 ▪ GB17859
LOGO
测评认证相关概念
▪ 信息安全测评
▪ 依据标准对信息技术产品、系统、服务提供商和人 员进行测试与评估,检验其是否符合测评的标准
LOGO
测评认证相关技术
▪ 渗透性测试:对测试目标进行脆弱性分析,探知产品 或系统安全脆弱性的存在,其主要目的是确定测试目标 能够抵抗具有不同等级攻击潜能的攻击者发起的渗透性 攻击。因此,渗透性测试就是在测试目标预期使用环境 下进行的测试,以确定测试目标中潜在的脆弱性的可利 用程度。
▪ 系统漏洞扫描:主要是利用扫描工具对系统进行自动 检查,根据漏洞库的描述对系统进行模拟攻击测试,如 果系统被成功入侵,说明存在漏洞。主要分为网络漏洞 扫描和主机漏洞扫描等方式。
D、C1、C2、B1、B2、B3、A1这七个级别。 • 后发展为彩虹系列
▪ 彩虹系列
• 桔皮书:可信计算机系统评估准则 • 黄皮书:桔皮书的应用指南 • 红皮书:可信网络解释 • 紫皮书:可信数据库解释 • ……
LOGO
▪ TCSEC安全级别
A1:验等证级设分计类保护 Verified Design P保ro护te等cti级on
LOGO
国家信息安全测评认证管理委员会
▪ 国家信息安全测评认证管理委员会是认证中心 的监管机构。
▪ 组成:由与信息安全相关的管理部门、使用部 门、学术界和生产厂商四方面的代表组成
▪ 主要职责:确定测评认证中心的发展策略,推 动中心检测认证的标准研究和准则使用,对测 评认证工作的公正性、科学性进行监督。
LOGO
▪ 组织认证:
▪ 对提供信息安全服务的组织和单位资质进行评估和 认证,即服务资质认证
▪ 个人认证:
▪ 对信息安全专业人员的资质进行评估和认证,即人 员资质认证
LOGO
我国信息安全测评认证体系组织结构
▪ 于1997年启动,到1998年底,正式建立我国的 信息安全测评认证体系,由三部分组成
▪ 国家信息安全测评认证管理委员会 ▪ 中国信息安全产品测评认证中心 ▪ 授权测评机构
1999年CC成为国际 标准,2005年更新 (ISO/IEC 15408)
国年,CC 2.0 1999年,CC2.1
1991年欧洲信息技术 安全评估准则 (ITSEC)
2001年中国国家标准
GB/T 18336 2008年更新 (等同采用CC)
LOGO
LOGO
本 ▪ 我国信息安全测评认证概述 讲 ▪ 信息安全评估标准的发展 提 纲
LOGO
信息安全评估标准的发展
1985年美国可信计 算机系统评估准则
(TCSEC)
1999年GB 17859 计算机信息系统安全 保护等级划分准则
1993年加拿大可信计 算机产品评估准则 (CTCPEC)
1993年美国联邦政府 评估准则 (FC)
▪ 信息安全测评是检验/测试活动
▪ 信息安全认证
▪ 对信息技术领域内产品、系统、服务提供商和人员 的资质、能力符合规范及安全标准要求的一种确认 活动,即检验评估过程是否正确,并保证评估结果 的正确性和权威性。
▪ 信息安全认证是质量认证活动,更确切地说是产品 认证活动。
▪ 两者关系
▪ 信息安全测评为信息安全认证提供必要的技术依据。
▪ 管理委员会下设专家委员会和投诉、申诉委员 会。
LOGO
中国信息安全产品测评认证中心
▪ 中国信息安全产品测评认证中心(CNITSEC):是经 中央批准的、由国家质量监督检验检疫总局授权成立的、 代表国家实施信息安全测评认证的职能机构。
▪ 对国内外信息安全设备和信息技术产品进行安全性检验与测试;
▪ 对国内信息工程和信息系统进行安全性评估与安全质量体系认 证;
LOGO
▪ 产品认证
▪ 访问控制产品(防火墙/路由器/代理服务器/网关) ▪ 鉴别产品 ▪ 安全审计产品 ▪ 安全管理产品 ▪ 数据完整性产品 ▪ 数字签名产品 ▪ 抗抵赖产品 ▪ 商用密码产品(须由国家商用密码管理办公室授权) ▪ 防信息干扰、泄漏产品 ▪ 操作系统安全类产品 ▪ 数据库安全类产品 ▪ ……
LOGO
▪ 系统安全测评
▪ 信息系统的安全测评,是由具有检验技术能力和政 府授权资格的权威机构,依据国家标准、行业标准、 地方标准或相关技术规范,按照严格程序对信息系 统的安全保障能力进行的科学公正的综合测试评估 活动。
▪ 系统安全测评旨在为以前没有安全保障或安全保障 体系不完善的系统(网络)提供改进服务,从而降 低系统的安全风险
