信息平安測(cè)評(píng)認(rèn)證

開展?fàn)顩r中國(guó)信息平安產(chǎn)品測(cè)評(píng)認(rèn)證中心李守鵬2004年7月3日2004年7月3日主要內(nèi)容一、測(cè)評(píng)認(rèn)證的起因二、測(cè)評(píng)認(rèn)證的作用三、測(cè)評(píng)認(rèn)證體制四、國(guó)外測(cè)評(píng)認(rèn)證的開展情況五、我國(guó)測(cè)評(píng)認(rèn)證的開展情況六、測(cè)評(píng)認(rèn)證的開展趨勢(shì)一、測(cè)評(píng)認(rèn)證的起因2004年7月3日信息平安與信息平安保障TCSEC的產(chǎn)生背景TCSEC評(píng)估向CC評(píng)估的過度我國(guó)信息平安測(cè)評(píng)認(rèn)證的產(chǎn)生二、測(cè)評(píng)認(rèn)證的作用2004年7月3日對(duì)國(guó)家信息平安保障的作用對(duì)信息平安產(chǎn)業(yè)的作用促進(jìn)產(chǎn)品平安質(zhì)量的提高有利于信息平安市場(chǎng)的良性開展促進(jìn)產(chǎn)品的國(guó)際競(jìng)爭(zhēng)能力對(duì)用戶的作用指導(dǎo)用戶選擇合格的IT產(chǎn)品IT平安產(chǎn)品支持平安的IT產(chǎn)品是用戶建設(shè)平安的信息系統(tǒng)的根底保護(hù)用戶的信息財(cái)產(chǎn)平安三、測(cè)評(píng)認(rèn)證體制2004年7月3日測(cè)評(píng)認(rèn)證體制的構(gòu)成認(rèn)證體制主要包括三個(gè)方面測(cè)評(píng)認(rèn)證標(biāo)準(zhǔn)〔準(zhǔn)那么〕方法論測(cè)評(píng)認(rèn)證組織體系測(cè)評(píng)認(rèn)證標(biāo)準(zhǔn)和方法論測(cè)評(píng)認(rèn)證組織體系評(píng)估機(jī)構(gòu)〔實(shí)驗(yàn)室〕中國(guó)信息平安產(chǎn)品測(cè)評(píng)認(rèn)證中心

認(rèn)證機(jī)構(gòu)認(rèn)可機(jī)構(gòu)〔CNAB/CNAL〕證書認(rèn)可授權(quán)認(rèn)證評(píng)估機(jī)構(gòu)〔實(shí)驗(yàn)室〕評(píng)估機(jī)構(gòu)〔實(shí)驗(yàn)室〕評(píng)估機(jī)構(gòu)〔實(shí)驗(yàn)室〕認(rèn)可認(rèn)證主要流程評(píng)估目標(biāo)ETR評(píng)估文檔批準(zhǔn)評(píng)估技術(shù)報(bào)告準(zhǔn)備評(píng)估開展評(píng)估進(jìn)行認(rèn)證評(píng)估技術(shù)報(bào)告認(rèn)證維持認(rèn)證報(bào)告證書四、國(guó)外測(cè)評(píng)認(rèn)證

開展情況2004年7月3日歐洲國(guó)家和地區(qū)89-93年加拿大89-93年通用準(zhǔn)則計(jì)劃93年起ISOIS15408‘99美國(guó)TCSEC83/85年CTCPEC93年聯(lián)邦準(zhǔn)則92年通用準(zhǔn)則（CC1.0）96年通用準(zhǔn)則（CC2.1）99年NIST’sMSFR90年ITSEC1.291年ISO92年起=CC的意義建立了國(guó)際統(tǒng)一標(biāo)準(zhǔn)ISO/IEC15408建立了國(guó)際互認(rèn)根底為產(chǎn)品開發(fā)提供了參照使產(chǎn)品在國(guó)際上廣泛可得CC國(guó)際互認(rèn)情況測(cè)評(píng)標(biāo)準(zhǔn)的相關(guān)工作美國(guó)國(guó)家認(rèn)證機(jī)構(gòu)多個(gè)授權(quán)測(cè)試實(shí)驗(yàn)室認(rèn)證申請(qǐng)者國(guó)家實(shí)驗(yàn)室認(rèn)可程序管理監(jiān)督指導(dǎo)評(píng)估結(jié)果美國(guó)測(cè)評(píng)認(rèn)證體系模式NIAP認(rèn)證機(jī)構(gòu)國(guó)家志愿實(shí)驗(yàn)室認(rèn)可程序ISO標(biāo)準(zhǔn)(導(dǎo)那么65)已批準(zhǔn)實(shí)驗(yàn)室列表已批準(zhǔn)測(cè)試方法列表認(rèn)證報(bào)告已認(rèn)證產(chǎn)品列表通用準(zhǔn)那么證書－消費(fèi)者組－本國(guó)政府－本國(guó)非政府－國(guó)外政府－國(guó)外非政府－平安社團(tuán)體制需要評(píng)估結(jié)果認(rèn)可ISO/IEC(導(dǎo)那么25)要求通用準(zhǔn)那么測(cè)試實(shí)驗(yàn)室評(píng)估發(fā)起者〔IT產(chǎn)品或保護(hù)輪廓〕IT平安評(píng)估要求美國(guó)信息平安認(rèn)證程序主任副主任質(zhì)量主管資料/信息主管技術(shù)監(jiān)督主管資源主管人事部培訓(xùn)部項(xiàng)目部評(píng)估部認(rèn)證部證書管理文檔控制資料管理證書維護(hù)機(jī)構(gòu)管理美國(guó)測(cè)評(píng)認(rèn)證機(jī)構(gòu)的內(nèi)部結(jié)構(gòu)美國(guó)信息平安測(cè)評(píng)認(rèn)證開展情況美國(guó)信息平安測(cè)評(píng)認(rèn)證證書目前只頒發(fā)通用準(zhǔn)那么〔CC〕證書美國(guó)信息平安測(cè)評(píng)機(jī)構(gòu)目前批準(zhǔn)的通用準(zhǔn)那么測(cè)試實(shí)驗(yàn)室〔CCTL〕有8個(gè)，它們是：BoozAllenHamiltonCommonCriteriaTestingLaboratoryCableandWirelessCommonCriteriaTestingLaboratoryCOACTInc.CAFELaboratoryComputerSciencesCorporationCriterianIndependentLabsCygnaComSolutions'SecurityEvaluationLaboratoryInfoGardLaboratories,IncSAICCommonCriteriaTestingLaboratory美國(guó)認(rèn)證體系公開出版物目錄

1 體制出版物#1組織、管理和運(yùn)作概念2體制出版物#2認(rèn)證機(jī)構(gòu)標(biāo)準(zhǔn)運(yùn)作程序3體制出版物#3IT平安評(píng)估的認(rèn)證員指南4體制出版物#4通用準(zhǔn)那么測(cè)試實(shí)驗(yàn)室指南5 體制出版物#5IT平安評(píng)估發(fā)起者指南6 體制出版物#5〔未發(fā)布〕證書維持標(biāo)準(zhǔn)英國(guó)通信電子平安局〔CESG〕負(fù)責(zé)管理和運(yùn)行英國(guó)的信息平安測(cè)評(píng)認(rèn)證體系英國(guó)信息平安測(cè)評(píng)認(rèn)證開展歷程1〕1991年開始依據(jù)ITSEC評(píng)估與認(rèn)證，2〕從1999年ISO15408正式發(fā)布起，也同時(shí)開始依據(jù)CC的評(píng)估與認(rèn)證。已進(jìn)行了10多年的測(cè)評(píng)認(rèn)證，比較成熟。

英國(guó)的測(cè)評(píng)認(rèn)證體系英國(guó)的信息平安測(cè)評(píng)認(rèn)證體系是1991年由掌管英國(guó)電子情報(bào)的皇家通信電子平安局〔CESG〕與主管產(chǎn)業(yè)標(biāo)準(zhǔn)化工作的貿(mào)易與工業(yè)部〔DTI〕共同建立的，其體系結(jié)構(gòu)與美國(guó)根本相同通信電子安全局貿(mào)易與產(chǎn)業(yè)部國(guó)家測(cè)評(píng)認(rèn)證機(jī)構(gòu)授權(quán)測(cè)評(píng)機(jī)構(gòu)申請(qǐng)者國(guó)家認(rèn)可程序測(cè)評(píng)認(rèn)證管理委員會(huì)委托者認(rèn)證報(bào)告證書UKASCLEF開發(fā)者認(rèn)證機(jī)構(gòu)發(fā)起者評(píng)估體系管委會(huì)實(shí)驗(yàn)室認(rèn)可認(rèn)證評(píng)估工作程序觀測(cè)報(bào)告評(píng)估技術(shù)報(bào)告批準(zhǔn)和使用信息系統(tǒng)制訂策略和技術(shù)監(jiān)督觀測(cè)報(bào)告評(píng)估對(duì)象授權(quán)CLEF安全目標(biāo)評(píng)估對(duì)象安全目標(biāo)可交付性可交付性觀測(cè)報(bào)告英國(guó)信息平安認(rèn)證程序英國(guó)信息平安測(cè)評(píng)認(rèn)證方法兩種測(cè)評(píng)標(biāo)準(zhǔn)及方法并存：ITSEC和ITSEMCC和CEM

英國(guó)信息平安測(cè)評(píng)認(rèn)證證書目前頒發(fā)兩種證書：ITSEC證書、通用準(zhǔn)那么證書英國(guó)信息平安測(cè)評(píng)機(jī)構(gòu)目前批準(zhǔn)的商業(yè)性評(píng)估機(jī)構(gòu)共有5家，分別是：1)

AdmiralManagementServices公司2)

EDSLtd3)

LogicaUKLtd4)

Syntegra5)

IBMGlobalServices英國(guó)認(rèn)證體系公開出版物目錄1.UKSP01 英國(guó)ITSEC平安評(píng)估體制描述2.UKSP02 商業(yè)評(píng)估機(jī)構(gòu)認(rèn)可3.UKSP04/1 開發(fā)者指南第1局部：ITSEC中的開發(fā)者任務(wù)4.UKSP04/2 開發(fā)者指南第2局部：開發(fā)者參考資料5.UKSP04/3 開發(fā)者指南第3局部：向開發(fā)者提供的建議6.UKSP12 在系統(tǒng)評(píng)估過程中認(rèn)可文檔與評(píng)估平安目標(biāo)之間的關(guān)系7.UKSP16/1 英國(guó)證書維持體制第1局部：認(rèn)證維持的描述8.UKSP16/2 英國(guó)證書維持體制第2局部：影響分析及評(píng)估方法澳大利亞國(guó)防情報(bào)總局〔DSD〕負(fù)責(zé)管理和運(yùn)行澳大利亞的信息平安測(cè)評(píng)認(rèn)證體系澳大利亞信息平安測(cè)評(píng)認(rèn)證

開展歷程1〕從1994年9月到1997年8月試運(yùn)行依據(jù)ITSEC評(píng)估與認(rèn)證，2〕從1998年6月至今，向基于CC的評(píng)估和認(rèn)證過渡測(cè)評(píng)認(rèn)證的時(shí)間不太長(zhǎng)，正在逐步成熟澳大利亞信息平安測(cè)評(píng)認(rèn)證方法早期為TCSEC目前為CC和CEM

澳大利亞信息平安測(cè)評(píng)認(rèn)證證書目前只頒發(fā)通用準(zhǔn)那么〔CC〕證書澳大利亞信息平安測(cè)評(píng)機(jī)構(gòu)澳大利亞目前有3個(gè)完全授權(quán)的測(cè)評(píng)機(jī)構(gòu)

CSCLogicaCMG

Tenix

Defence

加拿大通信平安機(jī)構(gòu)〔CSE〕負(fù)責(zé)管理和運(yùn)行加拿大的信息平安測(cè)評(píng)認(rèn)證體系加拿大信息平安測(cè)評(píng)認(rèn)證開展歷程1989年開始依據(jù)TCSEC評(píng)估，分為三個(gè)階段：1989年1993年，依賴別國(guó)標(biāo)準(zhǔn)〔即TCSEC〕階段；1993年1998年，依據(jù)本國(guó)標(biāo)準(zhǔn)〔即CTCPEC〕階段；從1998年至今，依據(jù)CC評(píng)估階段已進(jìn)行了10多年的測(cè)評(píng)認(rèn)證，比較成熟。加拿大信息平安測(cè)評(píng)認(rèn)證方法早期為TCSEC和TCSEM中期為CTCPEC目前為CC和CEM

加拿大信息平安測(cè)評(píng)認(rèn)證證書目前只頒發(fā)通用準(zhǔn)那么證書加拿大信息平安測(cè)評(píng)機(jī)構(gòu)目前批準(zhǔn)了3家商業(yè)性測(cè)評(píng)機(jī)構(gòu)

CGIInformationSystemsandManagementConsultantsIncDOMUSITSecurityLaboratoryEWA-Canada德國(guó)信息平安局〔GISA〕負(fù)責(zé)管理和運(yùn)行德國(guó)的信息平安測(cè)評(píng)認(rèn)證體系德國(guó)信息平安測(cè)評(píng)認(rèn)證開展歷程1〕1991年開始依據(jù)ITSEC評(píng)估與認(rèn)證，2〕從1999年ISO15408正式發(fā)布起，也同時(shí)開始依據(jù)CC的評(píng)估與認(rèn)證。已進(jìn)行了10多年的測(cè)評(píng)認(rèn)證，比較成熟。德國(guó)信息平安局的組織結(jié)構(gòu)局長(zhǎng)副局長(zhǎng)1處綜合管理2處認(rèn)證認(rèn)可3處密碼平安5處系統(tǒng)平安6處咨詢支持6個(gè)科5個(gè)科6個(gè)科4個(gè)科7個(gè)科5個(gè)科共340人德國(guó)信息平安測(cè)評(píng)認(rèn)證方法兩種測(cè)評(píng)標(biāo)準(zhǔn)及方法并存：ITSEC和ITSEMCC和CEM

德國(guó)信息平安測(cè)評(píng)認(rèn)證證書目前頒發(fā)兩種證書：ITSEC證書、通用準(zhǔn)那么證書德國(guó)信息平安測(cè)評(píng)機(jī)構(gòu)德國(guó)BSI目前已認(rèn)可了10家商業(yè)性公司作為其評(píng)估機(jī)構(gòu)，這10家評(píng)估機(jī)構(gòu)是：AtsecinformationsecurityGmbH

Prüfstelle

fürIT-Sicherheit

CompetenceCenterInformatikGmbHPrüfstelleIT-Sicherheit

CSCPloenzkeAGDeutsches

Forschungszentrum

für

künstliche

IntelligenzGmbH

PrüfstelleIT-Sicherheit

Industrieanlagen-Betriebsgesellschaft

mbH

SRCSecurityResearch&ConsultingGmbHPrüfstelle

fürIT-Sicherheit

Tele-ConsultingGmbH

Prüflabor

fürIT-Sicherheit

T-SystemsGEIGmbH

PrüfstelleIT-Sicherheit

TüVInformationstechnikGmbH

-ein

Unternehmen

derRWTüV-

Gruppe-Prüfstelle

fürIT-Sicherheit

TüVNord

e.V.

Software&ElektronikLabor

(SEELAB)法國(guó)FrenchITEvaluationandCertificationScheme信息系統(tǒng)平安局〔SCSSI〕負(fù)責(zé)管理和運(yùn)行法國(guó)的信息平安測(cè)評(píng)認(rèn)證體系法國(guó)信息平安測(cè)評(píng)認(rèn)證開展歷程1〕1995年開始依據(jù)ITSEC評(píng)估與認(rèn)證，2〕從1999年ISO15408正式發(fā)布起，也同時(shí)開始依據(jù)CC的評(píng)估與認(rèn)證。管理委員會(huì)國(guó)家認(rèn)證機(jī)構(gòu)授權(quán)測(cè)評(píng)機(jī)構(gòu)開發(fā)者發(fā)起者法國(guó)的信息平安測(cè)評(píng)認(rèn)證體系建于1995年9月，認(rèn)證工作由法國(guó)情報(bào)部門管理，其體系結(jié)構(gòu)如下：法國(guó)的信息平安測(cè)評(píng)認(rèn)證體系法國(guó)信息平安測(cè)評(píng)認(rèn)證方法兩種測(cè)評(píng)標(biāo)準(zhǔn)及方法并存：ITSEC和ITSEMCC和CEM

法國(guó)信息平安測(cè)評(píng)認(rèn)證證書目前頒發(fā)兩種證書：ITSEC證書、通用準(zhǔn)那么證書法國(guó)信息平安測(cè)評(píng)機(jī)構(gòu)韓國(guó)IT平安評(píng)估與認(rèn)證KISA的組織結(jié)構(gòu)圖董事會(huì)主席監(jiān)督委員會(huì)信息安全計(jì)劃部信息安全技術(shù)部信息安全評(píng)估與CA部信息基礎(chǔ)設(shè)施保護(hù)部綜合管理部個(gè)人信息協(xié)調(diào)秘書部計(jì)劃與協(xié)調(diào)組安全政策研究組教育與公共聯(lián)絡(luò)組安全技術(shù)標(biāo)準(zhǔn)化組密碼技術(shù)組先進(jìn)系統(tǒng)與網(wǎng)絡(luò)安全組IT安全評(píng)估準(zhǔn)則組IT安全評(píng)估組IIT安全評(píng)估組II韓國(guó)中央CA反黑客與病毒咨詢組信息基礎(chǔ)設(shè)施保護(hù)組技術(shù)援助組信息安全產(chǎn)業(yè)支持中心綜合事務(wù)組財(cái)務(wù)組資產(chǎn)管理組個(gè)人信息保護(hù)中心爭(zhēng)議調(diào)解組個(gè)人信息協(xié)調(diào)委員會(huì)韓國(guó)評(píng)估與認(rèn)證流程信息與通信部開發(fā)者發(fā)起者國(guó)家情報(bào)暑KISA/評(píng)估者用戶IT產(chǎn)品/評(píng)估證據(jù)支持對(duì)評(píng)估證據(jù)開發(fā)/補(bǔ)充頒發(fā)認(rèn)證結(jié)果與證書準(zhǔn)那么一致性推薦認(rèn)證體制運(yùn)作推薦通過認(rèn)證的產(chǎn)品提供通過認(rèn)證的產(chǎn)品清單對(duì)評(píng)估結(jié)果認(rèn)證評(píng)估報(bào)告國(guó)際測(cè)評(píng)認(rèn)證開展成就〔1〕認(rèn)證的PP數(shù)統(tǒng)計(jì)國(guó)際測(cè)評(píng)認(rèn)證開展成就〔2〕CC認(rèn)證的產(chǎn)品數(shù)統(tǒng)計(jì)國(guó)際測(cè)評(píng)認(rèn)證開展成就〔3〕

認(rèn)證的產(chǎn)品類型統(tǒng)計(jì)國(guó)際測(cè)評(píng)認(rèn)證開展成就〔4〕

認(rèn)證的產(chǎn)品EAL級(jí)別統(tǒng)計(jì)國(guó)際測(cè)評(píng)認(rèn)證開展成就〔5〕

認(rèn)證證書數(shù)統(tǒng)計(jì)五、我國(guó)測(cè)評(píng)認(rèn)證

開展情況2004年7月3日我國(guó)信息平安管理體系國(guó)家高度重視認(rèn)證認(rèn)可工作國(guó)家高度重視認(rèn)證認(rèn)可工作國(guó)家高度重視信息平安測(cè)評(píng)認(rèn)證工作錦濤同志在在2000年3月29日的信息網(wǎng)絡(luò)平安協(xié)調(diào)會(huì)議上強(qiáng)調(diào)“要建設(shè)好信息平安測(cè)評(píng)認(rèn)證中心〞邦國(guó)同志曾在報(bào)告上批示：信息平安認(rèn)證中心的工作很重要，是確保國(guó)家信息平安，促進(jìn)互聯(lián)網(wǎng)健康開展的重大舉措，又是當(dāng)前急需解決的緊迫問題測(cè)評(píng)認(rèn)證中心的建設(shè)過程(1)測(cè)評(píng)認(rèn)證中心的建設(shè)過程(2)測(cè)評(píng)認(rèn)證中心的建設(shè)過程(3)國(guó)家信息平安測(cè)評(píng)認(rèn)證體系組成結(jié)構(gòu)中國(guó)信息平安產(chǎn)品測(cè)評(píng)認(rèn)證中心授權(quán)測(cè)試實(shí)驗(yàn)室國(guó)家實(shí)驗(yàn)室認(rèn)可程序ISO65、25認(rèn)證申請(qǐng)者授權(quán)質(zhì)管測(cè)試報(bào)告申報(bào)測(cè)試報(bào)告評(píng)估報(bào)告認(rèn)證證書監(jiān)管機(jī)構(gòu)(CNCA)國(guó)家認(rèn)證實(shí)體授權(quán)測(cè)評(píng)機(jī)構(gòu)認(rèn)證中心的性質(zhì)中國(guó)信息平安產(chǎn)品測(cè)評(píng)認(rèn)證中心是經(jīng)中央批準(zhǔn)成立的、代表國(guó)家實(shí)施信息平安測(cè)評(píng)認(rèn)證的職能機(jī)構(gòu)，依據(jù)國(guó)家有關(guān)產(chǎn)品質(zhì)量認(rèn)證和信息平安管理的法律法規(guī)，管理和運(yùn)行國(guó)家信息平安測(cè)評(píng)認(rèn)證體系認(rèn)證中心的主要職能任務(wù)中心標(biāo)志中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心CHINAINFORMATIONTECHNOLOGYSECURITYCERTIFICATIONCENTERCNITSEC中華人民共和國(guó)國(guó)家信息安全認(rèn)證認(rèn)證標(biāo)志CNITSEC測(cè)評(píng)認(rèn)證體系的