CISP-1-信息安全保障体系和测评认证课件

1、信息安全理论信息安全保障体系和测评认证,中国信息安全产品测评认证中心（CNITSEC） CISP-1-信息安全保障体系和测评认证（培训样稿,CISP-1-信息安全保障体系和测评认证,目录,信息系统安全保障测评认证历史和成绩 信息系统安全保障通用评估准则介绍 信息系统安全保障测评认证方法和实践,2,中国信息安全产品测评认证中心信息系统安全测评认证介绍,第一部分 信息系统安全保障测评认证历史和成绩,CISP-1-信息安全保障体系和测评认证,我国国家领导高度重视信息安全,胡锦涛总书记在一份报告上批示：信息安全事关国家安全，必须予以高度重视 李岚清同志在中办的一份信息通报上批示：信息安全是危及国家安全

2、的大事,4,CISP-1-信息安全保障体系和测评认证,国家高度重视信息安全测评认证工作,胡锦涛总书记在一份报告上批示：信息安全事关国家安全，必须予以高度重视。在2000年3月29日的信息网络安全协调会议上又强调“要建设好信息安全测评认证中心” 吴邦国同志在一份报告上批示：信息安全认证中心的工作很重要，是确保国家信息安全，促进互联网健康发展的重大举措，又是当前急需解决的紧迫问题,5,CISP-1-信息安全保障体系和测评认证,1997年初，国务院信息化工作领导小组委托筹建“中国互联网络安全产品测评认证中心” 1998年7月， 该中心挂牌运行 1998年10月，国家质量技术监督局授权成立“中国国家信

3、息安全测评认证中心” 1999年2月9日，该中心挂牌运行 2001年5月，中编办根据党中央、国务院有关领导的指示精神，正式批准成立“中国信息安全产品测评认证中心” ，英文简称为CNITSEC，为独立的副局级事业单位,测评认证中心的建设过程,6,CISP-1-信息安全保障体系和测评认证,国家信息安全测评认证管理委员会,中国信息安全产品测评 认证中心及其分支机构,授权测试实验室,国家实验室 认可程序 ISO65、25,认证申请者,授权 质管,测试 报告,申报,测试报告 评估报告 认证证书,监管机构,国家认证实体,授权测评机构,国家信息安全测评认证体系组织结构,7,CISP-1-信息安全保障体系和测

4、评认证,认证中心的性质,中国信息安全产品测评认证中心是经中央批准成立的、代表国家实施信息安全测评认证的职能机构，依据国家有关产品质量认证和信息安全管理的法律法规，管理和运行国家信息安全测评认证体系,8,CISP-1-信息安全保障体系和测评认证,认证中心的主要职能任务,1、 对国内外信息安全设备和信息技术实施安全性检验、测试与认证 2、对国内信息系统和工程进行安全性评估与认证 3、对提供信息安全服务的单位、人员的资质进行评估与认证 4、承担国家信息安全技术标准的研究、制订和信息安全培训 5、与各国相应的测评认证机构进行国际交流与合作,9,CISP-1-信息安全保障体系和测评认证,中 心 标 志,

5、10,CISP-1-信息安全保障体系和测评认证,中 华 人 民 共 和 国 国 家 信 息 安 全 认 证,认 证 标 志,11,CISP-1-信息安全保障体系和测评认证,1、包过滤防火墙安全技术要求 2、应用级防火墙安全技术要求 3、信息技术安全性评估准则 4、信息系统安全工程能力成熟模型 5、信息安全服务评价准则 6、信息安全工程质量管理要求 7、电信智能卡安全技术要求 8、商用密码产品安全技术要求 9、网上证券委托系统安全技术要求 10、信息技术安全性评估方法 等共20多项,国家标准的制定情况,12,CISP-1-信息安全保障体系和测评认证,参与国际合作的情况,代表我国参加第一届（美国）

6、、第二届（英国）、第四届（）信息安全测评认证标准与互认国际会议 与美国、俄罗斯、英国、法国、新加坡、日本等国家开展信息安全测试、评估技术的交流 2002年起，按WTO的原则，积极参与和推动信息安全领域的国际互认,13,中国信息安全产品测评认证中心信息系统安全测评认证介绍,第二部分 信息系统安全保障通用评估准则介绍,CISP-1-信息安全保障体系和测评认证,概述,为推动信息系统安全测评认证工作开展，2002年1月， 中国信息安全产品测评认证中心内部立项，开始进行有关部门信息系统安全测评认证的标准，程序，方法和工具的研究工作。信息系统安全通用评估准则作为其中十分重要的工作之一开始展开。 经过两年的

7、工作和实践，目前完成了： 信息系统安全保障通用评估准则（征求意见稿） 电子政务信息系统安全保障评估准则（征求意见稿,15,CISP-1-信息安全保障体系和测评认证,信息系统安全保障通用评估准则内容组成,16,CISP-1-信息安全保障体系和测评认证,信息系统安全保障模型,17,CISP-1-信息安全保障体系和测评认证,信息系统分类和安全保障分级,信息系统使命类,信息系统威胁分级,信息系统 安全保障级 ISAL,价值,信息特征 机密性 完整行 可用性,产品EAL级别要求 EAL,管理能力成熟度级别 ISAM-CML,过程能力成熟度级别 ISAE-CML,信息系统 安全分类,安全要求 基线,18,

8、CISP-1-信息安全保障体系和测评认证,信息系统使命类分类,19,CISP-1-信息安全保障体系和测评认证,信息系统威胁分类,20,CISP-1-信息安全保障体系和测评认证,信息系统安全保障级,21,CISP-1-信息安全保障体系和测评认证,信息系统安全保障安全管理能力成熟度级别,22,CISP-1-信息安全保障体系和测评认证,信息系统安全保障安全过程能力成熟度级别,23,中国信息安全产品测评认证中心信息系统安全测评认证介绍,第三部分 信息系统安全保障测评认证方法和实践,CISP-1-信息安全保障体系和测评认证,信息系统安全认证,定义：“对信息系统在其运行环境中的技术和非技术环节进行全面的分

9、析，从而确定与其所声称的安全目标和需求的符合性”(PP/ST) 通过在系统生命周期过程中实施一整套结构化的活动来实现 识别并降低系统非授权访问、修改信息和资源拒绝服务的风险,25,CISP-1-信息安全保障体系和测评认证,系统认可,定义：“某个指定机构根据认证过程的结果和其他相关的考虑对信息系统的运行所作出的管理决定” 在实施恰当的安全措施后，平衡业务需求和信息系统的残余风险 将信息系统或网络安全和可靠运行的责任指派给了某个指定的机构,26,CISP-1-信息安全保障体系和测评认证,信息系统测评认证流程,申请及文档审查阶段,项目启动阶段,现场核查,安全性测试,综合评估阶段,现 场 检 测 阶

10、段,安全认证阶段,27,CISP-1-信息安全保障体系和测评认证,提交的五类文档,用户申请书,28,CISP-1-信息安全保障体系和测评认证,问题,29,CISP-1-信息安全保障体系和测评认证,系统安全保障方案（ISST,30,CISP-1-信息安全保障体系和测评认证,管理制度描述,组织机构描述 管理制度及流程描述 系统资产描述,31,CISP-1-信息安全保障体系和测评认证,工程实施过程文档,工程实施计划 安全产品及应用系统功能及系统测试纪录，选型依据 实施过程的重大改进或意外事件纪录 系统联调及测试报告 系统验收报告,32,CISP-1-信息安全保障体系和测评认证,系统自我风险评估文档,

11、信息系统威胁分析； 信息系统脆弱性分析； 信息系统威胁所产生的后果分析； 风险分析； 风险处理,33,CISP-1-信息安全保障体系和测评认证,现场核查,管理核查 运行核查 审计核查,34,CISP-1-信息安全保障体系和测评认证,网络结构探测； Router,Firewall,IDS OS安全测试； 脆弱性扫描； 口令猜解； 日志检查； 渗透性测试,安全性测试,35,CISP-1-信息安全保障体系和测评认证,认证与认可阶段,提交认证与认可批准包： 申请方系统安全计划； 测评认证计划； 安全性测试计划； 申请方风险自评报告； 安全现场核查报告； 安全性测试报告； 安全性综合评估报告,36,CISP-1-信息安全保障体系和测评认证