CISP-1-信息安全保障体系和测评认证

信息安全理论信息安全保障体系和测评认证中国信息安全产品测评认证中心（CNITSEC）信息安全保障体系和测评认证（培训样稿）cnitsec目录一．信息系统安全保障测评认证历史和成绩二．信息系统安全保障通用评估准则介绍三．信息系统安全保障测评认证方法和实践中国信息安全产品测评认证中心信息系统安全测评认证介绍第一部分信息系统安全保障测评认证历史和成绩cnitsec我国国家领导高度重视信息安全胡锦涛总书记在一份报告上批示：信息安全事关国家安全，必须予以高度重视李岚清同志在中办的一份信息通报上批示：信息安全是危及国家安全的大事cnitsec国家高度重视信息安全测评认证工作胡锦涛总书记在一份报告上批示：信息安全事关国家安全，必须予以高度重视。在2000年3月29日的信息网络安全协调会议上又强调“要建设好信息安全测评认证中心”吴邦国同志在一份报告上批示：信息安全认证中心的工作很重要，是确保国家信息安全，促进互联网健康发展的重大举措，又是当前急需解决的紧迫问题cnitsec1997年初，国务院信息化工作领导小组委托筹建“中国互联网络安全产品测评认证中心”1998年7月，该中心挂牌运行1998年10月，国家质量技术监督局授权成立“中国国家信息安全测评认证中心”1999年2月9日，该中心挂牌运行2001年5月，中编办根据党中央、国务院有关领导的指示精神，正式批准成立“中国信息安全产品测评认证中心”，英文简称为CNITSEC，为独立的副局级事业单位测评认证中心的建设过程cnitsec国家信息安全测评认证管理委员会中国信息安全产品测评认证中心及其分支机构授权测试实验室国家实验室认可程序ISO65、25认证申请者授权质管测试报告申报测试报告评估报告认证证书监管机构国家认证实体授权测评机构国家信息安全测评认证体系组织结构cnitsec认证中心的性质中国信息安全产品测评认证中心是经中央批准成立的、代表国家实施信息安全测评认证的职能机构，依据国家有关产品质量认证和信息安全管理的法律法规，管理和运行国家信息安全测评认证体系cnitsec认证中心的主要职能任务1、对国内外信息安全设备和信息技术实施安全性检验、测试与认证2、对国内信息系统和工程进行安全性评估与认证3、对提供信息安全服务的单位、人员的资质进行评估与认证4、承担国家信息安全技术标准的研究、制订和信息安全培训5、与各国相应的测评认证机构进行国际交流与合作cnitsec中心标志cnitsec中华人民共和国国家信息安全认证认证标志cnitsec1、包过滤防火墙安全技术要求2、应用级防火墙安全技术要求3、信息技术安全性评估准则4、信息系统安全工程能力成熟模型5、信息安全服务评价准则6、信息安全工程质量管理要求7、电信智能卡安全技术要求8、商用密码产品安全技术要求9、网上证券委托系统安全技术要求10、信息技术安全性评估方法等共20多项国家标准的制定情况cnitsec参与国际合作的情况代表我国参加第一届（美国）、第二届（英国）、第四届（）信息安全测评认证标准与互认国际会议与美国、俄罗斯、英国、法国、新加坡、日本等国家开展信息安全测试、评估技术的交流2002年起，按WTO的原则，积极参与和推动信息安全领域的国际互认中国信息安全产品测评认证中心信息系统安全测评认证介绍第二部分信息系统安全保障通用评估准则介绍cnitsec概述为推动信息系统安全测评认证工作开展，2002年1月，中国信息安全产品测评认证中心内部立项，开始进行有关部门信息系统安全测评认证的标准，程序，方法和工具的研究工作。《信息系统安全通用评估准则》作为其中十分重要的工作之一开始展开。经过两年的工作和实践，目前完成了：•《信息系统安全保障通用评估准则》（征求意见稿）•《电子政务信息系统安全保障评估准则》（征求意见稿）cnitsec信息系统使命信息系统建模，。。。GB18336idtISO/IEC15408信息技术安全性评估准则IATF信息保障技术框架ISSE信息系统安全工程SSE-CMM系统安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理实践准则其他相关标准、准则例如：ISO/IEC15443,COBIT。。。系统认证和认可标准和实践例如：美国DITSCAP,…中国信息安全产品测评认证中心相关文档和系统测评认证实践技术准则（信息技术系统评估准则）管理准则（信息系统管理评估准则）过程准则（信息系统安全工程评估准则）信息系统安全性评估准则信息系统安全保障通用评估准则内容组成cnitsec信息系统安全保障模型技术过程管理人员保证对象生命周期信息特征cnitsec信息系统分类和安全保障分级信息系统使命类信息系统威胁分级信息系统安全保障级ISAL+价值信息特征•机密性•完整行•可用性产品EAL级别要求EAL管理能力成熟度级别ISAM-CML过程能力成熟度级别ISAE-CML信息系统安全分类安全要求基线cnitsec信息系统使命类分类信息系统使命类信息特征信息和信息系统价值机密性完整性可用性IBBB对信息保障策略的违犯造成的负面影响和结果可以忽略。IIBMM对信息保障策略的违犯会对安全、保险、金融状况、组织机构的基础设施造成不良影响和/或小的破坏。IIIBMH对信息保障策略的违犯会产生一定破坏IVBHH对信息保障策略的违犯会严重的破坏安全、保险、金融状况、组织机构的基础设施VMHH对信息保障策略的违犯会造成异常严重的破坏cnitsec信息系统威胁分类威胁级别威胁说明T1无意的或意外的事件T2被动的、无意识的占有很少资源并且愿意冒少量风险的对手T3占有少量资源但是愿意冒很大风险的对手T4占有中等程度资源的熟练的对手，愿意冒少量风险T5占有中等程度资源的熟练的对手，愿意冒较大风险T6占有丰富程度资源的特别熟练的对手，愿意冒少量风险T7占有丰富程度资源的特别熟练的对手，愿意冒较大风险cnitsec信息系统安全保障级信息系统安全保障级技术（主要安全产品EAL级）安全保障管理能力成熟度级别安全保障过程能力成熟度级别EGISAL1EAL1EGISAM-CML1EGISAE-CML1EGISAL2EAL2EGISAM-CML1EGISAE-CML1EGISAL3EAL3EGISAM-CML2EGISAE-CML2EGISAL4EAL4EGISAM-CML3EGISAE-CML3EGISAL5EAL5EGISAM-CML3EGISAE-CML3cnitsec信息系统安全保障安全管理能力成熟度级别MOA信息安全组织体系能力级别1非正式实施能力级别0未实施MSP信息安全策略MPS人事管理MIP信息安全战略规划MPB投资和预算管理MAD应用系统开发与维护MAS资产管理MPH物理安全MCO通信管理与运行管理MAC访问控制MCC变更控制管理MCO业务持续性管理MCP符合性能力级别4定量控制能力级别2计划和跟踪能力级别3充分定义能力级别5持续改进管理能力级别管理域cnitsec信息系统安全保障安全过程能力成熟度级别MOA信息安全组织体系能力级别1非正式实施能力级别0未实施MSP信息安全策略MPS人事管理MIP信息安全战略规划MPB投资和预算管理MAD应用系统开发与维护MAS资产管理MPH物理安全MCO通信管理与运行管理MAC访问控制MCC变更控制管理MCO业务持续性管理MCP符合性能力级别4定量控制能力级别2计划和跟踪能力级别3充分定义能力级别5持续改进管理能力级别管理域中国信息安全产品测评认证中心信息系统安全测评认证介绍第三部分信息系统安全保障测评认证方法和实践cnitsec信息系统安全认证定义：“对信息系统在其运行环境中的技术和非技术环节进行全面的分析，从而确定与其所声称的安全目标和需求的符合性…”(PP/ST)通过在系统生命周期过程中实施一整套结构化的活动来实现识别并降低系统非授权访问、修改信息和资源拒绝服务的风险cnitsec系统认可定义：“某个指定机构根据认证过程的结果和其他相关的考虑对信息系统的运行所作出的管理决定”在实施恰当的安全措施后，平衡业务需求和信息系统的残余风险将信息系统或网络安全和可靠运行的责任指派给了某个指定的机构cnitsec信息系统测评认证流程申请及文档审查阶段项目启动阶段现场核查安全性测试综合评估阶段现场检测阶段安全认证阶段cnitsec信息系统安全策略信息系统安全技术方案信息系统安全管理机构及制度信息系统安全工程过程信息系统安全审计与评估提交的五类文档：用户申请书cnitsec问题？cnitsec系统安全保障方案（ISST）信息系统安全目标ISST信息系统安全目标ISSTISST引言ISST引言TOE描述TOE描述TOE安全环境TOE安全环境安全目的安全目的信息系统安全要求信息系统安全要求ISPP声明ISPP声明符合性声明符合性声明ISST标识ISST概述假设威胁组织安全策略TOE安全目的环境安全目的信息系统安全要求信息系统安全要求IT环境安全要求使命描述组织结构描述系统描述信息系统安全要求信息系统安全技术要求信息系统安全管理要求信息系统安全过程要求信息系统评估准则一致性声明TOE概要规范TOE概要规范信息系统安全要求信息系统安全技术信息系统安全管理信息系统安全过程信息系统保护轮廓引用信息系统保护轮廓剪裁信息系统保护轮廓附加项安全目的符合性声明安全要求符合性声明TOE概要规范符合性声明信息系统保护轮廓符合性声明系统标识系统体系描述系统功能描述系统环境描述系统生命周期描述信息系统安全目标ISST信息系统安全目标ISSTISST引言ISST引言TOE描述TOE描述TOE安全环境TOE安全环境安全目的安全目的信息系统安全要求信息系统安全要求ISPP声明ISPP声明符合性声明符合性声明ISST标识ISST概述假设威胁组织安全策略TOE安全目的环境安全目的信息系统安全要求信息系统安全要求IT环境安全要求使命描述组织结构描述系统描述信息系统安全要求信息系统安全技术要求信息系统安全管理要求信息系统安全过程要求信息系统安全要求信息系统安全技术要求信息系统安全管理要求信息系统安全过程要求信息系统评估准则一致性声明TOE概要规范TOE概要规范信息系统安全要求信息系统安全技术信息系统安全管理信息系统安全过程信息系统安全要求信息系统安全技术信息系统安全管理信息系统安全过程信息系统保护轮廓引用信息系统保护轮廓剪裁信息系统保护轮廓附加项安全目的符合性声明安全要求符合性声明TOE概要规范符合性声明信息系统保护轮廓符合性声明安全目的符合性声明安全要求符合性声明TOE概要规范符合性声明信息系统保护轮廓符合性声明系统标识系统体系描述系统功能描述系统环境描述系统生命周期描述系统标识系统体系描述系统功能描述系统环境描述系统生命周期描述cnitsec管理制度描述组织机构描述管理制度及流程描述系统资产描述cnitsec工程实施过程文档工程实施计划安全产品及应用系统功能及系统测试纪录，选型依据实施过程的重大改进或意外事件纪录系统联调及测试报告系统验收报告cnitsec系统自我风险评估文档信息系统威胁分析；信息系统脆弱性分析；信息系统威胁所产生的后果分析；风险分析；风险处理；cnitsec现场核查管理核查运行核查审计核查cnitsec网络结构探测；Router,Firewall,IDSOS安全测试；脆弱性扫描；口令猜解；日志检查；渗透性测试安全性测试cnitsec认证与认可阶段提交认证与认可批准包：申请方系统安全计划；测评认证计划；安全性测试计划；申请方风险自评报告；安全现场核查报告；安全性测试报告；安全性综合评估报告；cnitsec每年进行一次管理体系监督检查每年进行一次产品质量的监督检测每年进行一次对系统运行维护状态的监督核查根据需要安排系统测试2.3证后监督cnitsec中国信息安全产品测评认证中心对外办公地点：北京西三环北路27号互联网址：电话：68428899传真：68462942