CISE讲义CISP-01-信息安全测评服务介绍-new

CISP-01-信息安全测评服务介绍中国信息安全测评中心2008年11月-2-主要内容中国信息安全测评中心简介中国信息安全测评中心资质国家信息安全测评体系信息安全保障服务研究与实践-3-中国信息安全测评中心简介中国信息安全产品测评认证中心是经中央批准成立的、代表国家专门从事信息技术安全测试和风险评估的权威职能机构。测评中心是国家信息安全保障体系中的重要基础设施之一，在国家专项投入的支持下，拥有国内一流的信息安全漏洞分析资源和测试评估技术装备；建有漏洞基础研究、应用软件安全、产品安全检测、系统隐患分析和测评装备研发等多个专业性技术实验室；具有专门面向党政机关、基础信息网络和重要信息系统开展风险评估的国家专控队伍。-4-中心标志中国信息安全测评中心标志英文名称为：ChinaInformationTechnologySecurityEvaluationCenter简称：CNITSEC。-5-中心的筹备与建立中国信息安全产品测评认证中心筹建于1997年1998年7月以“中国互联网络安全产品测评认证中心”的名称试运行1998年10月经国家质量技术监督局授权成立了“中国国家信息安全测评认证中心”2001年5月，中编办字[2001]51号文件正式批准了认证中心的职能任务和机构编制，将认证中心正式定名为“中国信息安全产品测评认证中心”2007年，经中央批准，增加漏洞分析和风险评估职能，更名为“中国信息安全测评中心”，成为国家信息安全专控队伍。

-6-胡锦涛同志批示：

信息安全事关国家安全，必须予以高度重视。

在2000年3月29日的信息网络安全协调会议上又强调“要建设好信息安全测评认证中心”国家领导批示-7-2006年10月25日国家主席胡锦涛同志再次批示：加强测评中心的建设，明确职责，发挥其作用，以排除隐患和漏洞。国家领导批示-8-测评服务范围依据中央授权，测评中心的主要职能包括：；信息安全漏洞分析；信息安全风险评估；信息技术产品、信息系统和工程安全测试与评估；信息安全服务和信息安全人员资质测评；信息安全技术咨询、工程监理与开发服务。-9-序号服务内容信息技术安全性测评认证测评分级测评自主原创证明源代码安全性测试选型测试定制测试信息系统安全性测评风险评估风险评估网银评估等级保护测评

系统测评系统渗透性测试信息安全服务资质认定信息安全工程服务资质信息安全灾备服务资质信息安全运营服务资质注册信息安全人员认定注册信息安全专业人员资质注册信息安全员资质信息安全咨询与监理信息系统安全工程监理涉密信息系统安全工程监理信息安全管理体系咨询信息安全保障体系规划-10-

信息安全产品认证（共667个）629款产品通过型号认证16款产品通过EAL3级认证22款产品通过EAL4/EAL4+级认证信息安全服务资质认证（共124家）139家信息安全服务商通过信息安全服务资质一级（安全工程类）认证12家信息安全服务商通过信息安全服务资质二级（安全工程类）认证注册信息安全人员认证（共2050人）约2050余人通过注册信息安全专业人员（CISE/CISO/CISA）认证信息系统安全测评与认证（共141项）国内近120个信息系统通过信息系统安全测评，其中19个系统达到信息系统安全保障能力级一级6个系统达到信息系统安全保障能力级二级以上数字截至2008年7月-11-信息安全领域研究

技术研究：中心的科研队伍一直致力于信息安全领域尤其是信息安全测评技术领域的深入研究。自成立至今，已承担了国家“863”计划、国家“973”计划、国家自然科学基金委员会、科技部、国家发展和改革委员会等多个国家重点科研项目。其中《国家信息安全发展战略研究》、《系统安全风险分析和评估方法研究》等国家“863”计划课题受到国务院信息化工作办公室等指导单位的高度赞扬。-12-信息安全领域研究标准制定：中心组织并参与了包括国家标准GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》、《信息安全保障等级评估框架》、《电子政务信息系统安全保障评估准则》、《网上银行系统安全保障要求》、《网上证券委托系统安全保障要求》、《应用级防火墙安全技术要求》、《信息安全服务评价准则》、《信息安全工程质量管理要求》、《电信智能卡安全技术要求》等在内的多个信息安全测评标准的编制工作。-13-中心出版物

编写并出版了《信息安全理论与技术》、《信息安全工程与管理》、《信息安全标准与法律法规》，国家注册信息安全专业人员资质认证选用了该丛书作为参考教材。-14-中心出版物作为国家测评认证服务职能的一个重要体现，中心每年都出版《信息安全产品政府采购指南》，该指南现已广泛应用于国家各级政府部门及重要行业单位的信息安全采购工作中。-15-中心出版物从2003年开始，中心以双月刊形式推出《国家信息安全测评认证》杂志，为业界提供了一个信息安全技术交流平台。-16-组织编写了《信息安全国际视野丛书》

《信息安全保障的手段和工具-俄罗斯信息安全产业情况（上、下册）》《关键信息基础设施保护-十四国安全保护政策陈述和分析》《信息安全的科技支撑-美国信息安全产业研究》《信息时代的国家安全防护网-美国访客系统》《网络时代的安全治理-美国信息安全管理体制研究》编委会顾问包括（按姓氏笔画排列）：曲维枝、何德全、周仲义、沈昌祥、蔡吉人、王渝次等-17-国际交流

中心自成立以来，一直担负着国家赋予的与世界各国相应测评认证机构进行国际交流与合作的职责。目前，中心已代表我国参加第一届（美国）、第二届（英国）至第八届“信息安全测评认证标准与互认国际会议”。与美国、俄罗斯、英国、法国、德国、新加坡、日本等国家开展信息安全测试评估技术的交流、讲学等技术交流活动。-18-国际交流2003年2月，中国信息安全测评中心受国家发展和改革委员会委托，代表中国政府与美国微软公司签署了政府安全计划（GSP）源代码协议，并于2006年2月将该协议续签。-19-主要内容中国信息安全测评中心简介中国信息安全测评中心资质国家信息安全测评体系信息安全保障服务研究与实践-20-认证中心的资质

中国信息安全测评中心——是正局级事业单位，隶属于国家质量监督检验检疫总局；其职能任务和机构编制是经中央编制委员会正式批准的；中国信息安全测评中心及其所属的两个测评实验室均已获得了国家相关机构的认可证书，其服务范围与测评技术能力经过国家严格审查与认可-21-《中国实验室国家认可委员会认可证书》（1）

中国信息安全测评中心信息安全实验室，获得中国实验室国家认可委员会颁发的《中国实验室国家认可委员会认可证书》-22-《中国实验室国家认可委员会认可证书》（2）

中国信息安全测评中心系统工程实验室，获得中国实验室国家认可委员会颁发的《中国实验室国家认可委员会认可证书》-23-《涉及国家秘密的计算机信息系统集成资质证书—工程监理》

2007年9月中国信息安全测评中心获得国家保密局颁发的涉及国家秘密的计算机信息系统监理资质。-24-主要内容中国信息安全产品测评认证中心简介中国信息安全产品测评认证中心资质国家信息安全测评认证体系信息安全保障服务研究与实践-25-国家信息安全测评认证体系为适应全球经济一体化的发展趋势和我国加入WTO的客观要求，我国于1997年依循国际惯例开始启动国家信息安全测评及认证体系筹建工作。-26-国家信息安全测评认证体系计算机测评中心上海测评中心东北测评中心华中测评中心深圳测评中心西南测评中心武汉互操作测评中心身份认证测评中心云南测评中心重庆测评中心西北测评中心河南测评中心山东测评中心通讯安全测评中心-27-主要内容中国信息安全产品测评认证中心简介中国信息安全产品测评认证中心资质国家信息安全测评认证体系信息安全保障服务研究与实践-28-信息安全保障服务中国信息安全测评中心自成立至今，一贯致力于国家信息安全保障体系的建设工作，依托测评服务平台，整合各类资源，为各政府机构、社会用户提供多方面、多角度、多层次的信息安全服务，为国家的信息安全保障体系建设提供有力的技术支持。测评中心曾先后参与国家税务总局、国家财政部、最高人民检察院、、国家铁道部中国人民银行、中国证监会、中国民航、国家广电总局等多家单位的网络信息系统安全建设工作，在总体安全方案制定、安全咨询顾问、安全工程项目监理、信息系统安全性测试评估等方面为这些用户提供了专业服务。-29-专业测评技术服务队伍

中国信息安全产品测评认证中心拥有一支高素质的测评队伍。所有测试评估人员都经过严格的专业培训并通过“注册信息安全专业人员（CISP）”的国家资质考核，其扎实的专业知识、技术和技能，是确保测评工作质量的重要保证，曾出色完成多个政府机构、银行、证券、电信等组织机构的信息安全测评项目，具有丰富的测评经验。同时中心还拥有一支强大的专家队伍，包括中国工程院院士、研究员、博士、归国留学人员等来自信息安全各领域的专家学者。对中心的测评技术研究、测评标准制定、测评工作评审以及大型信息安全测评项目等进行专业指导和顾问-30-信息安全风险评估

2005年中心受国务院信息化工作办公室委托，承担了国家税务系统风险评估以及云南省政府办公网络系统风险评估的试点工作。并参加了国家信息系统安全风险评估实施指南、实施标准、评估方法等系列标准的研究与开发工作。2006年7月在国家网络与信息安全协调小组办公室下发的信安通[2006]16号《关于对国家基础信息网络和重要信息系统开展安全检查的通知》中，中心作为国家专门队伍承担了铁道部铁路货票信息管理系统和中国民航离港信息系统的安全抽查评估任务。其评估方法和结果将为国信办落实对国家基础信息网络和重要信息系统开展安全检查工作提供重要依据。-31-2006年8月在中国证监会组织的证券期货业的信息安全风险评估试点工作中，中心积极参与了制定《证券行业信息安全风险评估工作指南》的编写，并承担证券行业试点国泰君安证券有限公司集中交易系统风险评估的项目实施，为探索证券期货业信息系统安全的适用性、合理性，积累了宝贵经验。2007年7月中国信息安全产品测评认证中心在国务院信息化领导小组工作办公室组织的2007年度国家基础信息网络和重要信息系统检查评估工作中，作为国家专门队伍承担了：《深圳国税信息系统安全检查评估》、《中国证券登记结算公司信息系统安全检查评估》。信息安全风险评估-32-2008年国家部委级安全服务项目1.国家税务总局委托我中心开展税务信息系统2008年度日常信息安全及特殊时期（两会、奥运会、法定长假）安全服务，查找漏洞排除隐患，制订漏洞修补建议，以确保税务信息系统的正常稳定运行。

2.2008年3月分别承担了国家税务总局应用安全咨询与风险评估项目、总局风险评估项目、税务系统安全检查评估等安全服务项目。

3.2008国家财政部涉密网络整合项目安全工程咨询与监理。-33-党政系统最高人民检察院国家发展与改革委员会国家统计局国家安全部全国政协国家税务总局国家财政部海关总署国家新闻出版总署国家铁道部建设部国家知识产权局科技部中共中央对外联络部国家外汇管理局证监会江苏省政府办公厅……-34-关键基础设施北京第29届奥运会组织委员会中国金融认证中心(CFCA)中国互联网络信息中心(CNNIC)铁道部全国客票预订与发售系统铁道部铁路货票信息系统中国民航离港信息系统中国电信CA系统中国网通中国联通中国移动国家电力中国北方……-35-银行系统中国人民银行中国建设银行中国工商银行中国招商银行中国光大银行中国民生银行兴业银行交通银行南京商业银行北京市农村商业银行广东省南海农联社好易联支付系统银联支付系统宁波市商业银行温州市商业银行贵阳市商业银行重庆市商业银行昆明市商业银行长沙市商业银行浙商银行……-36-证券、保险系统国泰君安证券中国银河证券长城证券上海财政证券东方证券华夏证券中信证券中国人民财产保险公司新华人寿保险公司……对风险评估的理解与分析国家政策27号文件提出了明确要求：

要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理2003年，国务院信息办成立风险评估课题组，开展有关调研工作。2005年在银行、税务、电力等行业和部门以及北京、上海、黑龙江、云南等地方开展试点，取得了预期效果。2005年12月，国家网络与信息安全系统小组第五次会议审议通过了《关于开展信息安全风险评估工作的意见》，提出了风险评估的原则、工作要求和工作部署。2006年3月，国务院信息办分别在北京和昆明召开了风险评估文件宣贯会，并印发了《信息安全风险评估指南》。国家发展和改革委员会令[2007]第55号项目建设单位或其委托的专业机构应按照风险评估的相关规定，对建成项目进行信息安全风险评估，检验其网络和信息系统对安全环境变化的适应性及安全措施的有效性，保障信息安全目标的实现2008年8月6日国家发展和改革委员会、公安部、国家保密局《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》发改高技[2008]2071号：国家电子政务网络、重点业务信息系统、基础信息库以及相关支撑体系等国家电子政务工程建设项目，应开展信息安全风险评估工作；非涉密信息系统的信息安全风险评估，有国家信息技术安全研究中心、中国信息安全测评中心、公安部信息安全等级保护评估中心等三家专业测评机构承担国家对风险评估用户范围确定重点部门、重点行业（电信、广电、银行、证券、保险、税务、海关、铁路、民航、电力）的网络信息系统风险评估工作提出了明确要求。掌握信息系统安全现状；获得信息安全评估工作的经验；提高组织管理层和技术人员的技术风险意识；明确今后信息技术安全工作的方向；为行业信息技术安全工作做出了有益的探索。40安全风险评估对组织的意义《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》《GB/T20984-2007信息安全技术信息安全风险评估规范》《GB/T18336-2001信息技术安全技术信息技术安全性评估准则》《GB/T20274-2006信息安全技术信息系统安全保障评估框架》《电子政务信息系统安全保障要求》技术依据信息系统保障风险功能、机制架构、流程漏洞威胁评估概念及关系序号工作方式描述1内部沟通指评估小组内部，或协调员与被评估组织内部、或评估小组和协调员之间的沟通活动。2现场勘查现场勘测是指在项目实施过程中通过现场评估人员对实际环境的观察的方式完成检查评估的某些项工作，比如物理环境与存储介质情况的评估。3访谈评估小组与被评估组织内有关的管理、技术和一般员工进行逐个沟通。根据对评估人员所提问题的回答，评估人员为评估获得相应信息。4研讨会评估小组与被评估组织的若干人员进行交流，从而获得相关信息或就某些问题达成共识。5文档评估文档评估是整个检查评估过程最初的阶段，即在进行现场实施检查评估前静态评估阶段主要的工作内容，对用户提交的各类文档进行审阅。6工具检测评估人员通过自动化的工具检测被评估对象，根据检测的结果，评估人员为评估获得相应信息。7手工检测评估人员通过手工方式读取被评估对象的环境状况、配置情况，从而采集被评估对象的信息。风险评估方式国内外安全标准行业安全规定用户资料技术管理工程-=风险级别安全要求安全现状差距分析法阶段任务工作日启动准备阶段资料准备、调研、评估培训、编写评估8现场测试阶段安全技术测试和安全管理核查7风险分析阶段分析现场检测结果，编制系统安全风险评估报告7安全建议阶段根据用户需求编写安全改进建议书5风险评估时间进度安排网络基础设施1网络架构设计的安全性评估；所使用的网络协议的安全性评估；网络层次设施设备的安全配置检查与评估；网络层次安全脆弱性检测与评估；网络层次的渗透测试；网络层次数据流检测与评估业务支撑平台2应用系统安全3业务应用架构设计、应用协议选用的安全评估；业务应用程序安全功能设计、安全功能实现的测试验证评估；业务信息流设计、业务信息流检测的安全评估；业务应用程序的安全配置核查评估与应用程序渗透测试；安全管理评估4安全管理基础域安全管理核心域安全管理重要过程域安全管理生命周期域网络设备安全设备服务器设备各种WEB服务器系统、中间件系统、数据库系统、企业级防病毒系统等；业务支撑平台系统的安全脆弱性检测与评估；业务支撑平台系统的渗透测试评估内容安全管理审核参考安全管理核心域安全策略风险管理安全管理基础域安全组织体系人事安全资产管理物理和环境安全符合性管理保障过程域应急响应业务持续性生命周期管理域信息安全规划系统开发管理运行管理安全技术评估信息系统安全技术分析检测业务系统安全功能验证测试内部安全脆弱性检测系统体系架构安全性分析安全渗透性测试安全配置检查业务应用系统应用支撑平台信息系统网络基础设施黑盒测试灰盒测试整体分析评估内容渗透测试方式渗透测试内部渗透外部渗透应用层主机层网络层从外到内从上到下检测系统抗外部攻击的能力。评估内容等级标识描述5极高一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大、社会影响恶劣4高一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害3中一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大2低一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决1很低一旦发生造成的影响几乎不存在，通过简单的措施就能弥补风险等级风险评估项目流程风险评估流程资料准备：在启动准备阶段，根据《系统风险评估文档准备说明》准备资料：前期调研：组织评估工作组成员对确定的实施范围进行走访。通过前期快速的调研，评估工作组可以基本掌握评估范围内信息系统和人员的实际情况，并与配合人员进行初步的沟通，确定评估实施中必须具备的技术工具和手段，以及基本的时间安排和必要的工作准备。评估培训：评估实施前对被评估单位工作人员进行的评估基本概念、实施过程等相关基础知识的宣贯和阐明的过程。通过信息安全风险评估培训，试点单位相关的人员初步掌握了评估的基本知识，明确了工作的目的、意义和工作的重点，为试点工作的顺利开展打下了良好的基础。风险控制方案：评估工作本身不可避免地会带来各种风险。实施风险控制主要包括实施风险分析和根据具体评估范围制定的风险控制方案。评估项目管理计划：根据评估项目的实施特性，制定了信息安全风险评估项目控制与管理计划启动准备阶段资产评估：资产评估是确定资产在信息安全属性（机密性、完整性、可用性等）缺失时，对信息系统造成的影响的过程。在实际的评估中，资产评估包含：资产识别、资产安全要求识别、资产赋值威胁评估：威胁评估是通过技术手段、统计数据和经验判断来确定信息系统面临的威胁的过程。威胁评估中的主要工作包括两个方面，一是要根据特定资产运行环境来确定其所面临的威胁来源，另一方面要确定这些威胁的严重程度和发生的频率。每个资产由于所处的环境不同，面临的威胁也不尽相同，因此对评估范围内的资产需要根据资产评估的分类结果