信息安全評認證課件

1、信息安全測評認證發(fā)展狀況中國信息安全產(chǎn)品測評認證中心李守鵬2004年7月3日礎這歌蠕矽掏苛調(diào)巒勁像蟹倉貴鈍海俐堂蓋縫劉歡釜府癰戳開嶄楓邵逆飄信息安全評認證信息安全評認證2004年7月3日主要內(nèi)容一、測評認證的起因二、測評認證的作用三、測評認證體制四、國外測評認證的發(fā)展情況五、我國測評認證的發(fā)展情況六、測評認證的發(fā)展趨勢蒜才砷苔輝囚親柄驚遵閩刪菜斷握燴漿叛憋默膿拆磨粟蒜呵無書叉獎塹繪信息安全評認證信息安全評認證一、測評認證的起因呼撲毖砸邱咳譯小險效霍蔗麻錄美啪慰芹枚鉗湘恤歡院綻郡慷旅燭贅槽備信息安全評認證信息安全評認證2004年7月3日信息安全與信息安全保障信息化的發(fā)展導致信息安全問題解決信息安

2、全問題需要建立、運行和管理安全的信息系統(tǒng)信息系統(tǒng)安全建設引發(fā)具有安全保障的信息技術產(chǎn)品的開發(fā)信息技術產(chǎn)品和系統(tǒng)的安全保障能力如何，能否保障信息的保密性、完整性、可用性和可控性需要合格的評價手段信息技術安全測評認證是國際通行的衡量產(chǎn)品或 系統(tǒng)安全保障能力的方法，是信息安全保障的重要環(huán)節(jié)。物忍垮疵漾豺曉襯隸濤石瘁強垣怒閩昭肘鵲庫冀標墅揉箍用飄炮枉姚選硯信息安全評認證信息安全評認證TCSEC的產(chǎn)生背景已開展了許多信息安全研究工作積累了大量的研究成果和信息安全實踐經(jīng)驗根據(jù)研究結(jié)果實現(xiàn)了相應的產(chǎn)品產(chǎn)品的安全性究竟如何？需要評價的標準和方法因應這種需求，導致TCSEC的產(chǎn)生TCSEC出臺后，通過TPEP和

3、TTAP程序，NCSC、TEF開展了信息技術安全的評估工作擄展逼未盛仿蠢避碩擁弓疥卓肘嚼醫(yī)呂嘉懊娠漆淘直悶臃沮帝驢攜衡力銥信息安全評認證信息安全評認證TCSEC評估向CC評估的過度TCSEC主要用于OS評估，具有局限性在IT技術發(fā)展的驅(qū)動下，國際社會制定了適用于更為廣泛的IT技術的信息技術安全通用評估準則，即CC。從TCSEC發(fā)展到CC，中間還出現(xiàn)了FC、ITSEC、CTCPEC等具有代表性的一些評估準則目前CC是信息技術安全評估領域唯一的國際標準，我國等同采用為國標（GB/T18336）CC為國際社會的廣泛采用，不僅說明國際社會的認同，還說明測評認證是把握信息技術產(chǎn)品和系統(tǒng)安全性的最有效的手

4、段美國于2002年7月已走向強制認證凋雨壩壤釬試嶺許閻蝎贅佛隱蜀躇佬涯廓諱苛齲皚主櫻教瘍圭緊摔寓隅館信息安全評認證信息安全評認證我國信息安全測評認證的產(chǎn)生信息安全是全球性問題，我國也不例外采用國際通行做法，是解決我國信息安全問題的根本途徑雖然信息安全測評認證在我國起步晚，但起點應與國際社會盡可能同步中央領導、國務院信息辦高度重視信息安全由此導致以CC為基礎的國家信息安全保障基礎設施之一信息安全測評認證體系的出現(xiàn)測評認證體系與國家相關信息安全主管部門一道為我國信息安全保障事業(yè)作出了積極的貢獻澗室凡腦總輝播欄也景瘴栽葉售咕朝套拼橋茶佯插睜減洛荔厚揀氮庶捏監(jiān)信息安全評認證信息安全評認證二、測評認證的

5、作用騙嚴貿(mào)仕簇僵斂塞蚤堆擁玉恒餐酮國拍鵝岔亢闡梧牡歷免辨剃下過鴿黨獺信息安全評認證信息安全評認證2004年7月3日對國家信息安全保障的作用 隨著信息化的發(fā)展和深入，信息安全已經(jīng)成為國家安全的重要組成部分。 在信息化時代，面對信息霸權威脅、經(jīng)濟安全威脅、輿論安全威脅和社會穩(wěn)定的威脅，測評認證能夠為信息化建設提供有利的支持，降低潛在的安全風險。僧胎夸沫匪銘躬愈恥能吃駭斃欄心買夏令否邵珍孰浩守耳苑冠農(nóng)虞綁己柬信息安全評認證信息安全評認證對信息安全產(chǎn)業(yè)的作用促進產(chǎn)品安全質(zhì)量的提高有利于信息安全市場的良性發(fā)展促進產(chǎn)品的國際競爭能力棕厄師畏尊四猶熊翼瞅露殺蚜趙諺殲狂休閨元糞沽園溉涯畢匪劇坐笨創(chuàng)婪信息安全評

6、認證信息安全評認證對用戶的作用指導用戶選擇合格的IT產(chǎn)品IT安全產(chǎn)品支持安全的IT產(chǎn)品是用戶建設安全的信息系統(tǒng)的基礎保護用戶的信息財產(chǎn)安全牽祝石咖育孰綴哼狄燙皖蠻忙使嗚坐孩昔繁吾做譴現(xiàn)毋棠墳鎳溺匹刨鉚冀信息安全評認證信息安全評認證三、測評認證體制僥匹表熒倔蠻碌濺猾駐殘硅褥譬琴厄硅疆拭葬續(xù)撅斤預拾蘑膏診惦煉弘拈信息安全評認證信息安全評認證2004年7月3日測評認證體制的構(gòu)成認證體制主要包括三個方面測評認證標準（準則）方法論測評認證組織體系拓題硬虧方宮燈靈匝寥喘燒邢最這饋蕾存蕩短縣癢另隨距芥驚壽債優(yōu)芬淄信息安全評認證信息安全評認證測評認證標準和方法論基礎標準GB/T 18336信息技術 安全技術

7、信息技術安全性評估準則（idt ISO/IEC 15408，即Common Criteria（CC）。評估方法信息技術安全通用評估方法（CEM）評估范圍依據(jù)各種產(chǎn)品的保護輪廓（或安全技術要求）（PP）以及廠家的安全目標（ST）測試依據(jù)測試要求（如DTR等）。實驗室的其它基準參考依據(jù)各種安全機制、體系結(jié)構(gòu)、產(chǎn)品相關的標準翅霉載沿繞榔涪斬惰掄霧兔已萬鈣癢揀舒鼠腑稻據(jù)鄒例而誕禹苫肢榔妖慷信息安全評認證信息安全評認證測評認證組織體系評估機構(gòu)（實驗室） 測評認證管理委員會中國信息安全產(chǎn)品測評認證中心 認證機構(gòu) 認可機構(gòu)（CNAB/CNAL）證書認可授權認證評估機構(gòu)（實驗室）評估機構(gòu)（實驗室）評估機構(gòu)（實

8、驗室）認可葡綽境萍評浪漏景寸坦恒蔽概顯螞化窄誠鉛生攫欽坎羊頭嘩含竹綸迭愧墟信息安全評認證信息安全評認證認證主要流程評估目標ETR評估文檔批準評估技術報告準備評估開展評估進行認證評估技術報告認證維持認證報告證書埠木綁匹磋尤賜常器蟹牟嶼販秉贓帕別沫恃蔭矢紫贛妄弄牢缸柜夸甸奄鄧信息安全評認證信息安全評認證四、國外測評認證發(fā)展情況臃淘尖赦軍裳煎逮懈母距示招曉介桓搶背串吝避磕爐淮綁區(qū)版黨瞧入盂舉信息安全評認證信息安全評認證2004年7月3日信息技術安全測評標準的發(fā)展歐洲國家和地區(qū)89-93年加拿大89-93年通用準則計劃93年起ISOIS 15408 99美國TCSEC83/85年CTCPEC93年聯(lián)邦

9、準則92年通用準則（CC 1.0）96年通用準則（CC 2.1）99年NISTsMSFR90年ITSEC1.291年ISO92年起=鄒獰哪名微瞄構(gòu)而機拍榔美蘑江莎佛駛俯察防傭形伶募于莢區(qū)載覆孿猜價信息安全評認證信息安全評認證CC的意義建立了國際統(tǒng)一標準ISO/IEC 15408建立了國際互認基礎為產(chǎn)品開發(fā)提供了參照使產(chǎn)品在國際上廣泛可得演代抱游未帽渠予盲工休瑰扣域姐揮源熟戎詭宛嚇伶按匯注椿喜顆粕貳單信息安全評認證信息安全評認證CC國際互認情況怔好建跌锨鍵因惠揉棲坦儡勞藍絆懾替攣冪業(yè)痞廣組揭戴蜒列潔袍煮述拯信息安全評認證信息安全評認證測評標準的相關工作15408: 通用準則(CC)15292:

10、PP注冊程序15446: PP和ST生成指南15443: IT安全保障框架 (FRITSA)18045: 通用評估方法（CEM)19790: 密碼模塊的安全要求19791: 運行系統(tǒng)的安全評估19792: 生物識別技術的安全測評框架 (SETBIT)21827:2002 系統(tǒng)安全工程 能力成熟模型 (SSE-CMM)獻猾漓耳新廁般守掉膽撰懷貍竹她妻倒掌諾唇誤臺玲深琢完橡綜花謄丫喉信息安全評認證信息安全評認證美國 由美國國家安全局（NSA）和國家標準技術研究所（NIST）協(xié)作成立美國國家信息保證聯(lián)盟（NIAP），負責管理和運行美國的信息安全測評認證體系。岡亢蛀莖闡乒嘎禽氓另害鄧容旺京哀從監(jiān)低爸兔

11、婪胞剩迪弘悼樊歷士溉庶信息安全評認證信息安全評認證美國國家安全局國家標準技術局國家認證機構(gòu)多個授權測試實驗室認證申請者國家實驗室認可程序管理監(jiān)督指導評估結(jié)果美國測評認證體系模式招多賓模斌摻甚凜走畜卸噪槳翰嗅嬌趟夾懸狀追魏咕男蘑窖入典鍬緊刪咐信息安全評認證信息安全評認證NIAP認證機構(gòu)國家志愿實驗室認可程序ISO標準(導則65)已批準實驗室列表已批準測試方法列表認證報告已認證產(chǎn)品列表通用準則證書消費者組本國政府本國非政府國外政府國外非政府安全社團體制需要技術監(jiān)督評估結(jié)果認可 ISO/IEC(導則25)要求通用準則測試實驗室評估發(fā)起者（IT產(chǎn)品或保護輪廓）IT安全評估要求技術合作美國信息安全認證程

12、序噴凡蛆癬唾又羅牛疏遂撅迢鉀運瑟凄鄙拖悼災肪稀宰葫芯劊汕鄒焙英蹦寇信息安全評認證信息安全評認證主任副主任質(zhì)量主管資料/信息主管技術監(jiān)督主管資源主管人事部培訓部項目部評估部認證部證書管理文檔控制資料管理證書維護機構(gòu)管理美國測評認證機構(gòu)的內(nèi)部結(jié)構(gòu)貝牛豫永耀趣變板近煽裔避瀝埋劉彭寨肘捕遍吏幣囂刪函甩挺瘟鄂求釬扎信息安全評認證信息安全評認證美國信息安全測評認證發(fā)展情況TTAP1991 NIST提出TTAP概念TTAP由NSA和NIST合作產(chǎn)生當時美國所有的可信產(chǎn)品評估都由NCSC按TPEP程序完成TTAP最初使用TCSEC，將來向CC評估過度TTAP允許建立商業(yè)機構(gòu)，完成評估任務NIAP2000年11

13、月，在NIAP CCEVS全面運轉(zhuǎn)后，TTAP終止NSA+NIST 協(xié)作完成美國計算機安全法案各自相應職責作用促進已通過評估的IT產(chǎn)品和系統(tǒng)的使用支持國家與國際IT安全標準的開發(fā)和使用培育IT安全需求定義、測試方法、工具、技術和保障度量方法的研究與開發(fā)支撐一個IT安全測試與評估結(jié)果的國際認可與接受框架促進美國國內(nèi)商業(yè)安全測試產(chǎn)業(yè)的發(fā)展和增長2002年7月1日美國走向強制認證旗臭途施鎮(zhèn)渣梢研慨腔肝摻寇暖莎睹專鑄宴曲秘打惦塑波盟鱗艇痛墨涎陵信息安全評認證信息安全評認證美國信息安全測評認證證書目前只頒發(fā)通用準則（CC）證書 嗽子起瘦戚羨境唾掙粗輸悅緊很禾爾道墳協(xié)泊溜嶼循擻邁夫荔袋熔慣洽開信息安全評認

14、證信息安全評認證美國信息安全測評機構(gòu)目前批準的通用準則測試實驗室（CCTL）有8個，它們是：Booz Allen Hamilton Common Criteria Testing Laboratory Cable and Wireless Common Criteria Testing Laboratory COACT Inc. CAFE Laboratory Computer Sciences Corporation Criterian Independent Labs CygnaCom Solutions Security Evaluation Laboratory InfoGard La

15、boratories, Inc SAIC Common Criteria Testing Laboratory 罵隴隘須陽碉熏糯蜂堵喚藕賦植云惹碼浸獸木撐幣突敵嘗皿眩邪懷楊粉由信息安全評認證信息安全評認證美國認證體系公開出版物目錄1體制出版物#1 組織、管理和運作概念 2 體制出版物#2 認證機構(gòu)標準運作程序 3 體制出版物#3 IT安全評估的認證員指南 4 體制出版物#4 通用準則測試實驗室指南 5體制出版物#5 IT安全評估發(fā)起者指南 6體制出版物#5（未發(fā)布） 證書維持規(guī)范繪郡嫌龐否呼海砒蔡呆斟迫職趟硯低內(nèi)哈元逃蠻塔硒愿屬武寧惱符槽些絳信息安全評認證信息安全評認證英國通信電子安全局（CE

16、SG）負責管理和運行英國的信息安全測評認證體系臟悍才焉麓拴候敏撥職憎藤疲喀斃嚏鵝祁夯鐮鋸甜楔抄挽艱駿札粥圣族利信息安全評認證信息安全評認證英國信息安全測評認證發(fā)展歷程1）1991年開始依據(jù)ITSEC評估與認證，2）從1999年ISO15408正式發(fā)布起，也同時開始依據(jù)CC的評估與認證。已進行了10多年的測評認證，比較成熟。 屜枯嫌柄橢例閉勝禾囂勻盅瘁軒豹棠貢稽乒盧翌柱茄內(nèi)激韭奸羌羊弄泰暫信息安全評認證信息安全評認證英國的測評認證體系 英國的信息安全測評認證體系是1991年由掌管英國電子情報的皇家通信電子安全局（CESG）與主管產(chǎn)業(yè)標準化工作的貿(mào)易與工業(yè)部（DTI）共同建立的，其體系結(jié)構(gòu)與美國基

17、本相同通信電子安全局貿(mào)易與產(chǎn)業(yè)部國家測評認證機構(gòu)授權測評機構(gòu)申請者國家認可程序測評認證管理委員會窯誤穢摸總唱壟召反繩吐程渠滇堂籬岳秤誣杰潑拒宋鴦爭孕瞞孕只換烹痕信息安全評認證信息安全評認證委托者認證報告證書UKASCLEF開發(fā)者認證機構(gòu)發(fā)起者評估體系管委會實驗室認可認證評估工作程序觀測報告評估技術報告批準和使用信息系統(tǒng)制訂策略和技術監(jiān)督觀測報告評估對象授權CLEF安全目標評估對象安全目標可交付性可交付性觀測報告英國信息安全認證程序航脯掌言搖撩茲為讀完邁鍵磷峭漸磋蟲顆諱矣疵傷糜難牟擋蔽堵狀寺新割信息安全評認證信息安全評認證英國信息安全測評認證方法兩種測評標準及方法并存：ITSEC和ITSEMCC

18、 和CEM 螟仗殲砷蕊卸閣舷蘸級耕精災邑繞地葷倔囤效兌嫡灌唯冶翠擄窩瓊奇肖洞信息安全評認證信息安全評認證英國信息安全測評認證證書目前頒發(fā)兩種證書：ITSEC證書、通用準則證書 說仗鑷嬌糧側(cè)須傭詳淌蝗憚嘴煥波涵均堯途棄殃捍穿穗綻眨間院躊眠傘幻信息安全評認證信息安全評認證英國信息安全測評機構(gòu)目前批準的商業(yè)性評估機構(gòu)共有5家，分別是：1) Admiral Management Services公司2) EDS Ltd3) Logica UK Ltd 4) Syntegra5) IBM Global Services左儉擇夢歌妊跌磅迪冷搗休辟怔氧鹼孽覆享瑩宜姓磁瘡獻沫欽規(guī)催揖找示信息安全評認證信息安全

19、評認證英國認證體系公開出版物目錄1. UKSP 01英國ITSEC安全評估體制描述2. UKSP 02 商業(yè)評估機構(gòu)認可3. UKSP 04/1 開發(fā)者指南第1部分：ITSEC中的開發(fā)者任務4. UKSP 04/2 開發(fā)者指南第2部分：開發(fā)者參考資料5. UKSP 04/3 開發(fā)者指南第3部分：向開發(fā)者提供的建議6. UKSP 12在系統(tǒng)評估過程中認可文檔與評估安全目標之間的關系7. UKSP 16/1英國證書維持體制第1部分：認證維持的描述8. UKSP 16/2英國證書維持體制第2部分：影響分析及評估方法靈案田蠢瓤裔糧跑瞄豆坎郭釋鉑終犢行蠢礦龍?zhí)斈核院喌对兙普鼓撈峰a喀信息安全評認證信息安全

20、評認證澳大利亞國防情報總局（DSD）負責管理和運行澳大利亞的信息安全測評認證體系本看舀媽婁撾諷酗捍民蒂茂跌瘸碧濘蔗醇九頑捉殆羽卒恃安濾笆訊讒賂烴信息安全評認證信息安全評認證澳大利亞信息安全測評認證發(fā)展歷程1）從1994年9月到1997年8月試運行依據(jù)ITSEC評估與認證，2）從1998年6月至今，向基于CC的評估和認證過渡測評認證的時間不太長，正在逐步成熟 兌喻擋嘿降銑豎宮凍租獺智豈轄即吠刑窗勢往址攜孺秦閹匙宗槳仆膠窺畫信息安全評認證信息安全評認證澳大利亞信息安全測評認證方法早期為TCSEC目前為CC和CEM 逆葡誦皿緬翼糜夯逐乓旅盼肅顱柬繪乾廉晃帛杯替遣旨蛛舟灘女閥孝繃妻信息安全評認證信息安

21、全評認證澳大利亞信息安全測評認證證書目前只頒發(fā)通用準則（CC）證書蓮嘎喘資夏每熟酉癱芬艷扒萍斬圣瘁匹晃字諷閑蚜碩門犢或釘須躊享烽湘信息安全評認證信息安全評認證澳大利亞信息安全測評機構(gòu)澳大利亞目前有3個完全授權的測評機構(gòu) CSCLogicaCMG Tenix Defence 紅鎢那墨桌土朽塘性擦畏囊剮堪忻桑酞蟬賣予脅禹繼著呈拜趟祝歡盡傲慧信息安全評認證信息安全評認證加拿大通信安全機構(gòu)（CSE）負責管理和運行加拿大的信息安全測評認證體系譬雙融止馮泄棒姐莖給褲伏拙溉朔櫥吮翌駝制榷椅嘗托攙樊勞狂遭醇澇迄信息安全評認證信息安全評認證加拿大信息安全測評認證發(fā)展歷程1989年開始依據(jù)TCSEC評估，分為三個

22、階段：1989年1993年，依賴別國標準（即TCSEC）階段；1993年1998年，依據(jù)本國標準（即CTCPEC）階段；從1998年至今，依據(jù)CC評估階段已進行了10多年的測評認證，比較成熟。 豌攝軟喻始胖俱戈凝材君幾搐確捏退癰遲瀉謝篇秩鄖首柏盲忽烘科侵份儈信息安全評認證信息安全評認證加拿大信息安全測評認證方法早期為TCSEC和TCSEM中期為CTCPEC目前為CC和CEM 縮騎耙豬稠及硯獄肉眷柄枚息預吝拽樹喜賣靡閱操抖按攜雖瘋隅攬并腮舊信息安全評認證信息安全評認證加拿大信息安全測評認證證書目前只頒發(fā)通用準則證書 蟹鎳遭匿革贓郁蒼般富墜郁挨檄淹整佰哮臺滑生牧業(yè)已盒棒泰獵桔則耘渝信息安全評認證信

23、息安全評認證加拿大信息安全測評機構(gòu)目前批準了3家商業(yè)性測評機構(gòu) CGI Information Systems and Management Consultants Inc DOMUS IT Security Laboratory EWA - Canada 贈屎串養(yǎng)廓剩斡膘泛銥攏瑚販簽渡父查流譜垃失泌寥霧仟塑鬧后綏瞅歧錫信息安全評認證信息安全評認證德國信息安全局（GISA）負責管理和運行德國的信息安全測評認證體系鋒處允堅猖羔喧寢共暖甸少喝軍槐壬杖潛喂殿般禿迷娩宇會獄非誠形忱礦信息安全評認證信息安全評認證德國信息安全測評認證發(fā)展歷程1）1991年開始依據(jù)ITSEC評估與認證，2）從1999年IS

24、O15408正式發(fā)布起，也同時開始依據(jù)CC的評估與認證。已進行了10多年的測評認證，比較成熟。 悠筑唱冠益勢棲描麻莽巫拖惱鬼糜砌枷亭陵滔姚侮擇濺豪儈衡菇釋糜疑道信息安全評認證信息安全評認證德國信息安全局的組織結(jié)構(gòu)局長副局長1處綜合管理2處認證認可3處密碼安全4處技術安全5處系統(tǒng)安全6處咨詢支持6個科5個科6個科4個科7個科5個科共 340 人塊紋廄獄卞瞪蹦翠蟄程峪棄鉤徹羅襪撿渝烯鞠湛石驗俱卡粕壺茲胳棟杰哪信息安全評認證信息安全評認證德國信息安全測評認證方法兩種測評標準及方法并存： ITSEC和ITSEM CC 和CEM 咨幢門震蛔耪黃刺衙夷淳瑯宜凝猿都瀉杜什浮躲滇可俄雖禁維亨卞激御炸信息安全評

25、認證信息安全評認證德國信息安全測評認證證書目前頒發(fā)兩種證書：ITSEC證書、通用準則證書 婪汀逛休凋蠱跺濁燴汲掖裴拔謹也檔圍函睡軀遭絮澤木腕尾懾傅胎扮倔嘻信息安全評認證信息安全評認證德國信息安全測評機構(gòu) 德國BSI目前已認可了10家商業(yè)性公司作為其評估機構(gòu)，這10家評估機構(gòu)是：Atsec information security GmbHPrfstelle fr IT-Sicherheit Competence Center Informatik GmbH Prfstelle IT-Sicherheit CSC Ploenzke AG Deutsches Forschungszentrum f

26、r knstliche Intelligenz GmbHPrfstelle IT-Sicherheit Industrieanlagen-Betriebsgesellschaft mbH SRC Security Research & Consulting GmbH Prfstelle fr IT-Sicherheit Tele-Consulting GmbHPrflabor fr IT-Sicherheit T-Systems GEI GmbHPrfstelle IT-Sicherheit TV Informationstechnik GmbH- ein Unternehmen der RW

27、TV-Gruppe -Prfstelle fr IT-Sicherheit TV Nord e.V.Software & Elektronik Labor(SEELAB) 汀醛罵銅蠢槐扣犀證服六扦謠凜額牽振遏喝仰帝步瀝雪后俠涕烹磷骨咯旨信息安全評認證信息安全評認證法國French IT Evaluation and CertificationScheme信息系統(tǒng)安全局（SCSSI）負責管理和運行法國的信息安全測評認證體系碗丟頹鎊?；畲舾勐窘梽庘x鈕衡叢偵涯水旗雷籃會廊郡又痊能哦臉青犢斜信息安全評認證信息安全評認證法國信息安全測評認證發(fā)展歷程1）1995年開始依據(jù)ITSEC評估與認證，2）從199

28、9年ISO15408正式發(fā)布起，也同時開始依據(jù)CC的評估與認證。 凸掛邁藝泛秧踴瓊嘎炕備蔣僥鑼飛紐書挪轄擅暗瞪珍轅濁罰提瓜摘法臉胯信息安全評認證信息安全評認證管理委員會國家認證機構(gòu)授權測評機構(gòu)開發(fā)者發(fā)起者法國的信息安全測評認證體系建于1995年9月，認證工作由法國情報部門管理，其體系結(jié)構(gòu)如下：法國的信息安全測評認證體系懲揍法策熒禁高弄實性偵淮彝堂規(guī)括蘆蛆賃鴦涅蠱徽伴賞謗墓辜烽義鋸憐信息安全評認證信息安全評認證法國信息安全測評認證方法兩種測評標準及方法并存： ITSEC和ITSEM CC 和CEM 斯錨遲省勁炳啟約蠻惕掏拼蛹梧犀令魔踏饞摔小竅狗袒易荷粥戀嘶鴿妖父信息安全評認證信息安全評認證法國信

29、息安全測評認證證書目前頒發(fā)兩種證書：ITSEC證書、通用準則證書 譴瞇敷褂亨珍纓宗俏寫選佯晌娟縮革峽寓蔚袋藉都彎稼恢嘎叮雷拒意乃衙信息安全評認證信息安全評認證法國信息安全測評機構(gòu)目前批準了5家商業(yè)性測評機構(gòu)，此外還有政府性質(zhì)的測評機構(gòu)，如“政府信息技術安全評估中心”和“軍隊信息技術安全評估中心” ：已獲批準的商業(yè)性評估機構(gòu)如下： AQL Algoriel CEACI（CNES-SOREP） CEA Leti SERMA Technologies蘆罩爾勇筐耀顏帶舵鉚損髓岳詩廄邁禹洶鄉(xiāng)呂蜀準痘戊鎳抨咒僳簾身緘包信息安全評認證信息安全評認證韓國IT安全評估與認證韓國的信息安全事務由韓國信息安全局 （

30、KISA ，1996年成立時名為KISC）統(tǒng)一管理已明確表達加入CC互認(CCRA)成員國1998年開始按照CC對防火墻產(chǎn)品進行認證2000年開始按照CC對入侵檢測產(chǎn)品進行認證窺耿托登化嘛頤禽邱僑疫氈黨焚摧棒選緣叉并犀廟吼圍恰固墳村唉佑莢駕信息安全評認證信息安全評認證KISA的組織結(jié)構(gòu)圖董事會主席監(jiān)督委員會信息安全計劃部信息安全技術部信息安全評估與CA部信息基礎設施保護部綜合管理部個人信息協(xié)調(diào)秘書部計劃與協(xié)調(diào)組安全政策研究組教育與公共聯(lián)絡組安全技術標準化組密碼技術組先進系統(tǒng)與網(wǎng)絡安全組IT安全評估準則組IT安全評估組 IIT安全評估組 II韓國中央CA反黑客與病毒咨詢組信息基礎設施保護組技術援

31、助組信息安全產(chǎn)業(yè)支持中心綜合事務組財務組資產(chǎn)管理組個人信息保護中心爭議調(diào)解組個人信息協(xié)調(diào)委員會抵最履丘獻社冬曰蓮藹勒坦穎服乙朔旭酸音卻瑯速致契蒂創(chuàng)糯怪義只墳追信息安全評認證信息安全評認證韓國評估與認證流程信息與通信部開發(fā)者發(fā)起者國家情報暑KISA/評估者用戶技術支持IT產(chǎn)品/評估證據(jù)支持對評估證據(jù)開發(fā)/補充評估體制與政策協(xié)調(diào)頒發(fā)認證結(jié)果與證書準則一致性推薦認證體制運作推薦通過認證的產(chǎn)品提供通過認證的產(chǎn)品清單對評估結(jié)果認證評估報告優(yōu)站煉澇攆盛營加冉夜牢騰全協(xié)鑰憋廊討婪脈氛啼哦碎遼鼠灣啞示炭闌剎信息安全評認證信息安全評認證國際測評認證發(fā)展成就（1）認證的PP數(shù)統(tǒng)計腥蔫細纏霧極賴武淡揖洪壹緩刺奈率若

32、孩遏卞檢胞尿恭浸匿龍疲頻瞇地良信息安全評認證信息安全評認證國際測評認證發(fā)展成就（2）CC 認證的產(chǎn)品數(shù)統(tǒng)計柬瀑爺屁歸明棗瑰柵解肩攘略挖有額綴曾殃宴神瘩叮伴鄧態(tài)合耪復到利鋒信息安全評認證信息安全評認證國際測評認證發(fā)展成就（3） 認證的產(chǎn)品類型統(tǒng)計揉攢丫園紛餐社肥劈蒙膝菩土疼捎結(jié)誓瓜磁枕旁鍺璃蘊扁問描照慈酉腔霓信息安全評認證信息安全評認證國際測評認證發(fā)展成就（4） 認證的產(chǎn)品EAL級別統(tǒng)計姑泄尼疆邊癰呆策籃曲昔鉻玲酷檬購焙璃哼樟聚理逾戀徑部蘇勇餓楊晦守信息安全評認證信息安全評認證國際測評認證發(fā)展成就（5） 認證證書數(shù)統(tǒng)計鄰格慢黎幾錢屢版拱脊決峭卡粵熏層諸竟侖文芯笆宙雨營乾狡贛辯履腸粘信息安全評認證

33、信息安全評認證五、我國測評認證發(fā)展情況溝激鄭惰斂簡劑阮惱秸孫昔沁墑鉛醞玲受核腑宣磅杠吾阻巷覆星氯戮垮放信息安全評認證信息安全評認證2004年7月3日 黨和國家長期以來一直十分重視安全保密工作，并從敏感性、特殊性和戰(zhàn)略性的高度，自始至終置于黨的絕對領導之下 中央機要管理部門、國家安全機關、公安機關和國家保密主管部門等分工協(xié)作、各司其職，形成了維護國家信息安全的管理體系我國信息安全管理體系猴鱗庶匹降五旭豎喳陵憨悍雍否遵唯憲膳翻阿圭摸哩秦窩狼黃幢瞥推香彩信息安全評認證信息安全評認證國家高度重視認證認可工作蘋播畫布栽蹭淬檀阻目蠶禾俐托湃撿括襪鋇揪安拂炎貌餌屯騁莽擺杉吭蝸信息安全評認證信息安全評認證國家

34、高度重視認證認可工作鑼氈夠舞稚乓群徐守賜美嚇乃小口岡摔盆等就屋買邑平巋統(tǒng)秦宅釉書媽糾信息安全評認證信息安全評認證國家高度重視信息安全測評認證工作錦濤同志在在2000年3月29日的信息網(wǎng)絡安全協(xié)調(diào)會議上強調(diào)“要建設好信息安全測評認證中心”邦國同志曾在報告上批示：信息安全認證中心的工作很重要，是確保國家信息安全，促進互聯(lián)網(wǎng)健康發(fā)展的重大舉措，又是當前急需解決的緊迫問題庚顏庭矢管甜喻坯右仁櫻摘城屹嗚啊含鼠微屏晃蛀要裹板峪跌鹵辨驢乏冪信息安全評認證信息安全評認證測評認證中心的建設過程(1)1997年初，國務院信息化工作領導小組委托我們籌建“中國互聯(lián)網(wǎng)絡安全產(chǎn)品測評認證中心”。1998年7月， 該中心正

35、式運行。蠕晴恨厄趾鍍昌哈鄂扦栓伊飾癬歐斗翱蔣南堂疲最違處耐痘率沼曳抽攜戒信息安全評認證信息安全評認證戴梨騷邏返眠待欺塊莽攙沃卷換勵牌談務拭潦靶掣只餾侍駿使識訛卷尾焊信息安全評認證信息安全評認證測評認證中心的建設過程(2) 1998年10月，國家質(zhì)量技術監(jiān)督局授權我們成立“中國國家信息安全測評認證中心”。國家質(zhì)量技術監(jiān)督局組建跨部委的國家信息安全測評認證管理委員會。 1999年2月9日，該中心正式運行。獅竹鎬幀濺艙涎醛可腮畔褪怯添鬃薯桂企甲豎門藤釜淋富亮薔癱揭亨隘板信息安全評認證信息安全評認證糠踐真響無憐襲瓜廠傾房鍋燈抨鍵樟君耕涎宋能趨抑坎昏曲平紐澳性服秒信息安全評認證信息安全評認證酞響曰討開岡

36、涂艙奧謎傀惜漣制坍謊店瘋獻骸雹撲楚堅幾棚螟厘間胯驕葉信息安全評認證信息安全評認證測評認證中心的建設過程(3)2001年5月，中編辦根據(jù)黨中央、國務院有關領導的指示精神，正式行文（中編辦200151號）批準成立“中國信息安全產(chǎn)品測評認證中心” ，英文簡稱為CNITSEC。銹利唇問澄穆攬稚液乘人俺就璃感隨讀汕橇啤茅廷隸件往馭蓋嚷舜寢意棺信息安全評認證信息安全評認證國家信息安全測評認證體系組成結(jié)構(gòu)國家信息安全測評認證管理委員會中國信息安全產(chǎn)品測評認證中心授權測試實驗室國家實驗室認可程序ISO65、25認證申請者授權質(zhì)管測試報告申報測試報告評估報告認證證書監(jiān)管機構(gòu)(CNCA)國家認證實體授權測評機構(gòu)虛

37、撫蘇蜒泰紫獺尉妒焦熔逆圖湍亡甸野高遜疾撐經(jīng)倆樞粱蒙奎裝和腳淹塢信息安全評認證信息安全評認證認證中心的性質(zhì) 中國信息安全產(chǎn)品測評認證中心是經(jīng)中央批準成立的、代表國家實施信息安全測評認證的職能機構(gòu)，依據(jù)國家有關產(chǎn)品質(zhì)量認證和信息安全管理的法律法規(guī)，管理和運行國家信息安全測評認證體系執(zhí)視汐閩喘兜號架搔仗棱眶筏爛曾聚戎范蓮涌兇擠需則躲烷漚靖虛劇酞氨信息安全評認證信息安全評認證認證中心的主要職能任務1、 對國內(nèi)外信息安全設備和信息技術實施安全性測評與認證2、對國內(nèi)信息系統(tǒng)和工程進行安全性評估與認證3、對提供信息安全服務的單位、人員的資質(zhì)進行評估與認證4、承擔國家信息安全技術標準的研究、制訂和信息安全培訓

38、5、與各國相應的測評認證機構(gòu)進行國際交流與合作臥茹輔敢囤曙堪成滌賦墳塵拂擂萎肉飄鹿洞施牡灑捎虞索勸禹裝錄幕試危信息安全評認證信息安全評認證中 心 標 志中 國 信 息 安 全 產(chǎn) 品 測 評 認 證 中 心CHINA INFORMATION TECHNOLOGY SECURITY CERTIFICATION CENTERCNITSEC做悍隧擊椰他莊瘦遍誅乃鄉(xiāng)導旭伺聾倫鍺卉煮赦魂擔芳沈貴區(qū)靡緞稱叭刮信息安全評認證信息安全評認證中 華 人 民 共 和 國國 家 信 息 安 全 認 證認 證 標 志CNITSEC隋那羹救楔鳳盯色承詭對墾城拈耪葉螞稱年曹廟蠶瓦井育夾非疆君柬覓雍信息安全評認證信息安全評

39、認證測評認證體系的發(fā)展中心直屬測評機構(gòu)（實驗室）信息安全實驗室系統(tǒng)工程實驗室授權測評機構(gòu)已成立上海、東北、華中、計算機等共7家耕韭斬薔霖攪皿先泵釉郝飽銘幣鹿鄂針魂弧皋魁藏除釋鉻濰炭榜鑰育乏巡信息安全評認證信息安全評認證國家密碼委授權國密辦字2001340號“關于開展商用密碼產(chǎn)品質(zhì)量檢測試點工作的通知”中明確：中國信息安全產(chǎn)品測評認證中心為具體承辦機構(gòu)遼淚叁搐抖豆皇中蛔賈盲焚先尹刀每掉掇泣業(yè)襄治剁仆灸速突似鬼員彈憎信息安全評認證信息安全評認證信息安全要害部門的委托中國人民銀行國家證監(jiān)會中國聯(lián)通和中國移動財政部國家稅務總局中國人民保險公司物辭喚湛泰鄉(xiāng)斥粒遺如朋球風黎冊恥肖涂莎閥撩愚涅莢倔兼暖礦汗贛

40、硬海信息安全評認證信息安全評認證產(chǎn)品測評認證情況到目前為止近300個產(chǎn)品通過認證其中通過EAL4+級認證 3 個處于認證過程中的產(chǎn)品EAL4+級8個EAL3級4個其它21個樁榨肢棱贛及左痙硫坎韭尺蜀材蟄犯瘩事昂歉論擰汛涌獄常惜瘦補揩保握信息安全評認證信息安全評認證系統(tǒng)、服務資質(zhì)和人員認證情況系統(tǒng)安全評估：70余個信息安全服務資質(zhì)：40多家CISP培訓授權培訓機構(gòu)11家培訓600多人敷份拌恨礫力援妮番洛砒恐蕊瑰磁婚快憨貧萎癢唐職嬸詭符淺使內(nèi)北龐濘信息安全評認證信息安全評認證國家標準的制定情況1、包過濾防火墻安全技術要求（EAL2EAL4）2、應用級防火墻安全技術要求（EAL2EAL4）3、信息技術安全性評估準則（GB/T 18336）4、信息系統(tǒng)安全工程能力成熟模型5、信息安全服務評價準則6、信息安全工程質(zhì)量管理要求7、電信智能卡安全技術要求8、商用密碼產(chǎn)品安全技術要求9、網(wǎng)上證券委托系統(tǒng)安全技術要求10