《信息安全测评认证发展状况.ppt》由会员分享,可在线阅读,更多相关《信息安全测评认证发展状况.ppt(100页珍藏版)》请在三一办公上搜索。
1、信息安全测评认证发展状况,主要内容,一、测评认证的起因二、测评认证的作用三、测评认证体制四、国外测评认证的发展情况五、我国测评认证的发展情况六、测评认证的发展趋势,2004年7月3日,一、测评认证的起因,信息安全与信息安全保障,信息化的发展导致信息安全问题解决信息安全问题需要建立、运行和管理安全的信息系统信息系统安全建设引发具有安全保障的信息技术产品的开发信息技术产品和系统的安全保障能力如何,能否保障信息的保密性、完整性、可用性和可控性需要合格的评价手段信息技术安全测评认证是国际通行的衡量产品或 系统安全保障能力的方法,是信息安全保障的重要环节。,TCSEC的产生背景,已开展了许多信息安全研究
2、工作积累了大量的研究成果和信息安全实践经验根据研究结果实现了相应的产品产品的安全性究竟如何?需要评价的标准和方法因应这种需求,导致TCSEC的产生TCSEC出台后,通过TPEP和TTAP程序,NCSC、TEF开展了信息技术安全的评估工作,TCSEC评估向CC评估的过度,TCSEC主要用于OS评估,具有局限性在IT技术发展的驱动下,国际社会制定了适用于更为广泛的IT技术的信息技术安全通用评估准则,即CC。从TCSEC发展到CC,中间还出现了FC、ITSEC、CTCPEC等具有代表性的一些评估准则目前CC是信息技术安全评估领域唯一的国际标准,我国等同采用为国标(GB/T18336)CC为国际社会的
3、广泛采用,不仅说明国际社会的认同,还说明测评认证是把握信息技术产品和系统安全性的最有效的手段美国于2002年7月已走向强制认证,我国信息安全测评认证的产生,信息安全是全球性问题,我国也不例外采用国际通行做法,是解决我国信息安全问题的根本途径虽然信息安全测评认证在我国起步晚,但起点应与国际社会尽可能同步中央领导、国务院信息办高度重视信息安全由此导致以CC为基础的国家信息安全保障基础设施之一信息安全测评认证体系的出现测评认证体系与国家相关信息安全主管部门一道为我国信息安全保障事业作出了积极的贡献,2004年7月3日,二、测评认证的作用,对国家信息安全保障的作用,随着信息化的发展和深入,信息安全已经
4、成为国家安全的重要组成部分。在信息化时代,面对信息霸权威胁、经济安全威胁、舆论安全威胁和社会稳定的威胁,测评认证能够为信息化建设提供有利的支持,降低潜在的安全风险。,对信息安全产业的作用,促进产品安全质量的提高有利于信息安全市场的良性发展促进产品的国际竞争能力,对用户的作用,指导用户选择合格的IT产品IT安全产品支持安全的IT产品是用户建设安全的信息系统的基础保护用户的信息财产安全,2004年7月3日,三、测评认证体制,测评认证体制的构成,认证体制主要包括三个方面测评认证标准(准则)方法论测评认证组织体系,测评认证标准和方法论,基础标准GB/T 18336信息技术 安全技术 信息技术安全性评估
5、准则(idt ISO/IEC 15408,即Common Criteria(CC)。评估方法信息技术安全通用评估方法(CEM)评估范围依据各种产品的保护轮廓(或安全技术要求)(PP)以及厂家的安全目标(ST)测试依据测试要求(如DTR等)。实验室的其它基准参考依据各种安全机制、体系结构、产品相关的标准,测评认证组织体系,评估机构(实验室),测评认证管理委员会,中国信息安全产品测评认证中心,认证机构,认可机构(CNAB/CNAL),认可,授权,认证,评估机构(实验室),评估机构(实验室),评估机构(实验室),认可,认证主要流程,评估目标,2004年7月3日,四、国外测评认证发展情况,信息技术安全
6、测评标准的发展,CC的意义,建立了国际统一标准ISO/IEC 15408建立了国际互认基础为产品开发提供了参照使产品在国际上广泛可得,CC国际互认情况,测评标准的相关工作,15408:通用准则(CC)15292:PP注册程序15446:PP和ST生成指南15443:IT安全保障框架(FRITSA)18045:通用评估方法(CEM)19790:密码模块的安全要求19791:运行系统的安全评估19792:生物识别技术的安全测评框架(SETBIT)21827:2002 系统安全工程 能力成熟模型(SSE-CMM),美国,由美国国家安全局(NSA)和国家标准技术研究所(NIST)协作成立美国国家信息保
7、证联盟(NIAP),负责管理和运行美国的信息安全测评认证体系。,美国国家安全局,国家标准技术局,国家认证机构,多个授权测试实验室,认证申请者,国家实验室认可程序,管理监督指导,评估结果,美国测评认证体系模式,NIAP认证机构,国家志愿实验室认可程序,ISO标准(导则65),已批准实验室列表已批准测试方法列表认证报告已认证产品列表通用准则证书,消费者组本国政府本国非政府国外政府国外非政府安全社团,体制需要,技术监督,评估结果,认可,ISO/IEC(导则25)要求,通用准则测试实验室,评估发起者,(IT产品或保护轮廓),IT安全评估要求,技术合作,美国信息安全认证程序,美国测评认证机构的内部结构,
8、美国信息安全测评认证发展情况,TTAP1991 NIST提出TTAP概念TTAP由NSA和NIST合作产生当时美国所有的可信产品评估都由NCSC按TPEP程序完成TTAP最初使用TCSEC,将来向CC评估过度TTAP允许建立商业机构,完成评估任务NIAP2000年11月,在NIAP CCEVS全面运转后,TTAP终止NSA+NIST 协作完成美国计算机安全法案各自相应职责作用促进已通过评估的IT产品和系统的使用支持国家与国际IT安全标准的开发和使用培育IT安全需求定义、测试方法、工具、技术和保障度量方法的研究与开发支撑一个IT安全测试与评估结果的国际认可与接受框架促进美国国内商业安全测试产业的
9、发展和增长2002年7月1日美国走向强制认证,美国信息安全测评认证证书,目前只颁发通用准则(CC)证书,美国信息安全测评机构,目前批准的通用准则测试实验室(CCTL)有8个,它们是:Booz Allen Hamilton Common Criteria Testing Laboratory Cable and Wireless Common Criteria Testing Laboratory COACT Inc.CAFE Laboratory Computer Sciences Corporation Criterian Independent Labs CygnaCom Solution
10、s Security Evaluation Laboratory InfoGard Laboratories,Inc SAIC Common Criteria Testing Laboratory,美国认证体系公开出版物目录,1体制出版物#1 组织、管理和运作概念 2 体制出版物#2 认证机构标准运作程序 3 体制出版物#3 IT安全评估的认证员指南 4 体制出版物#4 通用准则测试实验室指南 5体制出版物#5 IT安全评估发起者指南 6体制出版物#5(未发布)证书维持规范,英国,通信电子安全局(CESG)负责管理和运行英国的信息安全测评认证体系,英国信息安全测评认证发展历程,1)1991年开
11、始依据ITSEC评估与认证,2)从1999年ISO15408正式发布起,也同时开始依据CC的评估与认证。已进行了10多年的测评认证,比较成熟。,英国的测评认证体系,英国的信息安全测评认证体系是1991年由掌管英国电子情报的皇家通信电子安全局(CESG)与主管产业标准化工作的贸易与工业部(DTI)共同建立的,其体系结构与美国基本相同,英国信息安全认证程序,英国信息安全测评认证方法,两种测评标准及方法并存:ITSEC和ITSEMCC 和CEM,英国信息安全测评认证证书,目前颁发两种证书:ITSEC证书、通用准则证书,英国信息安全测评机构,目前批准的商业性评估机构共有5家,分别是:1)Admiral
12、 Management Services公司2)EDS Ltd3)Logica UK Ltd 4)Syntegra5)IBM Global Services,英国认证体系公开出版物目录,1.UKSP 01英国ITSEC安全评估体制描述2.UKSP 02 商业评估机构认可3.UKSP 04/1 开发者指南第1部分:ITSEC中的开发者任务4.UKSP 04/2 开发者指南第2部分:开发者参考资料5.UKSP 04/3 开发者指南第3部分:向开发者提供的建议6.UKSP 12在系统评估过程中认可文档与评估安全目标之间的关系7.UKSP 16/1英国证书维持体制第1部分:认证维持的描述8.UKSP
13、16/2英国证书维持体制第2部分:影响分析及评估方法,澳大利亚,国防情报总局(DSD)负责管理和运行澳大利亚的信息安全测评认证体系,澳大利亚信息安全测评认证发展历程,1)从1994年9月到1997年8月试运行依据ITSEC评估与认证,2)从1998年6月至今,向基于CC的评估和认证过渡测评认证的时间不太长,正在逐步成熟,澳大利亚信息安全测评认证方法,早期为TCSEC目前为CC和CEM,澳大利亚信息安全测评认证证书,目前只颁发通用准则(CC)证书,澳大利亚信息安全测评机构,澳大利亚目前有3个完全授权的测评机构 CSCLogicaCMG Tenix Defence,加拿大,通信安全机构(CSE)负
14、责管理和运行加拿大的信息安全测评认证体系,加拿大信息安全测评认证发展历程,1989年开始依据TCSEC评估,分为三个阶段:1989年1993年,依赖别国标准(即TCSEC)阶段;1993年1998年,依据本国标准(即CTCPEC)阶段;从1998年至今,依据CC评估阶段已进行了10多年的测评认证,比较成熟。,加拿大信息安全测评认证方法,早期为TCSEC和TCSEM中期为CTCPEC目前为CC和CEM,加拿大信息安全测评认证证书,目前只颁发通用准则证书,加拿大信息安全测评机构,目前批准了3家商业性测评机构 CGI Information Systems and Management Consul
15、tants Inc DOMUS IT Security Laboratory EWA-Canada,德国,信息安全局(GISA)负责管理和运行德国的信息安全测评认证体系,德国信息安全测评认证发展历程,1)1991年开始依据ITSEC评估与认证,2)从1999年ISO15408正式发布起,也同时开始依据CC的评估与认证。已进行了10多年的测评认证,比较成熟。,德国信息安全局的组织结构,局长,副局长,1处综合管理,2处认证认可,3处密码安全,4处技术安全,5处系统安全,6处咨询支持,6个科,5个科,6个科,4个科,7个科,5个科,共 340 人,德国信息安全测评认证方法,两种测评标准及方法并存:I
16、TSEC和ITSEM CC 和CEM,德国信息安全测评认证证书,目前颁发两种证书:ITSEC证书、通用准则证书,德国信息安全测评机构,德国BSI目前已认可了10家商业性公司作为其评估机构,这10家评估机构是:Atsec information security GmbHPrfstelle fr IT-Sicherheit Competence Center Informatik GmbH Prfstelle IT-Sicherheit CSC Ploenzke AG Deutsches Forschungszentrum fr knstliche Intelligenz GmbHPrfstel
17、le IT-Sicherheit Industrieanlagen-Betriebsgesellschaft mbH SRC Security Research&Consulting GmbH Prfstelle fr IT-Sicherheit Tele-Consulting GmbHPrflabor fr IT-Sicherheit T-Systems GEI GmbHPrfstelle IT-Sicherheit TV Informationstechnik GmbH-ein Unternehmen der RWTV-Gruppe-Prfstelle fr IT-Sicherheit T
18、V Nord e.V.Software&Elektronik Labor(SEELAB),法国,French IT Evaluation and CertificationScheme,信息系统安全局(SCSSI)负责管理和运行法国的信息安全测评认证体系,法国信息安全测评认证发展历程,1)1995年开始依据ITSEC评估与认证,2)从1999年ISO15408正式发布起,也同时开始依据CC的评估与认证。,法国的信息安全测评认证体系建于1995年9月,认证工作由法国情报部门管理,其体系结构如下:,法国的信息安全测评认证体系,法国信息安全测评认证方法,两种测评标准及方法并存:ITSEC和ITSEM
19、 CC 和CEM,法国信息安全测评认证证书,目前颁发两种证书:ITSEC证书、通用准则证书,法国信息安全测评机构,目前批准了5家商业性测评机构,此外还有政府性质的测评机构,如“政府信息技术安全评估中心”和“军队信息技术安全评估中心”:已获批准的商业性评估机构如下:AQL Algoriel CEACI(CNES-SOREP)CEA Leti SERMA Technologies,韩国IT安全评估与认证,韩国的信息安全事务由韩国信息安全局(KISA,1996年成立时名为KISC)统一管理已明确表达加入CC互认(CCRA)成员国1998年开始按照CC对防火墙产品进行认证2000年开始按照CC对入侵检
20、测产品进行认证,KISA的组织结构图,韩国评估与认证流程,信息与通信部,开发者,发起者,国家情报暑,KISA/评估者,用户,技术支持,IT产品/评估证据,支持对评估证据开发/补充,评估体制与政策协调,颁发认证结果与证书,准则一致性推荐,认证体制运作,推荐通过认证的产品,提供通过认证的产品清单,对评估结果认证,评估报告,国际测评认证发展成就(1),认证的PP数统计,国际测评认证发展成就(2),CC 认证的产品数统计,国际测评认证发展成就(3),认证的产品类型统计,国际测评认证发展成就(4),认证的产品EAL级别统计,国际测评认证发展成就(5),认证证书数统计,2004年7月3日,五、我国测评认证
21、发展情况,党和国家长期以来一直十分重视安全保密工作,并从敏感性、特殊性和战略性的高度,自始至终置于党的绝对领导之下 中央机要管理部门、国家安全机关、公安机关和国家保密主管部门等分工协作、各司其职,形成了维护国家信息安全的管理体系,我国信息安全管理体系,国家高度重视认证认可工作,国家高度重视认证认可工作,国家高度重视信息安全测评认证工作,锦涛同志在在2000年3月29日的信息网络安全协调会议上强调“要建设好信息安全测评认证中心”邦国同志曾在报告上批示:信息安全认证中心的工作很重要,是确保国家信息安全,促进互联网健康发展的重大举措,又是当前急需解决的紧迫问题,测评认证中心的建设过程(1),1997
22、年初,国务院信息化工作领导小组委托我们筹建“中国互联网络安全产品测评认证中心”。1998年7月,该中心正式运行。,测评认证中心的建设过程(2),1998年10月,国家质量技术监督局授权我们成立“中国国家信息安全测评认证中心”。国家质量技术监督局组建跨部委的国家信息安全测评认证管理委员会。1999年2月9日,该中心正式运行。,测评认证中心的建设过程(3),2001年5月,中编办根据党中央、国务院有关领导的指示精神,正式行文(中编办200151号)批准成立“中国信息安全产品测评认证中心”,英文简称为CNITSEC。,国家信息安全测评认证体系组成结构,国家信息安全测评认证管理委员会,中国信息安全产品
23、测评认证中心,授权测试实验室,国家实验室认可程序ISO65、25,认证申请者,授权质管,测试报告,申报,测试报告评估报告认证证书,监管机构(CNCA),国家认证实体,授权测评机构,认证中心的性质,中国信息安全产品测评认证中心是经中央批准成立的、代表国家实施信息安全测评认证的职能机构,依据国家有关产品质量认证和信息安全管理的法律法规,管理和运行国家信息安全测评认证体系,认证中心的主要职能任务,1、对国内外信息安全设备和信息技术实施安全性测评与认证2、对国内信息系统和工程进行安全性评估与认证3、对提供信息安全服务的单位、人员的资质进行评估与认证4、承担国家信息安全技术标准的研究、制订和信息安全培训
24、5、与各国相应的测评认证机构进行国际交流与合作,中 心 标 志,中 华 人 民 共 和 国国 家 信 息 安 全 认 证,认 证 标 志,测评认证体系的发展,中心直属测评机构(实验室)信息安全实验室系统工程实验室授权测评机构已成立上海、东北、华中、计算机等共7家,国家密码委授权,国密办字2001340号“关于开展商用密码产品质量检测试点工作的通知”中明确:中国信息安全产品测评认证中心为具体承办机构,信息安全要害部门的委托,中国人民银行国家证监会中国联通和中国移动财政部国家税务总局中国人民保险公司,产品测评认证情况,到目前为止近300个产品通过认证其中通过EAL4+级认证 3 个处于认证过程中的
25、产品EAL4+级8个EAL3级4个其它21个,系统、服务资质和人员认证情况,系统安全评估:70余个信息安全服务资质:40多家CISP培训授权培训机构11家培训600多人,国家标准的制定情况,1、包过滤防火墙安全技术要求(EAL2EAL4)2、应用级防火墙安全技术要求(EAL2EAL4)3、信息技术安全性评估准则(GB/T 18336)4、信息系统安全工程能力成熟模型5、信息安全服务评价准则6、信息安全工程质量管理要求7、电信智能卡安全技术要求8、商用密码产品安全技术要求9、网上证券委托系统安全技术要求10、信息技术安全性评估方法 等近30项,CNITSEC主要科研方向,攻防技术与工具研发测试、
26、验证技术与工具研发安全机制安全技术安全产品安全服务安全系统分析、评估方法研究与工具开发标准/基准制定,质量体系与技术保障,共研究制定程序文件和质量管理规范100多种先后承担国家863、973、火炬计划、科技兴贸等科技发展计划中与测评认证和标准制定相关的课题20多项先后培养多名硕士和博士,参与国际合作的情况,作为我国代表参加第一届(美国)、第二届(英国)、第三届(加拿大)信息安全测评认证标准与互认国际会议。与美国、俄罗斯、英国、法国、新加坡、日本和德国等国家开展信息安全测试、评估技术的交流。2001年起,按WTO的原则,积极参与和推动信息安全领域的国际互认。,取得的主要成绩,测评认证的技术支撑体
27、系基本建立技术标准的建设取得了较好的成果测评认证组织体系建设已初现端倪测评认证服务基本走向正轨测评认证的结果得到社会广泛认同发挥了国家信息安全保障重要环节的作用,唯一从事信息安全认证的机构(四种业务)唯一经质监总局批准授权的信息安全认证机构唯一获得中央批准的信息安全认证机构唯一按照国际惯例、符合WTO精神开展信息安全测评认证的机构唯一获得各地方政府支持建立的信息安全测评认证体系唯一获得国内多个部委、多个行业主管部门委托、信任的信息安全认证的机构,CNITSEC在国内的地位与影响,2004年7月3日,六、测评认证发展思路,发展目标,专业化产业化智能化科学化制度化,应处理好的问题,标准发展问题产业发展问题地区发展不平衡问题认证能力问题信息安全意识问题,结束语,面对信息安全测评认证事业的发展,测评认证体系任重而道远,需要全社会携起手来,共同努力和参与,把我国的信息安全测评认证工作作好。,测评认证中心对外办公地点:北京西三环北路27号互联网址:电话:010-68428899传真:010-68462942,2004年7月3日,谢谢,