欢迎来到天天文库
浏览记录
ID:21067644
大小:2.21 MB
页数:133页
时间:2018-10-17
《信息安全理论信息系统安全测评认证概述》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、信息安全理论信息系统安全测评认证概述中国信息安全产品测评认证中心(CNITSEC)www.itsec.gov.cnCISP-1-信息系统安全测评认证概述(培训样稿)目录信息安全测评认证基础我国信息安全测评认证基本情况信息安全标准通用准则CC(GB/T18336idtISO/IEC15408)信息系统安全保障通用评估准则中国信息安全产品测评认证中心业务介绍一.信息安全测评认证基础1.1测评认证基本概念什么是测评认证测试、评估、认证是三个不同的概念测试/检验:按照规定的程序,为确定给定的产品、材料、设备、生物
2、组织、物理现象、工艺或服务的一种或多种特性的技术操作评估:对测试/检验产生的数据进行分析、形成结论的技术活动认证是指第三方依据程序对产品、过程或服务符合规定的要求给予书面保证(证书),用于评价产品质量和企业质量管理水平认证的依据是标准和测试/检验/评估的结果传统的安全测评方法用户测试厂商自测商业性测试政府内部的安全测试与检测攻击性(分析、对抗性)检测软件工程质量保障方法传统测评方法的不足缺乏标准的安全需求规范缺乏通用的安全测评准则缺乏客观的安全测评工具缺乏专业的安全测评人员缺乏公正的第三方测评机制缺乏完善的
3、测评认证体系国家信息安全认证统一的国家标准和行业补充技术要求国际通用的安全测评方法客观的安全测评工具专业的安全测评人员独立运作的公正第三方测评机制国家授权的、权威的测评认证体系信息安全测评认证发展是第一位的,是硬道理。安全是保驾护航。没有安全,就没有健康的发展。作为国家信息基础设施,没有安全,就是“豆腐渣”工程。认证的分类按认证对象的不同可分为产品质量认证和质量体系认证产品质量认证是依据产品标准和相应技术要求,经认证机构确认并通过颁发认证证书和认证标志来证明某一产品符合相应标准和相应技术要求的活动质量体系认
4、证是以质量体系标准为依据,参照审核要点进行现场审核,以评价受审核单位的质量体系是否符合质量保证模式标准的活动测评认证在信息安全中的作用对信息技术的依赖越来越强,信息技术自主性越来越弱是全球性的趋势测评认证是做到心中有数和市场准入控制的重要手段,是我国加入WTO的需要测评认证是信息安全保障的重要环节信息技术的复杂性与质量问题信息技术的两用性与安全问题世界各国都将测评认证体系作为国家信息化的重要基础设施,由信息安全主管部门和质量监督部门共同负责管理1.2国外信息安全测评认证体系美国由NSA与国家标准局联合实施国
5、家信息安全认证,英、德、法、澳、加、荷等国家也由国家信息安全主管部门联合国家标准主管部门共同管理信息安全认证工作。先后建立起国家信息安全测评认证体系芬兰、瑞典、西班牙、挪威、意大利、比利时等欧洲国家和日本、韩国等亚洲国家纷纷仿效,积极开展信息安全测评认证工作国外的信息安全测评认证体系由:1)一个测评认证管理协调组织、2)一个测评认证实体、和3)多个技术检测机构组成信息技术安全测试实验室信息安全认证管理委员会信息技术安全认证中心认证机构Lab认可机构证书认可授权认证信息安全测评认证体系模式信息技术安全测试实验
6、室信息技术安全测试实验室信息技术安全测试实验室CB认可机构美国(NIAP)负责管理和运行美国的信息安全测评认证体系德国(GISA)负责管理和运行德国的信息安全测评认证体系法国(SCSSI)FrenchITEvaluationandCertificationScheme负责管理和运行法国的信息安全测评认证体系澳大利亚(AISEP)AustralasianInformationSecurityEvaluationProgramme负责管理和运行澳大利亚的信息安全测评认证体系测评认证成为国际性话题国际会议:从6国
7、发起到14国互认各国政府在充分认识到全球化和信息化利弊的基础上对信息安全予以高度重视各国为适应信息化时代国际竞争的新形势纷纷成立专门的测评认证机构有条件的互认是各国参与国际化和维护自主权的务实选择2、我国信息安全测评认证体系的基本情况建设国家测评认证机构是发展的需要产业发展的需要:信息安全产品的开发、使用和管理需要统一的规范技术监督的需要:安全性、可靠性、可用性需要依据标准的检测与认证国际接轨的需要:测试、评估与认证的框架必须符合国际惯例和通用标准国际竞争的需要:加入WTO的客观要求(例外)国家管理的需要:
8、安全检查、许可证管理、行业管理需要技术支持国家安全的需要:信息化时代的国家主权和安全测评认证中心的建设过程1997年初,国务院信息化工作领导小组委托筹建“中国互联网络安全产品测评认证中心”1998年7月,该中心挂牌运行1998年10月,国家质量技术监督局授权成立“中国国家信息安全测评认证中心”1999年2月9日,该中心挂牌运行2001年5月,中编办根据党中央、国务院有关领导的指示精神,正式批准成立“中国信息安全产
此文档下载收益归作者所有