您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 信息安全测评与认证信息安全测评与认证
信息安全测评与认证信息安全测评与认证王贵驷 高级工程师王贵驷 高级工程师wanggs@itsec.gov.cnwanggs@itsec.gov.cn中国信息安全产品测评认证中心 副主任中国信息安全产品测评认证中心 副主任中国计算机学会中国计算机学会 理事 理事中国信息产业商会信息安全产业分会 副理事长中国信息产业商会信息安全产业分会 副理事长二○○二年五月二○○二年五月主要内容主要内容一、国家信息安全测评认证体系一、国家信息安全测评认证体系二、信息安全测评认证标准二、信息安全测评认证标准三、认证中心的四种业务三、认证中心的四种业务四、通用信息系统安全性测评过程四、通用信息系统安全性测评过程五、CA系统安全性测评认证五、CA系统安全性测评认证一、国家信息安全测评认证体系介绍一、国家信息安全测评认证体系介绍11、信息安全测评认证的背景、信息安全测评认证的背景22、我国信息安全测评认证体系的基本情况、我国信息安全测评认证体系的基本情况33、信息安全测评认证工作的进展、信息安全测评认证工作的进展11、信息安全测评认证的背景、信息安全测评认证的背景((11)对信息安全问题的认识)对信息安全问题的认识((22)信息安全事关国家的安全)信息安全事关国家的安全((33)国外信息安全测评认证体系)国外信息安全测评认证体系((11)对信息安全问题的认识)对信息安全问题的认识互互联网的迅速发展直接牵动了科技创新、信息产业联网的迅速发展直接牵动了科技创新、信息产业的发展和知识经济的勃兴;信息网络已逐渐成为经的发展和知识经济的勃兴;信息网络已逐渐成为经济繁荣、社会稳定和国家发展的基础济繁荣、社会稳定和国家发展的基础信息化深刻影响着全球经济的整合、国家战略的调信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变整和安全观念的转变全球化和信息化的潮流,给我国带来了难得的发展全球化和信息化的潮流,给我国带来了难得的发展机遇机遇,,同时也在国际斗争和国家安全方面提出了严同时也在国际斗争和国家安全方面提出了严峻的挑战。峻的挑战。信息安全问题已从单纯的技术性问题变信息安全问题已从单纯的技术性问题变成事关国家安全的全球性问题成事关国家安全的全球性问题信息安全问题之一:信息安全问题之一:通信保密问题通信保密问题4040年代-年代-7070年代年代••重点是通过密码技术解决通信保密问题,保证数据重点是通过密码技术解决通信保密问题,保证数据的保密性与完整性的保密性与完整性••主要安全威胁是搭线窃听、密码学分析主要安全威胁是搭线窃听、密码学分析••主要保护措施是加密主要保护措施是加密••重要标志重要标志––19491949年年ShannonShannon发表的《保密通信的信息理论》发表的《保密通信的信息理论》––19771977年美国国家标准局公布的数据加密标准(年美国国家标准局公布的数据加密标准(DESDES))––19761976年由年由DiffieDiffie与与HellmanHellman在在““NewDirectionsinNewDirectionsinCryptographyCryptography””一文中提出了公钥密码体制一文中提出了公钥密码体制••参考资料:参考资料:BruceSchneierBruceSchneier的的‘‘AppliedAppliedCryptographyCryptography’’,,中译本为《应用密码学》中译本为《应用密码学》信息安全问题之二:信息安全问题之二:计算机系统安全问题计算机系统安全问题7070--8080年代年代••重点是确保计算机系统中硬件、软件及正在处理、重点是确保计算机系统中硬件、软件及正在处理、存储、传输信息的机密性、完整性和可控性存储、传输信息的机密性、完整性和可控性••主要安全威胁扩展到非法访问、恶意代码、脆弱口主要安全威胁扩展到非法访问、恶意代码、脆弱口令等令等••主要保护措施是安全操作系统设计技术(主要保护措施是安全操作系统设计技术(TCBTCB))••主要标志是主要标志是19851985年美国国防部公布的可信计算机系年美国国防部公布的可信计算机系统评估准则(统评估准则(TCSECTCSEC))将操作系统的安全级别分为将操作系统的安全级别分为四类七个级别(四类七个级别(DD、、C1C1、、C2C2、、B1B1、、B2B2、、B3B3、、A1A1)),,后补充红皮书后补充红皮书TNITNI((19871987))和和TDITDI((19911991),),构构成彩虹(成彩虹(rainbowrainbow))系列系列信息安全问题之三:信息安全问题之三:网络时代的信息安全问题网络时代的信息安全问题9090年代以来年代以来••重点需要保护信息,确保信息在存储、处理、传输重点需要保护信息,确保信息在存储、处理、传输过程中及信息系统不被破坏,确保合法用户的服务和过程中及信息系统不被破坏,确保合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施限制非授权用户的服务,以及必要的防御攻击的措施。强调信息的保密性、完整性、可控性、可用性。强调信息的保密性、完整性、可控性、可用性••主要安全威胁发展到网络入侵、病毒破坏、信息对抗主要安全威胁发展到网络入侵、病毒破坏、信息对抗的攻击等的攻击等••主要保护措施包括防火墙、防病毒软件、漏洞扫描、主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵检测、入侵检测、PKIPKI、、VPNVPN、、安全管理等安全管理等••主要标志是提出了新的安全评估准则主要标志是提出了新的安全评估准则CCCC((ISOISO1540815408、、GB/T18336GB/T18336))和信息保障体系概念和信息保障体系概念((22)信息安全事关国家的安全)信息安全事关国家的安全由信息安全问题引起的国家所面临的主要由信息安全问题引起的国家所面临的主要安全威胁:安全威胁:信息霸权的威胁信息霸权的威胁经济安全的威胁经济安全的威胁舆论安全的威胁舆论安全的威胁社会稳定的威胁社会稳定的威胁信息霸权的威胁信息霸权的威胁网络空间打破了传统的地缘政治格局,信网络空间打破了传统的地缘政治格局,信息霸权日益成为国家安全的新威胁息霸权日益成为国家安全的新威胁网络空间的权力制衡包括制信息化权、制网络空间的权力制衡包括制信息化权、制信息权、制创新权和网络能量的制衡权信息权、制创新权和网络能量的制衡权以信息为武器,在数字化地球这个新的网以信息为武器,在数字化地球这个新的网际舞台上,各国将围绕信息化利益展开政际舞台上,各国将围绕信息化利益展开政治角逐治角逐信息霸权已成为美国政治扩展的新武器信息霸权已成为美国政治扩展的新武器经济安全的威胁经济安全的威胁信息化对日益全球化的经济带来安全隐患:信息化对日益全球化的经济带来安全隐患:国民经济运行与监管的安全国民经济运行与监管的安全国家金融资本流动与运作的安全国家金融资本流动与运作的安全证券市场的安全证券市场的安全经济金融网络的安全经济金融网络的安全经济信息的安全经济信息的安全舆论安全的威胁舆论安全的威胁信息化网络是传媒的革命,对文化和文明提信息化网络是传媒的革命,对文化和文明提出了新挑战:出了新挑战:多样的文化将共存在同一个互联网上多样的文化将共存在同一个互联网上文明的冲突直接表现为信息的冲突文明的冲突直接表现为信息的冲突舆论操纵已成为互联网上的政治武器舆论操纵已成为互联网上的政治武器文化侵略是主权国家必须面临的持久战文化侵略是主权国家必须面临的持久战社会稳定的威胁社会稳定的威胁信息化社会的安定依赖信息基础设施信息化社会的安定依赖信息基础设施政府管理、航空运输、水、电控管、通政府管理、航空运输、水、电控管、通信传播、指挥调度、财税经贸、日常生信传播、指挥调度、财税经贸、日常生活都要依靠信息系统和信息化设施活都要依靠信息系统和信息化设施信息基础设施一旦遭到破坏,立即就会信息基础设施一旦遭到破坏,立即就会引发社会不安和动荡引发社会不安和动荡美国总统专门发布总统令,提出信息系美国总统专门发布总统令,提出信息系统保护国家计划,保护信息基础设施统保护国家计划,保护信息基础设施我国国家领导高度重视信息安全我国国家领导高度重视信息安全江总书记指出:面对经济、科技全江总书记指出:面对经济、科技全球化趋势,球化趋势,…………在信息化进程中在信息化进程中要趋利避害要趋利避害胡锦涛同志在一份报告上批示:信胡锦涛同志在一份报告上批示:信息安全事关国家安全,必须予以高息安全事关国家安全,必须予以高度重视度重视李岚清同志在中办的一份信息通报李岚清同志在中办的一份信息通报上批示:信息安全是危及国家安全上批示:信息安全是危及国家安全的大事的大事信息技术与产品成为信息安全信息技术与产品成为信息安全的基础和焦点的基础和焦点信息技术已经成为应用面最广、渗透性最强的信息技术已经成为应用面最广、渗透性最强的战略性技术。信息安全问题日益突出,信息安战略性技术。信息安全问题日益突出,信息安全产业应运而生全产业应运而生信息安全产品和信息系统固有的敏感性和特殊信息安全产品和信息系统固有的敏感性和特殊性,直接影响着国家的安全利益和经济利益性,直接影响着国家的安全利益和经济利益各国政府纷纷采取颁布标准,实行测评认证制各国政府纷纷采取颁布标准,实行测评认证制度等方式,对信息安全产品的研制、生产、销度等方式,对信息安全产品的研制、生产、销售、使用和进出口实行严格、有效的控制售、使用和进出口实行严格、有效的控制什么是测评认证什么是测评认证测试、评估、认证是三个不同的概念测试、评估、认证是三个不同的概念测试/检验:按照规定的程序,为确定给定的测试/检验:按照规定的程序,为确定给定的产品、材料、设备、生物组织、物理现象、工产品、材料、设备、生物组织、物理现象、工艺或服务的一种或多种特性的技术操作艺或服务的一种或多种特性的技术操作评估:对测试/检验产生的数据进行分析、形评估:对测试/检验产生的数据进行分析、形成结论的技术活动成结论的技术活动认证是指认证是指第三方第三方依据程序对产品、过程或服务依据程序对产品、过程或服务符合规定的要求给予符合规定的要求给予书面保证书面保证(证书),用于(证书),用于评价评价产品质量产品质量和和企业质量管理企业质量管理水平水平认证的依据是认证的依据是标准标准和和测试/检验/评估的结果测试/检验/评估的结果传统的安全测评方法传统的安全测评方法用户测试用户测试厂商自测厂商自测商业性测试商业性测试政府内部的安全测试与检测政府内部的安全测试与检测攻击性(分析、对抗性)检测攻击性(分析、对抗性)检测软件工程质量保障方法软件工程质量保障方法传统测评方法的不足传统测评方法的不足缺乏标准的安全需求规范缺乏标准的安全需求规范缺乏通用的安全测评准则缺乏通用的安全测评准则缺乏客观的安全测评工具缺乏客观的安全测评工具缺乏专业的安全测评人员缺乏专业的安全测评人员缺乏公正的第三方测评机制缺乏公正的第三方测评机制缺乏完善的测评认证体系缺乏完善的测评认证体系国家信息安全认证国家信息安全认证统一的国家标准和行业补充技术要求统一的国家标准和行业补充技术要求国际通用的安全测评方法国际通用的安全测评方法客观的安全测评工具客观的安全测评工具专业的安全测评人员专业的安全测评人员独立运作的公正第三方测评机制独立运作的公正第三方测评机制国家授权的、权威的测评认证体系国家授权的、权威的测评认证体系信息安全测评认证信息安全测评认证发展是第一位的,是硬道理。发展是第一位的,是硬道理。安全是保驾护航。没有安全,就没安全是保驾护航。没有安全,就没有健康的发展。有健康的发展。作为国家信息基础设施,没有安全,作为国家信息基础设施,没有安全,就是就是““豆腐渣豆腐渣””工程。工程。认证的分类认证的分类按认证对象的不同可分
本文标题:信息安全测评与认证信息安全测评与认证
链接地址:https://www.777doc.com/doc-1253156 .html