信息产业信息安全测评中心基本情况及业务

优选信息产业信息安全测评中心基本情况及业务当前第1页\共有37页\编于星期六\21点提纲单位介绍01经验及能力简介02当前第2页\共有37页\编于星期六\21点单位介绍（一）华北计算技术研究所（中国电子科技集团公司第十五研究所）成立于1958年是全民所有制国家一类科研事业单位注册资金1.0641亿元1998年，工业和信息化部（原电子工业部）依托中国电子科技集团公司第十五研究所，授权其成立“电子工业部计算机安全技术检测中心”，2011年经工信部批示，更名为“信息产业信息安全测评中心”中央网信办技术支持单位国家网络与信息安全信息通报机制技术支持单位工信部重点领域信息安全检查技术支持队伍公安部和北京市公安局网安安全检查与应急技术支持单位当前第3页\共有37页\编于星期六\21点单位介绍（二）--所具备的认证认可相关资质工业和信息化部最早成立及授权专门从事信息系统测评和信息安全产品测试及技术服务的检测机构中国认证认可监督管理委员会（CMA）计量认证/资质认定资质中国合格评定国家认可委员会（CNAS）认可检测实验室（CNASL0293）中国合格评定国家认可委员会（CNAS）认可检验机构（CNASIB0046）信息安全等级保护测评机构推荐证书（国-008）中国人民银行授权非金融机构支付服务业务系统检测机构和移动金融技术服务认证检测机构信息安全风险评估服务资质认证证书（一级）（ISCCC-2010-ISV-RA-003）中国国家认证认可监督管理委员会授权国家信息安全产品强制性检测实验室工业和信息化部工业产品质量控制和技术评价实验室信息安全管理体系认证证书（GB/T22080--ISO/IEC27001）信息产业部授权通信电子质量监督检验机构国家税务局指定软件产品增值税退税检测机构北京市经信委北京市财政局北京市国税局指定软件产品增值税退税检测与登记测试机构当前第4页\共有37页\编于星期六\21点单位介绍（三）--所具备的安全管理制度国家认可实验室遵循标准

ISO/IEC17025:2005检测和校准实验室能力的通用要求

GB/T27025-2008检测和校准实验室能力的通用要求国家认可检查机构遵循标准ISO/IEC17020:1998各类检查机构能力的通用要求GB/T18346-2001各类检查机构能力的通用要求计量认证合格单位遵循准则实验室资质认定评审准则信息安全管理体系认证标准ISO/IEC27001:2005信息技术安全技术信息安全管理体系要求GB/T22080-2008信息技术安全技术信息安全管理体系要求当前第5页\共有37页\编于星期六\21点单位介绍（三）--所具备的安全管理制度2013年中心质量体系现行有效版本为5.0，中心管理体系已经有效运行十三年，并一直持续改进。测评／检查过程控制程序》中心运行的管理体系当前第6页\共有37页\编于星期六\21点单位介绍（三）--所具备的安全管理制度持续通过中国合格评定国家认可委员会（CNAS）认可的实验室和检查机构监督评审和复评审通过ISO27001信息安全认证体系监督审核和复评审质量目标测评报告的合格率达到100%，客户满意度达到96%质量方针当前第7页\共有37页\编于星期六\21点单位介绍（四）--设备与设施智能卡产品测试设备与工具1. Java卡安全性检测平台2. 智能卡COS安全性检测平台3. 随机数质量检测平台4. 非接触式智能卡协议分析仪5. SWP测试套件6. 接触式智能卡测试仪-MP300TC27. 接触式智能卡测试仪-MP300TC38. 非接触式智能卡测试仪-MP300TCL29. MP300TCL2扩展模块10. 智能卡通信协议分析仪-STAR315011. 智能卡旁路攻击分析测试平台-InspectorSCA12. 智能卡故障注入分析测试平台-InspectorFI系统当前第8页\共有37页\编于星期六\21点单位介绍（四）--设备与设施信息安全产品测试设备与工具在设备设施方面，中心购置了相应的测评设备和工具协议分析仪、思博伦万兆性能测试仪、IXIA性能测试仪当前第9页\共有37页\编于星期六\21点单位介绍（四）--设备与设施移动互联网应用软件源代码安全审计分析平台当前第10页\共有37页\编于星期六\21点单位介绍（四）--设备与设施信息系统安全与软件测试设备与工具1. 绿盟远程安全评估系统2. 安信通数据库安全扫描和渗透系统3. 明鉴数据库弱点扫描器4. IBMRationalAppScan应用安全扫描和分析系统5. WebRavor应用安全扫描系统6. AcunetixWVS应用安全漏洞扫描和分析软件7. BackTrack5安全检测套件8. 软件测试管理工具-MercuryQualityCenter9. 软件产品性能测试软件-HPLoadRunner10. 软件源代码安全检测工具-FortifysoftwareSCAWebRavor当前第11页\共有37页\编于星期六\21点单位介绍（四）--设备与设施设备设施配置中心还根据测评需要，自行研发了一批测试管理平台和工具信息安全等级保护测评管理平台自动生成测评表单、基于知识库提出风险建议当前第12页\共有37页\编于星期六\21点单位介绍（四）--设备与设施非金融机构系统测试管理平台当前第13页\共有37页\编于星期六\21点单位介绍（四）--设备与设施设备设施配置自主研发了攻防演练平台、测试管理平台、工具和作业指导书Web常见漏洞攻防演练平台信息系统风险评估作业指导书信息系统安全等级保护测评现场核查表及作业指导书风险评估问卷生成及管理系统软件登记测试项目管理平台当前第14页\共有37页\编于星期六\21点单位介绍（四）--设备与设施重要信息系统安全监测及风险预警网站漏洞网站木马、暗链网站关键字网站篡改网站可用性《信息系统安全事件报告》（如果监测发现安全事件）《信息系统安全监测预警报告（月）》《信息系统安全趋势分析报告（年度）》当前第15页\共有37页\编于星期六\21点单位介绍（五）--人员资质国家认证认可监督管理委员会实验室资质认定评审员中国合格评定国家认可委员会（CNAS）实验室和检验机构技术评审员中国合格评定国家认可委员会（CNAS）实验室和检验机构主任评审员中国合格评定国家认可委员会（CNAS）评定委员会委员中国合格评定国家认可委员会（CNAS）信息技术专业委员会委员全国信息安全标准委员会信息安全评估工作组及信息安全管理工作组成员北京市公安局网络信息安全专家工业和信息化部电子信息产品质量监督管理专业技术委员会成员工信部电子信息产业发展基金专家信息安全产品认证技术专家国家金卡工程安全工作组副组长北京市信息化专家咨询委员会委员北京市政府采购评审专家当前第16页\共有37页\编于星期六\21点单位介绍（五）--人员资质从事专业检测工作技术人员信息安全等级测评师（高级/中级/初级）注册信息安全专业人员（CISP）国家注册ISMS审核员（ISO27001：2005）OWASPWEB应用安全认证专家@secPenetrationTest渗透性测试应用系统性能测试与故障诊断HPFortify源代码分析培训证书非金融机构支付服务业务系统检测人员软件性能测试高级工程师软件测试工程师当前第17页\共有37页\编于星期六\21点提纲单位介绍01经验及能力简介02当前第18页\共有37页\编于星期六\21点等级保护能力概述（一）中心具有深厚的测评技术能力，能够贯彻执行相关工作我中心是目前全国开展信息安全等级测评师培训的两家机构之一。中心作为主办单位，连续三年组织开展了全国信息安全等级测评能力验证活动，参与单位已覆盖到全国所有等级测评机构，其中所有考题均由我中心技术人员设计，并搭建现场考试环境。我中心还是“中关村信息安全测评联盟”（全国130余家等级测评机构发起成立）副理事长单位。我中心霍珊珊副主任被聘为国家信息安全等级保护安全建设工程师培训专家讲师；中心还是“网安护城河”工程协办单位，中心张益和董晶晶副总工均为特邀讲师（总计共30位信息安全业界知名讲师）。当前第19页\共有37页\编于星期六\21点等级保护能力概述（二）中心是全国最早开展等级保护相关工作的单位之一2009年，公安部发布《关于开展信息安全等级保护测评体系建设试点工作的通知》（公信安[2009]812号），其中明确指出我中心作为全国首批（共3家）信息安全等级保护测评体系建设试点工作单位，开展等级测评体系实施试点工作。中心全程参与了全国信息安全等级保护测评体系建设工作，对等级测评具有深刻的理解。当前第20页\共有37页\编于星期六\21点等级保护能力概述（三）中心是等级保护相关制度、标准制修订工作的重要参与单位中心作为等级保护系列标准牵头和参与单位，对各类制度、标准具有深刻的认识；其中，牵头编制了《信息安全技术信息系统安全等级保护测评要求第4部分：对物联网系统的扩展测评要求》、《信息安全技术信息系统安全等级保护安全管理中心技术要求》等标准，参与制定了《信息安全技术信息系统等级保护物联网安全设计技术指南》、《信息安全技术信息系统安全等级保护基本要求第4部分：对物联网系统的扩展安全要求》、《信息安全技术信息系统安全等级保护测评要求第5部分：对工业控制系统的扩展测评要求》、《信息安全等级保护检查规范》等制度及标准；中心还作为主要参与单位，对《GB/T28449-2012信息安全技术信息系统安全等级保护测评过程指南》进行了修订。当前第21页\共有37页\编于星期六\21点等级保护能力概述（四）中心作为技术支撑队伍，为等级保护工作的开展保驾护航我中心是信息与网络安全保卫工作技术保障单位，是国家网络与信息安全通报机制技术支持单位，是中央网信办、公安部、北京市公安局网安总队、文化保卫总队、内部单位保卫局等主管部门的技术支持单位；常年配合各主管部门开展等级保护监督检查工作，并作为主要撰写单位，编制了《信息安全等级保护检查规范》，目前已成为北京市公安局开展等级保护监督检查工作的重要依据。当前第22页\共有37页\编于星期六\21点多方信息安全技术支持工作2012-2015年重点领域信息安全抽查工作。涉及国家部委、党政机关等关键部门面向互联网的应用系统1000多个。中央网络安全和信息化领导小组办公室2013-2015年度网络安全态势分析及专题研究报告：互联网服务器安全状况分析等。网络安全规划相关材料编写、央企信安培训等承办2012年-2016年信息安全等级保护测评能力检查机构能力验证活动共涉及参与机构140余家。参与中国人民银行非金融机构和移动金融技术服务认证检测体系建立，参与编制规范、标准体系报告编制，并在能力验证和算法破解方面名列前茅。支持北京市公安局网络安全总队：应急技术支持、安全渗透测试、网安启明星、地方检查标准等国家网络与信息安全信息通报中心中国合格评定国家认可委认可委（CNAS）国家部委和重要行业主管部门……当前第23页\共有37页\编于星期六\21点中心技术能力对于等级保护的支撑信息安全等级保护支撑工作物联网信息安全测评公共服务平台移动应用安全测评平台云计算安全测评平台智能卡渗透性测试平台信息安全等级保护测评能力验证平台信息安全等级保护测评管理平台Web安全远程监测与挖掘平台信息安全产品安全性测评平台当前第24页\共有37页\编于星期六\21点1、信息安全等级保护测评能力验证平台配置主流操作系统、交换设备、安全设备和应用系统的模拟系统环境。当前第25页\共有37页\编于星期六\21点2、信息安全等级保护测评管理平台自主研发有效提高项目实施的准确性、规范性和一致性实现测评表单生成和测评结果统计的自动化基于知识库推荐合理化整改建议自动生成符合标准要求的测评报告（2015版）保障测评质量是对等级保护测评工作最大的保障，也是最应该尽到的责任当前第26页\共有37页\编于星期六\21点3、Web安全远程监测与漏洞挖掘平台Web安全远程监测与漏洞挖掘平台Web漏洞监测暗链篡改监测突发漏洞专项排查SQL注入远程命令执行跨站脚本越权对象访问博彩广告反动漏洞排查与验证Struts2OpenSSLBash开源组件应用程序不安全配置备份文件或源代码泄漏任意文件上传中间件不安全配置当前第27页\共有37页\编于星期六\21点3、Web安全远程监测与漏洞挖掘平台CNVD国家漏洞共享平台证明等保技术大会论文基于等级保护的应用安全问题分类及工具实现当前第28页\共有37页\编于星期六\21点4、信息安全产品安全性测评平台某安全产品厂商垂直越权问题的例子https://IP:8889/cgi-bin/webgate?username=auditor，将地址栏URL中username=auditor修改为name=admin，访问修改后的链接，跳转到设备超级管理员的界面当前第29页\共有37页\编于星期六\21点4、信息安全产品安全性测评平台测试工具软件著作权证书当前第30页\共有37页\编于星期六\21点5、移动应用安全测评平台移动APP源代码安全审计分析平台——白盒通过构建移动应用软件源代码安全审计分析平台，针对数据流、语义、结构、控制流、配置流等方面，对源代码进行静态分析。移动互联网系统与应用安全国家工程实验室当前第31页\共有37页\编于星期六\21点5、移动应用安全测评平台移动终端APP应用安全评估——黑盒《移动应用软件安全测试评估框架与方法》当前第32页\共有37页\编于星期六\21点6、物联网信息安全测评公共服务平台物联网信息安全测评公共服务平台《物联网RFID应用系统安全等级保护研究》当前第33页\共有37页\编于星期六\21点7、云计算安全测评平台云计算虚拟化测评平台《虚拟环境下虚拟机监控器的应用对信息安全等级保护的影响研究》《云计算信息系统等级保护安全设计要求初探》当前第34页\共有37页\编于星期六\21点8、智能卡渗透性测试平台智能卡渗透性测试平台智能卡旁路攻击分析测试平台支持多种侧信道分析，对智能卡进行SPA、DPA、EMA、EMA-RF、RFA攻击。智能卡故障注入分析测试平台能够对智能卡进行故障注入攻击测试，测试者能够根据分析确认精确、可靠的错误注入时机，可以进行时钟和电压glitching的错误注入攻击。当前第35页\共有37页\编于星期六\21点8、智能卡渗