一.信息安全测评服务介绍1. 中国信息安全测评中心:1)履行国家信息安全漏洞分析和风险评估职能 2)对信息产品、系统和工程进行评估 3)对信息安全服务,人员的资质进行审核2.CISP 以信息安全保障(IA)作为主线二.信息安全测评认证体系介绍1.由信息安全问题所引起的国家面临的主要威胁:1)信息霸权的威胁 2)经济安全 3)舆论安全 4)社会稳定2.我国测评认证中心的建设过程:1)1998.10 国家质量技术监督局成立“中国国家信息安全测评认证中心”,1999.2该中心挂牌运行 2)2001.5 中编办“中国信息安全产品测评认证中心”(中编办【2001】51 号)CNITSEC3)2007改名“中国信息安全测评中心”3.认证要点(1)一个目标:TOE 评估的正确性和一致性(2)两种方法:“质量过程核查”“评估活动评价”(3)三个阶段:准备,评估,认证(4)四类活动4.行业许可证制度1)信息安全产品:公安部 3 所检测,公安部 11 局颁发 2)防病毒产品:指定单位(天津市公安局)3)商用密码产品:国密办颁发5. 商业性测评:制定化,控制,量化6. 认证业务的范围:服务商,专业人员,产品,系统三.信息安全测评认标准1. 测评标准发展1)美国 TCSEC(桔皮书):美国国防部 1985 年提出,军用机密性,D 最小保护 C1 自主安全保护 C2 访问控制保护 B1 安全标签保护 B2 结构化保护 B3 安全域保护 A1 验证设计保护2)欧共体 ITSEC:将安全性分为功能和保证;提出 TOE;提出“安全目标”ST;E1-63)加拿大 CTCPEC:功能性要求分为机密性,完整性,可用性,可控性4)美国联邦 FC:引入了保护轮廓 PP;每个轮廓包括功能,保障和评测需求5)通用评估准则 CC:1996 年 V1.0;1998 年 V2.0;1999 年为 ISO15408(GB/T18336);思想框架来源于 FC 和ITSEC;EAL1-72. CC 的评估保证级 EALEAL1 功能测试;EAL2 结构测试;EAL3 系统地测试和检查;EAL4 系统地设计、测试和复查;EAL5 半形式化设计和测试(无隐蔽通道);EAL6 半形式化验证的设计和测试;EAL7 形式化验证的设计和测试3. CC 的结构:1)简介和一般介绍,以及保护轮廓规范和安全目标规范 2)第二部分:安全功能需求 3)第三部分:安全保障需求4. CC 的范围不包括:1)行政性管理安全措施的评估准则;2)物理安全方面(诸如电磁辐射控制)的评估准则;3)密码算法固有质量评价准则包括:信息系统产品和技术5. 保护轮廓 PP(甲方)没有详细的设...
