信息安全测评认证

信息平安测评认证

开展状况中国信息平安产品测评认证中心李守鹏2004年7月3日2004年7月3日主要内容一、测评认证的起因二、测评认证的作用三、测评认证体制四、国外测评认证的开展情况五、我国测评认证的开展情况六、测评认证的开展趋势一、测评认证的起因2004年7月3日信息平安与信息平安保障TCSEC的产生背景TCSEC评估向CC评估的过度我国信息平安测评认证的产生二、测评认证的作用2004年7月3日对国家信息平安保障的作用对信息平安产业的作用促进产品平安质量的提高有利于信息平安市场的良性开展促进产品的国际竞争能力对用户的作用指导用户选择合格的IT产品IT平安产品支持平安的IT产品是用户建设平安的信息系统的根底保护用户的信息财产平安三、测评认证体制2004年7月3日测评认证体制的构成认证体制主要包括三个方面测评认证标准〔准那么〕方法论测评认证组织体系测评认证标准和方法论测评认证组织体系评估机构〔实验室〕中国信息平安产品测评认证中心

认证机构认可机构〔CNAB/CNAL〕证书认可授权认证评估机构〔实验室〕评估机构〔实验室〕评估机构〔实验室〕认可认证主要流程评估目标ETR评估文档批准评估技术报告准备评估开展评估进行认证评估技术报告认证维持认证报告证书四、国外测评认证

开展情况2004年7月3日欧洲国家和地区89-93年加拿大89-93年通用准则计划93年起ISOIS15408‘99美国TCSEC83/85年CTCPEC93年联邦准则92年通用准则（CC1.0）96年通用准则（CC2.1）99年NIST’sMSFR90年ITSEC1.291年ISO92年起=CC的意义建立了国际统一标准ISO/IEC15408建立了国际互认根底为产品开发提供了参照使产品在国际上广泛可得CC国际互认情况测评标准的相关工作美国国家认证机构多个授权测试实验室认证申请者国家实验室认可程序管理监督指导评估结果美国测评认证体系模式NIAP认证机构国家志愿实验室认可程序ISO标准(导那么65)已批准实验室列表已批准测试方法列表认证报告已认证产品列表通用准那么证书－消费者组－本国政府－本国非政府－国外政府－国外非政府－平安社团体制需要评估结果认可ISO/IEC(导那么25)要求通用准那么测试实验室评估发起者〔IT产品或保护轮廓〕IT平安评估要求美国信息平安认证程序主任副主任质量主管资料/信息主管技术监督主管资源主管人事部培训部项目部评估部认证部证书管理文档控制资料管理证书维护机构管理美国测评认证机构的内部结构美国信息平安测评认证开展情况美国信息平安测评认证证书目前只颁发通用准那么〔CC〕证书美国信息平安测评机构目前批准的通用准那么测试实验室〔CCTL〕有8个，它们是：BoozAllenHamiltonCommonCriteriaTestingLaboratoryCableandWirelessCommonCriteriaTestingLaboratoryCOACTInc.CAFELaboratoryComputerSciencesCorporationCriterianIndependentLabsCygnaComSolutions'SecurityEvaluationLaboratoryInfoGardLaboratories,IncSAICCommonCriteriaTestingLaboratory美国认证体系公开出版物目录

1 体制出版物#1组织、管理和运作概念2体制出版物#2认证机构标准运作程序3体制出版物#3IT平安评估的认证员指南4体制出版物#4通用准那么测试实验室指南5 体制出版物#5IT平安评估发起者指南6 体制出版物#5〔未发布〕证书维持标准英国通信电子平安局〔CESG〕负责管理和运行英国的信息平安测评认证体系英国信息平安测评认证开展历程1〕1991年开始依据ITSEC评估与认证，2〕从1999年ISO15408正式发布起，也同时开始依据CC的评估与认证。已进行了10多年的测评认证，比较成熟。

英国的测评认证体系英国的信息平安测评认证体系是1991年由掌管英国电子情报的皇家通信电子平安局〔CESG〕与主管产业标准化工作的贸易与工业部〔DTI〕共同建立的，其体系结构与美国根本相同通信电子安全局贸易与产业部国家测评认证机构授权测评机构申请者国家认可程序测评认证管理委员会委托者认证报告证书UKASCLEF开发者认证机构发起者评估体系管委会实验室认可认证评估工作程序观测报告评估技术报告批准和使用信息系统制订策略和技术监督观测报告评估对象授权CLEF安全目标评估对象安全目标可交付性可交付性观测报告英国信息平安认证程序英国信息平安测评认证方法两种测评标准及方法并存：ITSEC和ITSEMCC和CEM

英国信息平安测评认证证书目前颁发两种证书：ITSEC证书、通用准那么证书英国信息平安测评机构目前批准的商业性评估机构共有5家，分别是：1)

AdmiralManagementServices公司2)

EDSLtd3)

LogicaUKLtd4)

Syntegra5)

IBMGlobalServices英国认证体系公开出版物目录1.UKSP01 英国ITSEC平安评估体制描述2.UKSP02 商业评估机构认可3.UKSP04/1 开发者指南第1局部：ITSEC中的开发者任务4.UKSP04/2 开发者指南第2局部：开发者参考资料5.UKSP04/3 开发者指南第3局部：向开发者提供的建议6.UKSP12 在系统评估过程中认可文档与评估平安目标之间的关系7.UKSP16/1 英国证书维持体制第1局部：认证维持的描述8.UKSP16/2 英国证书维持体制第2局部：影响分析及评估方法澳大利亚国防情报总局〔DSD〕负责管理和运行澳大利亚的信息平安测评认证体系澳大利亚信息平安测评认证

开展历程1〕从1994年9月到1997年8月试运行依据ITSEC评估与认证，2〕从1998年6月至今，向基于CC的评估和认证过渡测评认证的时间不太长，正在逐步成熟澳大利亚信息平安测评认证方法早期为TCSEC目前为CC和CEM

澳大利亚信息平安测评认证证书目前只颁发通用准那么〔CC〕证书澳大利亚信息平安测评机构澳大利亚目前有3个完全授权的测评机构

CSCLogicaCMG

Tenix

Defence

加拿大通信平安机构〔CSE〕负责管理和运行加拿大的信息平安测评认证体系加拿大信息平安测评认证开展历程1989年开始依据TCSEC评估，分为三个阶段：1989年1993年，依赖别国标准〔即TCSEC〕阶段；1993年1998年，依据本国标准〔即CTCPEC〕阶段；从1998年至今，依据CC评估阶段已进行了10多年的测评认证，比较成熟。加拿大信息平安测评认证方法早期为TCSEC和TCSEM中期为CTCPEC目前为CC和CEM

加拿大信息平安测评认证证书目前只颁发通用准那么证书加拿大信息平安测评机构目前批准了3家商业性测评机构

CGIInformationSystemsandManagementConsultantsIncDOMUSITSecurityLaboratoryEWA-Canada德国信息平安局〔GISA〕负责管理和运行德国的信息平安测评认证体系德国信息平安测评认证开展历程1〕1991年开始依据ITSEC评估与认证，2〕从1999年ISO15408正式发布起，也同时开始依据CC的评估与认证。已进行了10多年的测评认证，比较成熟。德国信息平安局的组织结构局长副局长1处综合管理2处认证认可3处密码平安5处系统平安6处咨询支持6个科5个科6个科4个科7个科5个科共340人德国信息平安测评认证方法两种测评标准及方法并存：ITSEC和ITSEMCC和CEM

德国信息平安测评认证证书目前颁发两种证书：ITSEC证书、通用准那么证书德国信息平安测评机构德国BSI目前已认可了10家商业性公司作为其评估机构，这10家评估机构是：AtsecinformationsecurityGmbH

Prüfstelle

fürIT-Sicherheit

CompetenceCenterInformatikGmbHPrüfstelleIT-Sicherheit

CSCPloenzkeAGDeutsches

Forschungszentrum

für

künstliche

IntelligenzGmbH

PrüfstelleIT-Sicherheit

Industrieanlagen-Betriebsgesellschaft

mbH

SRCSecurityResearch&ConsultingGmbHPrüfstelle

fürIT-Sicherheit

Tele-ConsultingGmbH

Prüflabor

fürIT-Sicherheit

T-SystemsGEIGmbH

PrüfstelleIT-Sicherheit

TÜVInformationstechnikGmbH

-ein

Unternehmen

derRWTÜV-

Gruppe-Prüfstelle

fürIT-Sicherheit

TÜVNord

e.V.

Software&ElektronikLabor

(SEELAB)法国FrenchITEvaluationandCertificationScheme信息系统平安局〔SCSSI〕负责管理和运行法国的信息平安测评认证体系法国信息平安测评认证开展历程1〕1995年开始依据ITSEC评估与认证，2〕从1999年ISO15408正式发布起，也同时开始依据CC的评估与认证。管理委员会国家认证机构授权测评机构开发者发起者法国的信息平安测评认证体系建于1995年9月，认证工作由法国情报部门管理，其体系结构如下：法国的信息平安测评认证体系法国信息平安测评认证方法两种测评标准及方法并存：ITSEC和ITSEMCC和CEM

法国信息平安测评认证证书目前颁发两种证书：ITSEC证书、通用准那么证书法国信息平安测评机构韩国IT平安评估与认证KISA的组织结构图董事会主席监督委员会信息安全计划部信息安全技术部信息安全评估与CA部信息基础设施保护部综合管理部个人信息协调秘书部计划与协调组安全政策研究组教育与公共联络组安全技术标准化组密码技术组先进系统与网络安全组IT安全评估准则组IT安全评估组IIT安全评估组II韩国中央CA反黑客与病毒咨询组信息基础设施保护组技术援助组信息安全产业支持中心综合事务组财务组资产管理组个人信息保护中心争议调解组个人信息协调委员会韩国评估与认证流程信息与通信部开发者发起者国家情报暑KISA/评估者用户IT产品/评估证据支持对评估证据开发/补充颁发认证结果与证书准那么一致性推荐认证体制运作推荐通过认证的产品提供通过认证的产品清单对评估结果认证评估报告国际测评认证开展成就〔1〕认证的PP数统计国际测评认证开展成就〔2〕CC认证的产品数统计国际测评认证开展成就〔3〕

认证的产品类型统计国际测评认证开展成就〔4〕

认证的产品EAL级别统计国际测评认证开展成就〔5〕

认证证书数统计五、我国测评认证

开展情况2004年7月3日我国信息平安管理体系国家高度重视认证认可工作国家高度重视认证认可工作国家高度重视信息平安测评认证工作锦涛同志在在2000年3月29日的信息网络平安协调会议上强调“要建设好信息平安测评认证中心〞邦国同志曾在报告上批示：信息平安认证中心的工作很重要，是确保国家信息平安，促进互联网健康开展的重大举措，又是当前急需解决的紧迫问题测评认证中心的建设过程(1)测评认证中心的建设过程(2)测评认证中心的建设过程(3)国家信息平安测评认证体系组成结构中国信息平安产品测评认证中心授权测试实验室国家实验室认可程序ISO65、25认证申请者授权质管测试报告申报测试报告评估报告认证证书监管机构(CNCA)国家认证实体授权测评机构认证中心的性质中国信息平安产品测评认证中心是经中央批准成立的、代表国家实施信息平安测评认证的职能机构，依据国家有关产品质量认证和信息平安管理的法律法规，管理和运行国家信息平安测评认证体系认证中心的主要职能任务中心标志中国信息安全产品测评认证中心CHINAINFORMATIONTECHNOLOGYSECURITYCERTIFICATIONCENTERCNITSEC中华人民共和国国家信息安全认证认证标志CNITSEC测评认证体系的