CISE講義CISP-01-信息安全測評服務介紹-new

CISP-01-信息安全測評服務介紹中國信息安全測評中心2008年11月-2-主要內(nèi)容中國信息安全測評中心簡介中國信息安全測評中心資質(zhì)國家信息安全測評體系信息安全保障服務研究與實踐-3-中國信息安全測評中心簡介中國信息安全產(chǎn)品測評認證中心是經(jīng)中央批準成立的、代表國家專門從事信息技術安全測試和風險評估的權威職能機構。測評中心是國家信息安全保障體系中的重要基礎設施之一，在國家專項投入的支持下，擁有國內(nèi)一流的信息安全漏洞分析資源和測試評估技術裝備；建有漏洞基礎研究、應用軟件安全、產(chǎn)品安全檢測、系統(tǒng)隱患分析和測評裝備研發(fā)等多個專業(yè)性技術實驗室；具有專門面向黨政機關、基礎信息網(wǎng)絡和重要信息系統(tǒng)開展風險評估的國家?？仃犖椤?4-中心標志中國信息安全測評中心標志英文名稱為：ChinaInformationTechnologySecurityEvaluationCenter簡稱：CNITSEC。-5-中心的籌備與建立中國信息安全產(chǎn)品測評認證中心籌建于1997年1998年7月以“中國互聯(lián)網(wǎng)絡安全產(chǎn)品測評認證中心”的名稱試運行1998年10月經(jīng)國家質(zhì)量技術監(jiān)督局授權成立了“中國國家信息安全測評認證中心”2001年5月，中編辦字[2001]51號文件正式批準了認證中心的職能任務和機構編制，將認證中心正式定名為“中國信息安全產(chǎn)品測評認證中心”2007年，經(jīng)中央批準，增加漏洞分析和風險評估職能，更名為“中國信息安全測評中心”，成為國家信息安全?？仃犖椤?/p>

-6-胡錦濤同志批示：

信息安全事關國家安全，必須予以高度重視。

在2000年3月29日的信息網(wǎng)絡安全協(xié)調(diào)會議上又強調(diào)“要建設好信息安全測評認證中心”國家領導批示-7-2006年10月25日國家主席胡錦濤同志再次批示：加強測評中心的建設，明確職責，發(fā)揮其作用，以排除隱患和漏洞。國家領導批示-8-測評服務范圍依據(jù)中央授權，測評中心的主要職能包括：；信息安全漏洞分析；信息安全風險評估；信息技術產(chǎn)品、信息系統(tǒng)和工程安全測試與評估；信息安全服務和信息安全人員資質(zhì)測評；信息安全技術咨詢、工程監(jiān)理與開發(fā)服務。-9-序號服務內(nèi)容信息技術安全性測評認證測評分級測評自主原創(chuàng)證明源代碼安全性測試選型測試定制測試信息系統(tǒng)安全性測評風險評估風險評估網(wǎng)銀評估等級保護測評

系統(tǒng)測評系統(tǒng)滲透性測試信息安全服務資質(zhì)認定信息安全工程服務資質(zhì)信息安全災備服務資質(zhì)信息安全運營服務資質(zhì)注冊信息安全人員認定注冊信息安全專業(yè)人員資質(zhì)注冊信息安全員資質(zhì)信息安全咨詢與監(jiān)理信息系統(tǒng)安全工程監(jiān)理涉密信息系統(tǒng)安全工程監(jiān)理信息安全管理體系咨詢信息安全保障體系規(guī)劃-10-

信息安全產(chǎn)品認證（共667個）629款產(chǎn)品通過型號認證16款產(chǎn)品通過EAL3級認證22款產(chǎn)品通過EAL4/EAL4+級認證信息安全服務資質(zhì)認證（共124家）139家信息安全服務商通過信息安全服務資質(zhì)一級（安全工程類）認證12家信息安全服務商通過信息安全服務資質(zhì)二級（安全工程類）認證注冊信息安全人員認證（共2050人）約2050余人通過注冊信息安全專業(yè)人員（CISE/CISO/CISA）認證信息系統(tǒng)安全測評與認證（共141項）國內(nèi)近120個信息系統(tǒng)通過信息系統(tǒng)安全測評，其中19個系統(tǒng)達到信息系統(tǒng)安全保障能力級一級6個系統(tǒng)達到信息系統(tǒng)安全保障能力級二級以上數(shù)字截至2008年7月-11-信息安全領域研究

技術研究：中心的科研隊伍一直致力于信息安全領域尤其是信息安全測評技術領域的深入研究。自成立至今，已承擔了國家“863”計劃、國家“973”計劃、國家自然科學基金委員會、科技部、國家發(fā)展和改革委員會等多個國家重點科研項目。其中《國家信息安全發(fā)展戰(zhàn)略研究》、《系統(tǒng)安全風險分析和評估方法研究》等國家“863”計劃課題受到國務院信息化工作辦公室等指導單位的高度贊揚。-12-信息安全領域研究標準制定：中心組織并參與了包括國家標準GB/T18336-2001《信息技術安全技術信息技術安全性評估準則》、《信息安全保障等級評估框架》、《電子政務信息系統(tǒng)安全保障評估準則》、《網(wǎng)上銀行系統(tǒng)安全保障要求》、《網(wǎng)上證券委托系統(tǒng)安全保障要求》、《應用級防火墻安全技術要求》、《信息安全服務評價準則》、《信息安全工程質(zhì)量管理要求》、《電信智能卡安全技術要求》等在內(nèi)的多個信息安全測評標準的編制工作。-13-中心出版物

編寫并出版了《信息安全理論與技術》、《信息安全工程與管理》、《信息安全標準與法律法規(guī)》，國家注冊信息安全專業(yè)人員資質(zhì)認證選用了該叢書作為參考教材。-14-中心出版物作為國家測評認證服務職能的一個重要體現(xiàn)，中心每年都出版《信息安全產(chǎn)品政府采購指南》，該指南現(xiàn)已廣泛應用于國家各級政府部門及重要行業(yè)單位的信息安全采購工作中。-15-中心出版物從2003年開始，中心以雙月刊形式推出《國家信息安全測評認證》雜志，為業(yè)界提供了一個信息安全技術交流平臺。-16-組織編寫了《信息安全國際視野叢書》

《信息安全保障的手段和工具-俄羅斯信息安全產(chǎn)業(yè)情況（上、下冊）》《關鍵信息基礎設施保護-十四國安全保護政策陳述和分析》《信息安全的科技支撐-美國信息安全產(chǎn)業(yè)研究》《信息時代的國家安全防護網(wǎng)-美國訪客系統(tǒng)》《網(wǎng)絡時代的安全治理-美國信息安全管理體制研究》編委會顧問包括（按姓氏筆畫排列）：曲維枝、何德全、周仲義、沈昌祥、蔡吉人、王渝次等-17-國際交流

中心自成立以來，一直擔負著國家賦予的與世界各國相應測評認證機構進行國際交流與合作的職責。目前，中心已代表我國參加第一屆（美國）、第二屆（英國）至第八屆“信息安全測評認證標準與互認國際會議”。與美國、俄羅斯、英國、法國、德國、新加坡、日本等國家開展信息安全測試評估技術的交流、講學等技術交流活動。-18-國際交流2003年2月，中國信息安全測評中心受國家發(fā)展和改革委員會委托，代表中國政府與美國微軟公司簽署了政府安全計劃（GSP）源代碼協(xié)議，并于2006年2月將該協(xié)議續(xù)簽。-19-主要內(nèi)容中國信息安全測評中心簡介中國信息安全測評中心資質(zhì)國家信息安全測評體系信息安全保障服務研究與實踐-20-認證中心的資質(zhì)

中國信息安全測評中心——是正局級事業(yè)單位，隸屬于國家質(zhì)量監(jiān)督檢驗檢疫總局；其職能任務和機構編制是經(jīng)中央編制委員會正式批準的；中國信息安全測評中心及其所屬的兩個測評實驗室均已獲得了國家相關機構的認可證書，其服務范圍與測評技術能力經(jīng)過國家嚴格審查與認可-21-《中國實驗室國家認可委員會認可證書》（1）

中國信息安全測評中心信息安全實驗室，獲得中國實驗室國家認可委員會頒發(fā)的《中國實驗室國家認可委員會認可證書》-22-《中國實驗室國家認可委員會認可證書》（2）

中國信息安全測評中心系統(tǒng)工程實驗室，獲得中國實驗室國家認可委員會頒發(fā)的《中國實驗室國家認可委員會認可證書》-23-《涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)證書—工程監(jiān)理》

2007年9月中國信息安全測評中心獲得國家保密局頒發(fā)的涉及國家秘密的計算機信息系統(tǒng)監(jiān)理資質(zhì)。-24-主要內(nèi)容中國信息安全產(chǎn)品測評認證中心簡介中國信息安全產(chǎn)品測評認證中心資質(zhì)國家信息安全測評認證體系信息安全保障服務研究與實踐-25-國家信息安全測評認證體系為適應全球經(jīng)濟一體化的發(fā)展趨勢和我國加入WTO的客觀要求，我國于1997年依循國際慣例開始啟動國家信息安全測評及認證體系籌建工作。-26-國家信息安全測評認證體系計算機測評中心上海測評中心東北測評中心華中測評中心深圳測評中心西南測評中心武漢互操作測評中心身份認證測評中心云南測評中心重慶測評中心西北測評中心河南測評中心山東測評中心通訊安全測評中心-27-主要內(nèi)容中國信息安全產(chǎn)品測評認證中心簡介中國信息安全產(chǎn)品測評認證中心資質(zhì)國家信息安全測評認證體系信息安全保障服務研究與實踐-28-信息安全保障服務中國信息安全測評中心自成立至今，一貫致力于國家信息安全保障體系的建設工作，依托測評服務平臺，整合各類資源，為各政府機構、社會用戶提供多方面、多角度、多層次的信息安全服務，為國家的信息安全保障體系建設提供有力的技術支持。測評中心曾先后參與國家稅務總局、國家財政部、最高人民檢察院、、國家鐵道部中國人民銀行、中國證監(jiān)會、中國民航、國家廣電總局等多家單位的網(wǎng)絡信息系統(tǒng)安全建設工作，在總體安全方案制定、安全咨詢顧問、安全工程項目監(jiān)理、信息系統(tǒng)安全性測試評估等方面為這些用戶提供了專業(yè)服務。-29-專業(yè)測評技術服務隊伍

中國信息安全產(chǎn)品測評認證中心擁有一支高素質(zhì)的測評隊伍。所有測試評估人員都經(jīng)過嚴格的專業(yè)培訓并通過“注冊信息安全專業(yè)人員（CISP）”的國家資質(zhì)考核，其扎實的專業(yè)知識、技術和技能，是確保測評工作質(zhì)量的重要保證，曾出色完成多個政府機構、銀行、證券、電信等組織機構的信息安全測評項目，具有豐富的測評經(jīng)驗。同時中心還擁有一支強大的專家隊伍，包括中國工程院院士、研究員、博士、歸國留學人員等來自信息安全各領域的專家學者。對中心的測評技術研究、測評標準制定、測評工作評審以及大型信息安全測評項目等進行專業(yè)指導和顧問-30-信息安全風險評估

2005年中心受國務院信息化工作辦公室委托，承擔了國家稅務系統(tǒng)風險評估以及云南省政府辦公網(wǎng)絡系統(tǒng)風險評估的試點工作。并參加了國家信息系統(tǒng)安全風險評估實施指南、實施標準、評估方法等系列標準的研究與開發(fā)工作。2006年7月在國家網(wǎng)絡與信息安全協(xié)調(diào)小組辦公室下發(fā)的信安通[2006]16號《關于對國家基礎信息網(wǎng)絡和重要信息系統(tǒng)開展安全檢查的通知》中，中心作為國家專門隊伍承擔了鐵道部鐵路貨票信息管理系統(tǒng)和中國民航離港信息系統(tǒng)的安全抽查評估任務。其評估方法和結(jié)果將為國信辦落實對國家基礎信息網(wǎng)絡和重要信息系統(tǒng)開展安全檢查工作提供重要依據(jù)。-31-2006年8月在中國證監(jiān)會組織的證券期貨業(yè)的信息安全風險評估試點工作中，中心積極參與了制定《證券行業(yè)信息安全風險評估工作指南》的編寫，并承擔證券行業(yè)試點國泰君安證券有限公司集中交易系統(tǒng)風險評估的項目實施，為探索證券期貨業(yè)信息系統(tǒng)安全的適用性、合理性，積累了寶貴經(jīng)驗。2007年7月中國信息安全產(chǎn)品測評認證中心在國務院信息化領導小組工作辦公室組織的2007年度國家基礎信息網(wǎng)絡和重要信息系統(tǒng)檢查評估工作中，作為國家專門隊伍承擔了：《深圳國稅信息系統(tǒng)安全檢查評估》、《中國證券登記結(jié)算公司信息系統(tǒng)安全檢查評估》。信息安全風險評估-32-2008年國家部委級安全服務項目1.國家稅務總局委托我中心開展稅務信息系統(tǒng)2008年度日常信息安全及特殊時期（兩會、奧運會、法定長假）安全服務，查找漏洞排除隱患，制訂漏洞修補建議，以確保稅務信息系統(tǒng)的正常穩(wěn)定運行。

2.2008年3月分別承擔了國家稅務總局應用安全咨詢與風險評估項目、總局風險評估項目、稅務系統(tǒng)安全檢查評估等安全服務項目。

3.2008國家財政部涉密網(wǎng)絡整合項目安全工程咨詢與監(jiān)理。-33-黨政系統(tǒng)最高人民檢察院國家發(fā)展與改革委員會國家統(tǒng)計局國家安全部全國政協(xié)國家稅務總局國家財政部海關總署國家新聞出版總署國家鐵道部建設部國家知識產(chǎn)權局科技部中共中央對外聯(lián)絡部國家外匯管理局證監(jiān)會江蘇省政府辦公廳……-34-關鍵基礎設施北京第29屆奧運會組織委員會中國金融認證中心(CFCA)中國互聯(lián)網(wǎng)絡信息中心(CNNIC)鐵道部全國客票預訂與發(fā)售系統(tǒng)鐵道部鐵路貨票信息系統(tǒng)中國民航離港信息系統(tǒng)中國電信CA系統(tǒng)中國網(wǎng)通中國聯(lián)通中國移動國家電力中國北方……-35-銀行系統(tǒng)中國人民銀行中國建設銀行中國工商銀行中國招商銀行中國光大銀行中國民生銀行興業(yè)銀行交通銀行南京商業(yè)銀行北京市農(nóng)村商業(yè)銀行廣東省南海農(nóng)聯(lián)社好易聯(lián)支付系統(tǒng)銀聯(lián)支付系統(tǒng)寧波市商業(yè)銀行溫州市商業(yè)銀行貴陽市商業(yè)銀行重慶市商業(yè)銀行昆明市商業(yè)銀行長沙市商業(yè)銀行浙商銀行……-36-證券、保險系統(tǒng)國泰君安證券中國銀河證券長城證券上海財政證券東方證券華夏證券中信證券中國人民財產(chǎn)保險公司新華人壽保險公司……對風險評估的理解與分析國家政策27號文件提出了明確要求：

要重視信息安全風險評估工作，對網(wǎng)絡與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，綜合考慮網(wǎng)絡與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風險等因素，進行相應等級的安全建設和管理2003年，國務院信息辦成立風險評估課題組，開展有關調(diào)研工作。2005年在銀行、稅務、電力等行業(yè)和部門以及北京、上海、黑龍江、云南等地方開展試點，取得了預期效果。2005年12月，國家網(wǎng)絡與信息安全系統(tǒng)小組第五次會議審議通過了《關于開展信息安全風險評估工作的意見》，提出了風險評估的原則、工作要求和工作部署。2006年3月，國務院信息辦分別在北京和昆明召開了風險評估文件宣貫會，并印發(fā)了《信息安全風險評估指南》。國家發(fā)展和改革委員會令[2007]第55號項目建設單位或其委托的專業(yè)機構應按照風險評估的相關規(guī)定，對建成項目進行信息安全風險評估，檢驗其網(wǎng)絡和信息系統(tǒng)對安全環(huán)境變化的適應性及安全措施的有效性，保障信息安全目標的實現(xiàn)2008年8月6日國家發(fā)展和改革委員會、公安部、國家保密局《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》發(fā)改高技[2008]2071號：國家電子政務網(wǎng)絡、重點業(yè)務信息系統(tǒng)、基礎信息庫以及相關支撐體系等國家電子政務工程建設項目，應開展信息安全風險評估工作；非涉密信息系統(tǒng)的信息安全風險評估，有國家信息技術安全研究中心、中國信息安全測評中心、公安部信息安全等級保護評估中心等三家專業(yè)測評機構承擔國家對風險評估用戶范圍確定重點部門、重點行業(yè)（電信、廣電、銀行、證券、保險、稅務、海關、鐵路、民航、電力）的網(wǎng)絡信息系統(tǒng)風險評估工作提出了明確要求。掌握信息系統(tǒng)安全現(xiàn)狀；獲得信息安全評估工作的經(jīng)驗；提高組織管理層和技術人員的技術風險意識；明確今后信息技術安全工作的方向；為行業(yè)信息技術安全工作做出了有益的探索。40安全風險評估對組織的意義《國家網(wǎng)絡與信息安全協(xié)調(diào)小組關于開展信息安全風險評估工作的意見》《GB/T20984-2007信息安全技術信息安全風險評估規(guī)范》《GB/T18336-2001信息技術安全技術信息技術安全性評估準則》《GB/T20274-2006信息安全技術信息系統(tǒng)安全保障評估框架》《電子政務信息系統(tǒng)安全保障要求》技術依據(jù)信息系統(tǒng)保障風險功能、機制架構、流程漏洞威脅評估概念及關系序號工作方式描述1內(nèi)部溝通指評估小組內(nèi)部，或協(xié)調(diào)員與被評估組織內(nèi)部、或評估小組和協(xié)調(diào)員之間的溝通活動。2現(xiàn)場勘查現(xiàn)場勘測是指在項目實施過程中通過現(xiàn)場評估人員對實際環(huán)境的觀察的方式完成檢查評估的某些項工作，比如物理環(huán)境與存儲介質(zhì)情況的評估。3訪談評估小組與被評估組織內(nèi)有關的管理、技術和一般員工進行逐個溝通。根據(jù)對評估人員所提問題的回答，評估人員為評估獲得相應信息。4研討會評估小組與被評估組織的若干人員進行交流，從而獲得相關信息或就某些問題達成共識。5文檔評估文檔評估是整個檢查評估過程最初的階段，即在進行現(xiàn)場實施檢查評估前靜態(tài)評估階段主要的工作內(nèi)容，對用戶提交的各類文檔進行審閱。6工具檢測評估人員通過自動化的工具檢測被評估對象，根據(jù)檢測的結(jié)果，評估人員為評估獲得相應信息。7手工檢測評估人員通過手工方式讀取被評估對象的環(huán)境狀況、配置情況，從而采集被評估對象的信息。風險評估方式國內(nèi)外安全標準行業(yè)安全規(guī)定用戶資料技術管理工程-=風險級別安全要求安全現(xiàn)狀差距分析法階段任務工作日啟動準備階段資料準備、調(diào)研、評估培訓、編寫評估8現(xiàn)場測試階段安全技術測試和安全管理核查7風險分析階段分析現(xiàn)場檢測結(jié)果，編制系統(tǒng)安全風險評估報告7安全建議階段根據(jù)用戶需求編寫安全改進建議書5風險評估時間進度安排網(wǎng)絡基礎設施1網(wǎng)絡架構設計的安全性評估；所使用的網(wǎng)絡協(xié)議的安全性評估；網(wǎng)絡層次設施設備的安全配置檢查與評估；網(wǎng)絡層次安全脆弱性檢測與評估；網(wǎng)絡層次的滲透測試；網(wǎng)絡層次數(shù)據(jù)流檢測與評估業(yè)務支撐平臺2應用系統(tǒng)安全3業(yè)務應用架構設計、應用協(xié)議選用的安全評估；業(yè)務應用程序安全功能設計、安全功能實現(xiàn)的測試驗證評估；業(yè)務信息流設計、業(yè)務信息流檢測的安全評估；業(yè)務應用程序的安全配置核查評估與應用程序滲透測試；安全管理評估4安全管理基礎域安全管理核心域安全管理重要過程域安全管理生命周期域網(wǎng)絡設備安全設備服務器設備各種WEB服務器系統(tǒng)、中間件系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、企業(yè)級防病毒系統(tǒng)等；業(yè)務支撐平臺系統(tǒng)的安全脆弱性檢測與評估；業(yè)務支撐平臺系統(tǒng)的滲透測試評估內(nèi)容安全管理審核參考安全管理核心域安全策略風險管理安全管理基礎域安全組織體系人事安全資產(chǎn)管理物理和環(huán)境安全符合性管理保障過程域應急響應業(yè)務持續(xù)性生命周期管理域信息安全規(guī)劃系統(tǒng)開發(fā)管理運行管理安全技術評估信息系統(tǒng)安全技術分析檢測業(yè)務系統(tǒng)安全功能驗證測試內(nèi)部安全脆弱性檢測系統(tǒng)體系架構安全性分析安全滲透性測試安全配置檢查業(yè)務應用系統(tǒng)應用支撐平臺信息系統(tǒng)網(wǎng)絡基礎設施黑盒測試灰盒測試整體分析評估內(nèi)容滲透測試方式滲透測試內(nèi)部滲透外部滲透應用層主機層網(wǎng)絡層從外到內(nèi)從上到下檢測系統(tǒng)抗外部攻擊的能力。評估內(nèi)容等級標識描述5極高一旦發(fā)生將產(chǎn)生非常嚴重的經(jīng)濟或社會影響，如組織信譽嚴重破壞、嚴重影響組織的正常經(jīng)營，經(jīng)濟損失重大、社會影響惡劣4高一旦發(fā)生將產(chǎn)生較大的經(jīng)濟或社會影響，在一定范圍內(nèi)給組織的經(jīng)營和組織信譽造成損害3中一旦發(fā)生會造成一定的經(jīng)濟、社會或生產(chǎn)經(jīng)營影響，但影響面和影響程度不大2低一旦發(fā)生造成的影響程度較低，一般僅限于組織內(nèi)部，通過一定手段很快能解決1很低一旦發(fā)生造成的影響幾乎不存在，通過簡單的措施就能彌補風險等級風險評估項目流程風險評估流程資料準備：在啟動準備階段，根據(jù)《系統(tǒng)風險評估文檔準備說明》準備資料：前期調(diào)研：組織評估工作組成員對確定的實施范圍進行走訪。通過前期快速的調(diào)研，評估工作組可以基本掌握評估范圍內(nèi)信息系統(tǒng)和人員的實際情況，并與配合人員進行初步的溝通，確定評估實施中必須具備的技術工具和手段，以及基本的時間安排和必要的工作準備。評估培訓：評估實施前對被評估單位工作人員進行的評估基本概念、實施過程等相關基礎知識的宣貫和闡明的過程。通過信息安全風險評估培訓，試點單位相關的人員初步掌握了評估的基本知識，明確了工作的目的、意義和工作的重點，為試點工作的順利開展打下了良好的基礎。風險控制方案：評估工作本身不可避免地會帶來各種風險。實施風險控制主要包括實施風險分析和根據(jù)具體評估范圍制定的風險控制方案。評估項目管理計劃：根據(jù)評估項目的實施特性，制定了信息安全風險評估項目控制與管理計劃啟動準備階段資產(chǎn)評估：資產(chǎn)評估是確定資產(chǎn)在信息安全屬性（機密性、完整性、可用性等）缺失時，對信息系統(tǒng)造成的影響的過程。在實際的評估中，資產(chǎn)評估包含：資產(chǎn)識別、資產(chǎn)安全要求識別、資產(chǎn)賦值威脅評估：威脅評估是通過技術手段、統(tǒng)計數(shù)據(jù)和經(jīng)驗判斷來確定信息系統(tǒng)面臨的威脅的過程。威脅評估中的主要工作包括兩個方面，一是要根據(jù)特定資產(chǎn)運行環(huán)境來確定其所面臨的威脅來源，另一方面要確定這些威脅的嚴重程度和發(fā)生的頻率。每個資產(chǎn)由于所處的環(huán)境不同，面臨的威脅也不盡相同，因此對評估范圍內(nèi)的資產(chǎn)需要根據(jù)資產(chǎn)評估的分類結(jié)果