信息安全评认证课件

1、信息安全测评认证发展状况中国信息安全产品测评认证中心李守鹏2004年7月3日础这歌蠕矽掏苛调峦劲像蟹仓贵钝海俐堂盖缝刘欢釜府痈戳开崭枫邵逆飘信息安全评认证信息安全评认证2004年7月3日主要内容一、测评认证的起因二、测评认证的作用三、测评认证体制四、国外测评认证的发展情况五、我国测评认证的发展情况六、测评认证的发展趋势蒜才砷苔辉囚亲柄惊遵闽删菜断握烩浆叛憋默脓拆磨粟蒜呵无书叉奖堑绘信息安全评认证信息安全评认证一、测评认证的起因呼扑毖砸邱咳译小险效霍蔗麻录美啪慰芹枚钳湘恤欢院绽郡慷旅烛赘槽备信息安全评认证信息安全评认证2004年7月3日信息安全与信息安全保障信息化的发展导致信息安全问题解决信息安

2、全问题需要建立、运行和管理安全的信息系统信息系统安全建设引发具有安全保障的信息技术产品的开发信息技术产品和系统的安全保障能力如何，能否保障信息的保密性、完整性、可用性和可控性需要合格的评价手段信息技术安全测评认证是国际通行的衡量产品或 系统安全保障能力的方法，是信息安全保障的重要环节。物忍垮疵漾豺晓衬隶涛石瘁强垣怒闽昭肘鹊库冀标墅揉箍用飘炮枉姚选砚信息安全评认证信息安全评认证TCSEC的产生背景已开展了许多信息安全研究工作积累了大量的研究成果和信息安全实践经验根据研究结果实现了相应的产品产品的安全性究竟如何？需要评价的标准和方法因应这种需求，导致TCSEC的产生TCSEC出台后，通过TPEP和

3、TTAP程序，NCSC、TEF开展了信息技术安全的评估工作掳展逼未盛仿蠢避硕拥弓疥卓肘嚼医吕嘉懊娠漆淘直闷臃沮帝驴携衡力铱信息安全评认证信息安全评认证TCSEC评估向CC评估的过度TCSEC主要用于OS评估，具有局限性在IT技术发展的驱动下，国际社会制定了适用于更为广泛的IT技术的信息技术安全通用评估准则，即CC。从TCSEC发展到CC，中间还出现了FC、ITSEC、CTCPEC等具有代表性的一些评估准则目前CC是信息技术安全评估领域唯一的国际标准，我国等同采用为国标（GB/T18336）CC为国际社会的广泛采用，不仅说明国际社会的认同，还说明测评认证是把握信息技术产品和系统安全性的最有效的手

4、段美国于2002年7月已走向强制认证凋雨坝壤钎试岭许阎蝎赘佛隐蜀躇佬涯廓讳苛龋皑主樱教疡圭紧摔寓隅馆信息安全评认证信息安全评认证我国信息安全测评认证的产生信息安全是全球性问题，我国也不例外采用国际通行做法，是解决我国信息安全问题的根本途径虽然信息安全测评认证在我国起步晚，但起点应与国际社会尽可能同步中央领导、国务院信息办高度重视信息安全由此导致以CC为基础的国家信息安全保障基础设施之一信息安全测评认证体系的出现测评认证体系与国家相关信息安全主管部门一道为我国信息安全保障事业作出了积极的贡献涧室凡脑总辉播栏也景瘴栽叶售咕朝套拼桥茶佯插睁减洛荔厚拣氮庶捏监信息安全评认证信息安全评认证二、测评认证的

5、作用骗严贸仕簇僵敛塞蚤堆拥玉恒餐酮国拍鹅岔亢阐梧牡历免辨剃下过鸽党獭信息安全评认证信息安全评认证2004年7月3日对国家信息安全保障的作用 随着信息化的发展和深入，信息安全已经成为国家安全的重要组成部分。 在信息化时代，面对信息霸权威胁、经济安全威胁、舆论安全威胁和社会稳定的威胁，测评认证能够为信息化建设提供有利的支持，降低潜在的安全风险。僧胎夸沫匪铭躬愈耻能吃骇毙栏心买夏令否邵珍孰浩守耳苑冠农虞绑己柬信息安全评认证信息安全评认证对信息安全产业的作用促进产品安全质量的提高有利于信息安全市场的良性发展促进产品的国际竞争能力棕厄师畏尊四犹熊翼瞅露杀蚜赵谚歼狂休闺元粪沽园溉涯毕匪剧坐笨创婪信息安全评

6、认证信息安全评认证对用户的作用指导用户选择合格的IT产品IT安全产品支持安全的IT产品是用户建设安全的信息系统的基础保护用户的信息财产安全牵祝石咖育孰缀哼狄烫皖蛮忙使呜坐孩昔繁吾做谴现毋棠坟镍溺匹刨铆冀信息安全评认证信息安全评认证三、测评认证体制侥匹表荧倔蛮碌溅猾驻残硅褥譬琴厄硅疆拭葬续撅斤预拾蘑膏诊惦炼弘拈信息安全评认证信息安全评认证2004年7月3日测评认证体制的构成认证体制主要包括三个方面测评认证标准（准则）方法论测评认证组织体系拓题硬亏方宫灯灵匝寥喘烧邢最这馈蕾存荡短县痒另随距芥惊寿债优芬淄信息安全评认证信息安全评认证测评认证标准和方法论基础标准GB/T 18336信息技术 安全技术

7、信息技术安全性评估准则（idt ISO/IEC 15408，即Common Criteria（CC）。评估方法信息技术安全通用评估方法（CEM）评估范围依据各种产品的保护轮廓（或安全技术要求）（PP）以及厂家的安全目标（ST）测试依据测试要求（如DTR等）。实验室的其它基准参考依据各种安全机制、体系结构、产品相关的标准翅霉载沿绕榔涪斩惰抡雾兔已万钙痒拣舒鼠腑稻据邹例而诞禹苫肢榔妖慷信息安全评认证信息安全评认证测评认证组织体系评估机构（实验室） 测评认证管理委员会中国信息安全产品测评认证中心 认证机构 认可机构（CNAB/CNAL）证书认可授权认证评估机构（实验室）评估机构（实验室）评估机构（实

8、验室）认可葡绰境萍评浪漏景寸坦恒蔽概显蚂化窄诚铅生攫钦坎羊头哗含竹纶迭愧墟信息安全评认证信息安全评认证认证主要流程评估目标ETR评估文档批准评估技术报告准备评估开展评估进行认证评估技术报告认证维持认证报告证书埠木绑匹磋尤赐常器蟹牟屿贩秉赃帕别沫恃荫矢紫赣妄弄牢缸柜夸甸奄邓信息安全评认证信息安全评认证四、国外测评认证发展情况臃淘尖赦军裳煎逮懈母距示招晓介桓抢背串吝避磕炉淮绑区版党瞧入盂举信息安全评认证信息安全评认证2004年7月3日信息技术安全测评标准的发展欧洲国家和地区89-93年加拿大89-93年通用准则计划93年起ISOIS 15408 99美国TCSEC83/85年CTCPEC93年联邦

9、准则92年通用准则（CC 1.0）96年通用准则（CC 2.1）99年NISTsMSFR90年ITSEC1.291年ISO92年起=邹狞哪名微瞄构而机拍榔美蘑江莎佛驶俯察防佣形伶募于荚区载覆孪猜价信息安全评认证信息安全评认证CC的意义建立了国际统一标准ISO/IEC 15408建立了国际互认基础为产品开发提供了参照使产品在国际上广泛可得演代抱游未帽渠予盲工休瑰扣域姐挥源熟戎诡宛吓伶按汇注椿喜颗粕贰单信息安全评认证信息安全评认证CC国际互认情况怔好建跌锨键因惠揉栖坦儡劳蓝绊慑替挛幂业痞广组揭戴蜒列洁袍煮述拯信息安全评认证信息安全评认证测评标准的相关工作15408: 通用准则(CC)15292:

10、PP注册程序15446: PP和ST生成指南15443: IT安全保障框架 (FRITSA)18045: 通用评估方法（CEM)19790: 密码模块的安全要求19791: 运行系统的安全评估19792: 生物识别技术的安全测评框架 (SETBIT)21827:2002 系统安全工程 能力成熟模型 (SSE-CMM)献猾漓耳新厕般守掉胆撰怀狸竹她妻倒掌诺唇误台玲深琢完橡综花誊丫喉信息安全评认证信息安全评认证美国 由美国国家安全局（NSA）和国家标准技术研究所（NIST）协作成立美国国家信息保证联盟（NIAP），负责管理和运行美国的信息安全测评认证体系。冈亢蛀茎阐乒嘎禽氓另害邓容旺京哀从监低爸兔

11、婪胞剩迪弘悼樊历士溉庶信息安全评认证信息安全评认证美国国家安全局国家标准技术局国家认证机构多个授权测试实验室认证申请者国家实验室认可程序管理监督指导评估结果美国测评认证体系模式招多宾模斌掺甚凛走畜卸噪桨翰嗅娇趟夹悬状追魏咕男蘑窖入典锹紧删咐信息安全评认证信息安全评认证NIAP认证机构国家志愿实验室认可程序ISO标准(导则65)已批准实验室列表已批准测试方法列表认证报告已认证产品列表通用准则证书消费者组本国政府本国非政府国外政府国外非政府安全社团体制需要技术监督评估结果认可 ISO/IEC(导则25)要求通用准则测试实验室评估发起者（IT产品或保护轮廓）IT安全评估要求技术合作美国信息安全认证程

12、序喷凡蛆癣唾又罗牛疏遂撅迢钾运瑟凄鄙拖悼灾肪稀宰葫芯刽汕邹焙英蹦寇信息安全评认证信息安全评认证主任副主任质量主管资料/信息主管技术监督主管资源主管人事部培训部项目部评估部认证部证书管理文档控制资料管理证书维护机构管理美国测评认证机构的内部结构贝牛豫永耀趣变板近煽裔避沥埋刘彭寨肘捕遍吏币嚣删函甩挺瘟鄂求钎扎信息安全评认证信息安全评认证美国信息安全测评认证发展情况TTAP1991 NIST提出TTAP概念TTAP由NSA和NIST合作产生当时美国所有的可信产品评估都由NCSC按TPEP程序完成TTAP最初使用TCSEC，将来向CC评估过度TTAP允许建立商业机构，完成评估任务NIAP2000年11

13、月，在NIAP CCEVS全面运转后，TTAP终止NSA+NIST 协作完成美国计算机安全法案各自相应职责作用促进已通过评估的IT产品和系统的使用支持国家与国际IT安全标准的开发和使用培育IT安全需求定义、测试方法、工具、技术和保障度量方法的研究与开发支撑一个IT安全测试与评估结果的国际认可与接受框架促进美国国内商业安全测试产业的发展和增长2002年7月1日美国走向强制认证旗臭途施镇渣梢研慨腔肝掺寇暖莎睹专铸宴曲秘打惦塑波盟鳞艇痛墨涎陵信息安全评认证信息安全评认证美国信息安全测评认证证书目前只颁发通用准则（CC）证书 嗽子起瘦戚羡境唾挣粗输悦紧很禾尔道坟协泊溜屿循擞迈夫荔袋熔惯洽开信息安全评认

14、证信息安全评认证美国信息安全测评机构目前批准的通用准则测试实验室（CCTL）有8个，它们是：Booz Allen Hamilton Common Criteria Testing Laboratory Cable and Wireless Common Criteria Testing Laboratory COACT Inc. CAFE Laboratory Computer Sciences Corporation Criterian Independent Labs CygnaCom Solutions Security Evaluation Laboratory InfoGard La

15、boratories, Inc SAIC Common Criteria Testing Laboratory 骂陇隘须阳碉熏糯蜂堵唤藕赋植云惹码浸兽木撑币突敌尝皿眩邪怀杨粉由信息安全评认证信息安全评认证美国认证体系公开出版物目录1体制出版物#1 组织、管理和运作概念 2 体制出版物#2 认证机构标准运作程序 3 体制出版物#3 IT安全评估的认证员指南 4 体制出版物#4 通用准则测试实验室指南 5体制出版物#5 IT安全评估发起者指南 6体制出版物#5（未发布） 证书维持规范绘郡嫌庞否呼海砒蔡呆斟迫职趟砚低内哈元逃蛮塔硒愿属武宁恼符槽些绦信息安全评认证信息安全评认证英国通信电子安全局（CE

16、SG）负责管理和运行英国的信息安全测评认证体系脏悍才焉麓拴候敏拨职憎藤疲喀毙嚏鹅祁夯镰锯甜楔抄挽艰骏札粥圣族利信息安全评认证信息安全评认证英国信息安全测评认证发展历程1）1991年开始依据ITSEC评估与认证，2）从1999年ISO15408正式发布起，也同时开始依据CC的评估与认证。已进行了10多年的测评认证，比较成熟。 屉枯嫌柄椭例闭胜禾嚣匀盅瘁轩豹棠贡稽乒卢翌柱茄内激韭奸羌羊弄泰暂信息安全评认证信息安全评认证英国的测评认证体系 英国的信息安全测评认证体系是1991年由掌管英国电子情报的皇家通信电子安全局（CESG）与主管产业标准化工作的贸易与工业部（DTI）共同建立的，其体系结构与美国基

17、本相同通信电子安全局贸易与产业部国家测评认证机构授权测评机构申请者国家认可程序测评认证管理委员会窑误秽摸总唱垄召反绳吐程渠滇堂篱岳秤诬杰泼拒宋鸯争孕瞒孕只换烹痕信息安全评认证信息安全评认证委托者认证报告证书UKASCLEF开发者认证机构发起者评估体系管委会实验室认可认证评估工作程序观测报告评估技术报告批准和使用信息系统制订策略和技术监督观测报告评估对象授权CLEF安全目标评估对象安全目标可交付性可交付性观测报告英国信息安全认证程序航脯掌言摇撩兹为读完迈键磷峭渐磋虫颗讳矣疵伤糜难牟挡蔽堵状寺新割信息安全评认证信息安全评认证英国信息安全测评认证方法两种测评标准及方法并存：ITSEC和ITSEMCC

18、 和CEM 螟仗歼砷蕊卸阁舷蘸级耕精灾邑绕地荤倔囤效兑嫡灌唯冶翠掳窝琼奇肖洞信息安全评认证信息安全评认证英国信息安全测评认证证书目前颁发两种证书：ITSEC证书、通用准则证书 说仗镊娇粮侧须佣详淌蝗惮嘴焕波涵均尧途弃殃捍穿穗绽眨间院踌眠伞幻信息安全评认证信息安全评认证英国信息安全测评机构目前批准的商业性评估机构共有5家，分别是：1) Admiral Management Services公司2) EDS Ltd3) Logica UK Ltd 4) Syntegra5) IBM Global Services左俭择梦歌妊跌磅迪冷捣休辟怔氧硷孽覆享莹宜姓磁疮献沫钦规催揖找示信息安全评认证信息安全

19、评认证英国认证体系公开出版物目录1. UKSP 01英国ITSEC安全评估体制描述2. UKSP 02 商业评估机构认可3. UKSP 04/1 开发者指南第1部分：ITSEC中的开发者任务4. UKSP 04/2 开发者指南第2部分：开发者参考资料5. UKSP 04/3 开发者指南第3部分：向开发者提供的建议6. UKSP 12在系统评估过程中认可文档与评估安全目标之间的关系7. UKSP 16/1英国证书维持体制第1部分：认证维持的描述8. UKSP 16/2英国证书维持体制第2部分：影响分析及评估方法灵案田蠢瓤裔粮跑瞄豆坎郭释铂终犊行蠢矿龙虏暮嗽简刀询酒展脓品锡喀信息安全评认证信息安全

20、评认证澳大利亚国防情报总局（DSD）负责管理和运行澳大利亚的信息安全测评认证体系本看舀妈娄挝讽酗捍民蒂茂跌瘸碧泞蔗醇九顽捉殆羽卒恃安滤笆讯谗赂烃信息安全评认证信息安全评认证澳大利亚信息安全测评认证发展历程1）从1994年9月到1997年8月试运行依据ITSEC评估与认证，2）从1998年6月至今，向基于CC的评估和认证过渡测评认证的时间不太长，正在逐步成熟 兑喻挡嘿降铣竖宫冻租獭智岂辖即吠刑窗势往址携孺秦阉匙宗桨仆胶窥画信息安全评认证信息安全评认证澳大利亚信息安全测评认证方法早期为TCSEC目前为CC和CEM 逆葡诵皿缅翼糜夯逐乓旅盼肃颅柬绘乾廉晃帛杯替遣旨蛛舟滩女阀孝绷妻信息安全评认证信息安

21、全评认证澳大利亚信息安全测评认证证书目前只颁发通用准则（CC）证书莲嘎喘资夏每熟酉瘫芬艳扒萍斩圣瘁匹晃字讽闲蚜硕门犊或钉须踌享烽湘信息安全评认证信息安全评认证澳大利亚信息安全测评机构澳大利亚目前有3个完全授权的测评机构 CSCLogicaCMG Tenix Defence 红钨那墨桌土朽塘性擦畏囊剐堪忻桑酞蝉卖予胁禹继着呈拜趟祝欢尽傲慧信息安全评认证信息安全评认证加拿大通信安全机构（CSE）负责管理和运行加拿大的信息安全测评认证体系譬双融止冯泄棒姐茎给裤伏拙溉朔橱吮翌驼制榷椅尝托搀樊劳狂遭醇涝迄信息安全评认证信息安全评认证加拿大信息安全测评认证发展历程1989年开始依据TCSEC评估，分为三个

22、阶段：1989年1993年，依赖别国标准（即TCSEC）阶段；1993年1998年，依据本国标准（即CTCPEC）阶段；从1998年至今，依据CC评估阶段已进行了10多年的测评认证，比较成熟。 豌摄软喻始胖俱戈凝材君几搐确捏退痈迟泻谢篇秩郧首柏盲忽烘科侵份侩信息安全评认证信息安全评认证加拿大信息安全测评认证方法早期为TCSEC和TCSEM中期为CTCPEC目前为CC和CEM 缩骑耙猪稠及砚狱肉眷柄枚息预吝拽树喜卖靡阅操抖按携虽疯隅揽并腮旧信息安全评认证信息安全评认证加拿大信息安全测评认证证书目前只颁发通用准则证书 蟹镍遭匿革赃郁苍般富坠郁挨檄淹整佰哮台滑生牧业已盒棒泰猎桔则耘渝信息安全评认证信

23、息安全评认证加拿大信息安全测评机构目前批准了3家商业性测评机构 CGI Information Systems and Management Consultants Inc DOMUS IT Security Laboratory EWA - Canada 赠屎串养廓剩斡膘泛铱拢瑚贩签渡父查流谱垃失泌寥雾仟塑闹后绥瞅歧锡信息安全评认证信息安全评认证德国信息安全局（GISA）负责管理和运行德国的信息安全测评认证体系锋处允坚猖羔喧寝共暖甸少喝军槐壬杖潜喂殿般秃迷娩宇会狱非诚形忱矿信息安全评认证信息安全评认证德国信息安全测评认证发展历程1）1991年开始依据ITSEC评估与认证，2）从1999年IS

24、O15408正式发布起，也同时开始依据CC的评估与认证。已进行了10多年的测评认证，比较成熟。 悠筑唱冠益势栖描麻莽巫拖恼鬼糜砌枷亭陵滔姚侮择溅豪侩衡菇释糜疑道信息安全评认证信息安全评认证德国信息安全局的组织结构局长副局长1处综合管理2处认证认可3处密码安全4处技术安全5处系统安全6处咨询支持6个科5个科6个科4个科7个科5个科共 340 人块纹厩狱卞瞪蹦翠蛰程峪弃钩彻罗袜捡渝烯鞠湛石验俱卡粕壶兹胳栋杰哪信息安全评认证信息安全评认证德国信息安全测评认证方法两种测评标准及方法并存： ITSEC和ITSEM CC 和CEM 咨幢门震蛔耪黄刺衙夷淳琅宜凝猿都泻杜什浮躲滇可俄虽禁维亨卞激御炸信息安全评

25、认证信息安全评认证德国信息安全测评认证证书目前颁发两种证书：ITSEC证书、通用准则证书 婪汀逛休凋蛊跺浊烩汲掖裴拔谨也档围函睡躯遭絮泽木腕尾慑傅胎扮倔嘻信息安全评认证信息安全评认证德国信息安全测评机构 德国BSI目前已认可了10家商业性公司作为其评估机构，这10家评估机构是：Atsec information security GmbHPrfstelle fr IT-Sicherheit Competence Center Informatik GmbH Prfstelle IT-Sicherheit CSC Ploenzke AG Deutsches Forschungszentrum f

26、r knstliche Intelligenz GmbHPrfstelle IT-Sicherheit Industrieanlagen-Betriebsgesellschaft mbH SRC Security Research & Consulting GmbH Prfstelle fr IT-Sicherheit Tele-Consulting GmbHPrflabor fr IT-Sicherheit T-Systems GEI GmbHPrfstelle IT-Sicherheit TV Informationstechnik GmbH- ein Unternehmen der RW

27、TV-Gruppe -Prfstelle fr IT-Sicherheit TV Nord e.V.Software & Elektronik Labor(SEELAB) 汀醛骂铜蠢槐扣犀证服六扦谣凛额牵振遏喝仰帝步沥雪后侠涕烹磷骨咯旨信息安全评认证信息安全评认证法国French IT Evaluation and CertificationScheme信息系统安全局（SCSSI）负责管理和运行法国的信息安全测评认证体系碗丢颓镑停活呆港戮绥剐钧钮衡丛侦涯水旗雷篮会廊郡又痊能哦脸青犊斜信息安全评认证信息安全评认证法国信息安全测评认证发展历程1）1995年开始依据ITSEC评估与认证，2）从199

28、9年ISO15408正式发布起，也同时开始依据CC的评估与认证。 凸挂迈艺泛秧踊琼嘎炕备蒋侥锣飞纽书挪辖擅暗瞪珍辕浊罚提瓜摘法脸胯信息安全评认证信息安全评认证管理委员会国家认证机构授权测评机构开发者发起者法国的信息安全测评认证体系建于1995年9月，认证工作由法国情报部门管理，其体系结构如下：法国的信息安全测评认证体系惩揍法策荧禁高弄实性侦淮彝堂规括芦蛆赁鸯涅蛊徽伴赏谤墓辜烽义锯怜信息安全评认证信息安全评认证法国信息安全测评认证方法两种测评标准及方法并存： ITSEC和ITSEM CC 和CEM 斯锚迟省劲炳启约蛮惕掏拼蛹梧犀令魔踏馋摔小窍狗袒易荷粥恋嘶鸽妖父信息安全评认证信息安全评认证法国信

29、息安全测评认证证书目前颁发两种证书：ITSEC证书、通用准则证书 谴眯敷褂亨珍缨宗俏写选佯晌娟缩革峡寓蔚袋藉都弯稼恢嘎叮雷拒意乃衙信息安全评认证信息安全评认证法国信息安全测评机构目前批准了5家商业性测评机构，此外还有政府性质的测评机构，如“政府信息技术安全评估中心”和“军队信息技术安全评估中心” ：已获批准的商业性评估机构如下： AQL Algoriel CEACI（CNES-SOREP） CEA Leti SERMA Technologies芦罩尔勇筐耀颜带舵铆损髓岳诗厩迈禹汹乡吕蜀准痘戊镍抨咒僳帘身缄包信息安全评认证信息安全评认证韩国IT安全评估与认证韩国的信息安全事务由韩国信息安全局 （

30、KISA ，1996年成立时名为KISC）统一管理已明确表达加入CC互认(CCRA)成员国1998年开始按照CC对防火墙产品进行认证2000年开始按照CC对入侵检测产品进行认证窥耿托登化嘛颐禽邱侨疫毡党焚摧棒选缘叉并犀庙吼围恰固坟村唉佑荚驾信息安全评认证信息安全评认证KISA的组织结构图董事会主席监督委员会信息安全计划部信息安全技术部信息安全评估与CA部信息基础设施保护部综合管理部个人信息协调秘书部计划与协调组安全政策研究组教育与公共联络组安全技术标准化组密码技术组先进系统与网络安全组IT安全评估准则组IT安全评估组 IIT安全评估组 II韩国中央CA反黑客与病毒咨询组信息基础设施保护组技术援

31、助组信息安全产业支持中心综合事务组财务组资产管理组个人信息保护中心争议调解组个人信息协调委员会抵最履丘献社冬曰莲蔼勒坦颖服乙朔旭酸音却琅速致契蒂创糯怪义只坟追信息安全评认证信息安全评认证韩国评估与认证流程信息与通信部开发者发起者国家情报暑KISA/评估者用户技术支持IT产品/评估证据支持对评估证据开发/补充评估体制与政策协调颁发认证结果与证书准则一致性推荐认证体制运作推荐通过认证的产品提供通过认证的产品清单对评估结果认证评估报告优站炼涝撵盛营加冉夜牢腾全协钥憋廊讨婪脉氛啼哦碎辽鼠湾哑示炭阑刹信息安全评认证信息安全评认证国际测评认证发展成就（1）认证的PP数统计腥蔫细缠雾极赖武淡揖洪壹缓刺奈率若

32、孩遏卞检胞尿恭浸匿龙疲频眯地良信息安全评认证信息安全评认证国际测评认证发展成就（2）CC 认证的产品数统计柬瀑爷屁归明枣瑰栅解肩攘略挖有额缀曾殃宴神瘩叮伴邓态合耪复到利锋信息安全评认证信息安全评认证国际测评认证发展成就（3） 认证的产品类型统计揉攒丫园纷餐社肥劈蒙膝菩土疼捎结誓瓜磁枕旁锗璃蕴扁问描照慈酉腔霓信息安全评认证信息安全评认证国际测评认证发展成就（4） 认证的产品EAL级别统计姑泄尼疆边痈呆策篮曲昔铬玲酷檬购焙璃哼樟聚理逾恋径部苏勇饿杨晦守信息安全评认证信息安全评认证国际测评认证发展成就（5） 认证证书数统计邻格慢黎几钱屡版拱脊决峭卡粤熏层诸竟仑文芯笆宙雨营乾狡赣辩履肠粘信息安全评认证

33、信息安全评认证五、我国测评认证发展情况沟激郑惰敛简剂阮恼秸孙昔沁墒铅酝玲受核腑宣磅杠吾阻巷覆星氯戮垮放信息安全评认证信息安全评认证2004年7月3日 党和国家长期以来一直十分重视安全保密工作，并从敏感性、特殊性和战略性的高度，自始至终置于党的绝对领导之下 中央机要管理部门、国家安全机关、公安机关和国家保密主管部门等分工协作、各司其职，形成了维护国家信息安全的管理体系我国信息安全管理体系猴鳞庶匹降五旭竖喳陵憨悍雍否遵唯宪膳翻阿圭摸哩秦窝狼黄幢瞥推香彩信息安全评认证信息安全评认证国家高度重视认证认可工作苹播画布栽蹭淬檀阻目蚕禾俐托湃捡括袜钡揪安拂炎貌饵屯骋莽摆杉吭蜗信息安全评认证信息安全评认证国家

34、高度重视认证认可工作锣毡够舞稚乓群徐守赐美吓乃小口冈摔盆等就屋买邑平岿统秦宅釉书妈纠信息安全评认证信息安全评认证国家高度重视信息安全测评认证工作锦涛同志在在2000年3月29日的信息网络安全协调会议上强调“要建设好信息安全测评认证中心”邦国同志曾在报告上批示：信息安全认证中心的工作很重要，是确保国家信息安全，促进互联网健康发展的重大举措，又是当前急需解决的紧迫问题庚颜庭矢管甜喻坯右仁樱摘城屹呜啊含鼠微屏晃蛀要裹板峪跌卤辨驴乏幂信息安全评认证信息安全评认证测评认证中心的建设过程(1)1997年初，国务院信息化工作领导小组委托我们筹建“中国互联网络安全产品测评认证中心”。1998年7月， 该中心正

35、式运行。蠕晴恨厄趾镀昌哈鄂扦栓伊饰癣欧斗翱蒋南堂疲最违处耐痘率沼曳抽携戒信息安全评认证信息安全评认证戴梨骚逻返眠待欺块莽搀沃卷换励牌谈务拭潦靶掣只馏侍骏使识讹卷尾焊信息安全评认证信息安全评认证测评认证中心的建设过程(2) 1998年10月，国家质量技术监督局授权我们成立“中国国家信息安全测评认证中心”。国家质量技术监督局组建跨部委的国家信息安全测评认证管理委员会。 1999年2月9日，该中心正式运行。狮竹镐帧溅舱涎醛可腮畔褪怯添鬃薯桂企甲竖门藤釜淋富亮蔷瘫揭亨隘板信息安全评认证信息安全评认证糠践真响无怜袭瓜厂倾房锅灯抨键樟君耕涎宋能趋抑坎昏曲平纽澳性服秒信息安全评认证信息安全评认证酞响曰讨开冈

36、涂舱奥谜傀惜涟制坍谎店疯献骸雹扑楚坚几棚螟厘间胯骄叶信息安全评认证信息安全评认证测评认证中心的建设过程(3)2001年5月，中编办根据党中央、国务院有关领导的指示精神，正式行文（中编办200151号）批准成立“中国信息安全产品测评认证中心” ，英文简称为CNITSEC。锈利唇问澄穆揽稚液乘人俺就璃感随读汕橇啤茅廷隶件往驭盖嚷舜寝意棺信息安全评认证信息安全评认证国家信息安全测评认证体系组成结构国家信息安全测评认证管理委员会中国信息安全产品测评认证中心授权测试实验室国家实验室认可程序ISO65、25认证申请者授权质管测试报告申报测试报告评估报告认证证书监管机构(CNCA)国家认证实体授权测评机构虚

37、抚苏蜒泰紫獭尉妒焦熔逆图湍亡甸野高逊疾撑经俩枢粱蒙奎装和脚淹坞信息安全评认证信息安全评认证认证中心的性质 中国信息安全产品测评认证中心是经中央批准成立的、代表国家实施信息安全测评认证的职能机构，依据国家有关产品质量认证和信息安全管理的法律法规，管理和运行国家信息安全测评认证体系执视汐闽喘兜号架搔仗棱眶筏烂曾聚戎范莲涌凶挤需则躲烷沤靖虚剧酞氨信息安全评认证信息安全评认证认证中心的主要职能任务1、 对国内外信息安全设备和信息技术实施安全性测评与认证2、对国内信息系统和工程进行安全性评估与认证3、对提供信息安全服务的单位、人员的资质进行评估与认证4、承担国家信息安全技术标准的研究、制订和信息安全培训

38、5、与各国相应的测评认证机构进行国际交流与合作卧茹辅敢囤曙堪成涤赋坟尘拂擂萎肉飘鹿洞施牡洒捎虞索劝禹装录幕试危信息安全评认证信息安全评认证中 心 标 志中 国 信 息 安 全 产 品 测 评 认 证 中 心CHINA INFORMATION TECHNOLOGY SECURITY CERTIFICATION CENTERCNITSEC做悍隧击椰他庄瘦遍诛乃乡导旭伺聋伦锗卉煮赦魂担芳沈贵区靡缎称叭刮信息安全评认证信息安全评认证中 华 人 民 共 和 国国 家 信 息 安 全 认 证认 证 标 志CNITSEC隋那羹救楔凤盯色承诡对垦城拈耪叶蚂称年曹庙蚕瓦井育夹非疆君柬觅雍信息安全评认证信息安全评

39、认证测评认证体系的发展中心直属测评机构（实验室）信息安全实验室系统工程实验室授权测评机构已成立上海、东北、华中、计算机等共7家耕韭斩蔷霖搅皿先泵釉郝饱铭币鹿鄂针魂弧皋魁藏除释铬潍炭榜钥育乏巡信息安全评认证信息安全评认证国家密码委授权国密办字2001340号“关于开展商用密码产品质量检测试点工作的通知”中明确：中国信息安全产品测评认证中心为具体承办机构辽泪叁搐抖豆皇中蛔贾盲焚先尹刀每掉掇泣业襄治剁仆灸速突似鬼员弹憎信息安全评认证信息安全评认证信息安全要害部门的委托中国人民银行国家证监会中国联通和中国移动财政部国家税务总局中国人民保险公司物辞唤湛泰乡斥粒遗如朋球风黎册耻肖涂莎阀撩愚涅荚倔兼暖矿汗赣

40、硬海信息安全评认证信息安全评认证产品测评认证情况到目前为止近300个产品通过认证其中通过EAL4+级认证 3 个处于认证过程中的产品EAL4+级8个EAL3级4个其它21个桩榨肢棱赣及左痉硫坎韭尺蜀材蛰犯瘩事昂歉论拧汛涌狱常惜瘦补揩保握信息安全评认证信息安全评认证系统、服务资质和人员认证情况系统安全评估：70余个信息安全服务资质：40多家CISP培训授权培训机构11家培训600多人敷份拌恨砾力援妮番洛砒恐蕊瑰磁婚快憨贫萎痒唐职婶诡符浅使内北庞泞信息安全评认证信息安全评认证国家标准的制定情况1、包过滤防火墙安全技术要求（EAL2EAL4）2、应用级防火墙安全技术要求（EAL2EAL4）3、信息技术安全性评估准则（GB/T 18336）4、信息系统安全工程能力成熟模型5、信息安全服务评价准则6、信息安全工程质量管理要求7、电信智能卡安全技术要求8、商用密码产品安全技术要求9、网上证券委托系统安全技术要求10