CISP-01-信息安全測評服務介紹中國信息安全測評中心2008年11月-2-主要內容中國信息安全測評中心簡介中國信息安全測評中心資質國家信息安全測評體系信息安全保障服務研究與實踐-3-中國信息安全測評中心簡介中國信息安全產品測評認證中心是經中央批準成立的、代表國家專門從事信息技術安全測試和風險評估的權威職能機構。測評中心是國家信息安全保障體系中的重要基礎設施之一，在國家專項投入的支持下，擁有國內一流的信息安全漏洞分析資源和測試評估技術裝備；建有漏洞基礎研究、應用軟件安全、產品安全檢測、系統隱患分析和測評裝備研發等多個專業性技術實驗室；具有專門面向黨政機關、基礎信息網絡和重要信息系統開展風險評估的國家?？仃犖?。-4-中心標志中國信息安全測評中心標志英文名稱為：ChinaInformationTechnologySecurityEvaluationCenter簡稱：CNITSEC。-5-中心的籌備與建立中國信息安全產品測評認證中心籌建于1997年1998年7月以“中國互聯網絡安全產品測評認證中心”的名稱試運行1998年10月經國家質量技術監督局授權成立了“中國國家信息安全測評認證中心”2001年5月，中編辦字[2001]51號文件正式批準了認證中心的職能任務和機構編制，將認證中心正式定名為“中國信息安全產品測評認證中心”2007年，經中央批準，增加漏洞分析和風險評估職能，更名為“中國信息安全測評中心”，成為國家信息安全專控隊伍。

-6-胡錦濤同志批示：

信息安全事關國家安全，必須予以高度重視。

在2000年3月29日的信息網絡安全協調會議上又強調“要建設好信息安全測評認證中心”國家領導批示-7-2006年10月25日國家主席胡錦濤同志再次批示：加強測評中心的建設，明確職責，發揮其作用，以排除隱患和漏洞。國家領導批示-8-測評服務范圍依據中央授權，測評中心的主要職能包括：；信息安全漏洞分析；信息安全風險評估；信息技術產品、信息系統和工程安全測試與評估；信息安全服務和信息安全人員資質測評；信息安全技術咨詢、工程監理與開發服務。-9-序號服務內容信息技術安全性測評認證測評分級測評自主原創證明源代碼安全性測試選型測試定制測試信息系統安全性測評風險評估風險評估網銀評估等級保護測評

系統測評系統滲透性測試信息安全服務資質認定信息安全工程服務資質信息安全災備服務資質信息安全運營服務資質注冊信息安全人員認定注冊信息安全專業人員資質注冊信息安全員資質信息安全咨詢與監理信息系統安全工程監理涉密信息系統安全工程監理信息安全管理體系咨詢信息安全保障體系規劃-10-

信息安全產品認證（共667個）629款產品通過型號認證16款產品通過EAL3級認證22款產品通過EAL4/EAL4+級認證信息安全服務資質認證（共124家）139家信息安全服務商通過信息安全服務資質一級（安全工程類）認證12家信息安全服務商通過信息安全服務資質二級（安全工程類）認證注冊信息安全人員認證（共2050人）約2050余人通過注冊信息安全專業人員（CISE/CISO/CISA）認證信息系統安全測評與認證（共141項）國內近120個信息系統通過信息系統安全測評，其中19個系統達到信息系統安全保障能力級一級6個系統達到信息系統安全保障能力級二級以上數字截至2008年7月-11-信息安全領域研究

技術研究：中心的科研隊伍一直致力于信息安全領域尤其是信息安全測評技術領域的深入研究。自成立至今，已承擔了國家“863”計劃、國家“973”計劃、國家自然科學基金委員會、科技部、國家發展和改革委員會等多個國家重點科研項目。其中《國家信息安全發展戰略研究》、《系統安全風險分析和評估方法研究》等國家“863”計劃課題受到國務院信息化工作辦公室等指導單位的高度贊揚。-12-信息安全領域研究標準制定：中心組織并參與了包括國家標準GB/T18336-2001《信息技術安全技術信息技術安全性評估準則》、《信息安全保障等級評估框架》、《電子政務信息系統安全保障評估準則》、《網上銀行系統安全保障要求》、《網上證券委托系統安全保障要求》、《應用級防火墻安全技術要求》、《信息安全服務評價準則》、《信息安全工程質量管理要求》、《電信智能卡安全技術要求》等在內的多個信息安全測評標準的編制工作。-13-中心出版物

編寫并出版了《信息安全理論與技術》、《信息安全工程與管理》、《信息安全標準與法律法規》，國家注冊信息安全專業人員資質認證選用了該叢書作為參考教材。-14-中心出版物作為國家測評認證服務職能的一個重要體現，中心每年都出版《信息安全產品政府采購指南》，該指南現已廣泛應用于國家各級政府部門及重要行業單位的信息安全采購工作中。-15-中心出版物從2003年開始，中心以雙月刊形式推出《國家信息安全測評認證》雜志，為業界提供了一個信息安全技術交流平臺。-16-組織編寫了《信息安全國際視野叢書》

《信息安全保障的手段和工具-俄羅斯信息安全產業情況（上、下冊）》《關鍵信息基礎設施保護-十四國安全保護政策陳述和分析》《信息安全的科技支撐-美國信息安全產業研究》《信息時代的國家安全防護網-美國訪客系統》《網絡時代的安全治理-美國信息安全管理體制研究》編委會顧問包括（按姓氏筆畫排列）：曲維枝、何德全、周仲義、沈昌祥、蔡吉人、王渝次等-17-國際交流

中心自成立以來，一直擔負著國家賦予的與世界各國相應測評認證機構進行國際交流與合作的職責。目前，中心已代表我國參加第一屆（美國）、第二屆（英國）至第八屆“信息安全測評認證標準與互認國際會議”。與美國、俄羅斯、英國、法國、德國、新加坡、日本等國家開展信息安全測試評估技術的交流、講學等技術交流活動。-18-國際交流2003年2月，中國信息安全測評中心受國家發展和改革委員會委托，代表中國政府與美國微軟公司簽署了政府安全計劃（GSP）源代碼協議，并于2006年2月將該協議續簽。-19-主要內容中國信息安全測評中心簡介中國信息安全測評中心資質國家信息安全測評體系信息安全保障服務研究與實踐-20-認證中心的資質

中國信息安全測評中心——是正局級事業單位，隸屬于國家質量監督檢驗檢疫總局；其職能任務和機構編制是經中央編制委員會正式批準的；中國信息安全測評中心及其所屬的兩個測評實驗室均已獲得了國家相關機構的認可證書，其服務范圍與測評技術能力經過國家嚴格審查與認可-21-《中國實驗室國家認可委員會認可證書》（1）

中國信息安全測評中心信息安全實驗室，獲得中國實驗室國家認可委員會頒發的《中國實驗室國家認可委員會認可證書》-22-《中國實驗室國家認可委員會認可證書》（2）

中國信息安全測評中心系統工程實驗室，獲得中國實驗室國家認可委員會頒發的《中國實驗室國家認可委員會認可證書》-23-《涉及國家秘密的計算機信息系統集成資質證書—工程監理》

2007年9月中國信息安全測評中心獲得國家保密局頒發的涉及國家秘密的計算機信息系統監理資質。-24-主要內容中國信息安全產品測評認證中心簡介中國信息安全產品測評認證中心資質國家信息安全測評認證體系信息安全保障服務研究與實踐-25-國家信息安全測評認證體系為適應全球經濟一體化的發展趨勢和我國加入WTO的客觀要求，我國于1997年依循國際慣例開始啟動國家信息安全測評及認證體系籌建工作。-26-國家信息安全測評認證體系計算機測評中心上海測評中心東北測評中心華中測評中心深圳測評中心西南測評中心武漢互操作測評中心身份認證測評中心云南測評中心重慶測評中心西北測評中心河南測評中心山東測評中心通訊安全測評中心-27-主要內容中國信息安全產品測評認證中心簡介中國信息安全產品測評認證中心資質國家信息安全測評認證體系信息安全保障服務研究與實踐-28-信息安全保障服務中國信息安全測評中心自成立至今，一貫致力于國家信息安全保障體系的建設工作，依托測評服務平臺，整合各類資源，為各政府機構、社會用戶提供多方面、多角度、多層次的信息安全服務，為國家的信息安全保障體系建設提供有力的技術支持。測評中心曾先后參與國家稅務總局、國家財政部、最高人民檢察院、、國家鐵道部中國人民銀行、中國證監會、中國民航、國家廣電總局等多家單位的網絡信息系統安全建設工作，在總體安全方案制定、安全咨詢顧問、安全工程項目監理、信息系統安全性測試評估等方面為這些用戶提供了專業服務。-29-專業測評技術服務隊伍

中國信息安全產品測評認證中心擁有一支高素質的測評隊伍。所有測試評估人員都經過嚴格的專業培訓并通過“注冊信息安全專業人員（CISP）”的國家資質考核，其扎實的專業知識、技術和技能，是確保測評工作質量的重要保證，曾出色完成多個政府機構、銀行、證券、電信等組織機構的信息安全測評項目，具有豐富的測評經驗。同時中心還擁有一支強大的專家隊伍，包括中國工程院院士、研究員、博士、歸國留學人員等來自信息安全各領域的專家學者。對中心的測評技術研究、測評標準制定、測評工作評審以及大型信息安全測評項目等進行專業指導和顧問-30-信息安全風險評估

2005年中心受國務院信息化工作辦公室委托，承擔了國家稅務系統風險評估以及云南省政府辦公網絡系統風險評估的試點工作。并參加了國家信息系統安全風險評估實施指南、實施標準、評估方法等系列標準的研究與開發工作。2006年7月在國家網絡與信息安全協調小組辦公室下發的信安通[2006]16號《關于對國家基礎信息網絡和重要信息系統開展安全檢查的通知》中，中心作為國家專門隊伍承擔了鐵道部鐵路貨票信息管理系統和中國民航離港信息系統的安全抽查評估任務。其評估方法和結果將為國信辦落實對國家基礎信息網絡和重要信息系統開展安全檢查工作提供重要依據。-31-2006年8月在中國證監會組織的證券期貨業的信息安全風險評估試點工作中，中心積極參與了制定《證券行業信息安全風險評估工作指南》的編寫，并承擔證券行業試點國泰君安證券有限公司集中交易系統風險評估的項目實施，為探索證券期貨業信息系統安全的適用性、合理性，積累了寶貴經驗。2007年7月中國信息安全產品測評認證中心在國務院信息化領導小組工作辦公室組織的2007年度國家基礎信息網絡和重要信息系統檢查評估工作中，作為國家專門隊伍承擔了：《深圳國稅信息系統安全檢查評估》、《中國證券登記結算公司信息系統安全檢查評估》。信息安全風險評估-32-2008年國家部委級安全服務項目1.國家稅務總局委托我中心開展稅務信息系統2008年度日常信息安全及特殊時期（兩會、奧運會、法定長假）安全服務，查找漏洞排除隱患，制訂漏洞修補建議，以確保稅務信息系統的正常穩定運行。

2.2008年3月分別承擔了國家稅務總局應用安全咨詢與風險評估項目、總局風險評估項目、稅務系統安全檢查評估等安全服務項目。

3.2008國家財政部涉密網絡整合項目安全工程咨詢與監理。-33-黨政系統最高人民檢察院國家發展與改革委員會國家統計局國家安全部全國政協國家稅務總局國家財政部海關總署國家新聞出版總署國家鐵道部建設部國家知識產權局科技部中共中央對外聯絡部國家外匯管理局證監會江蘇省政府辦公廳……-34-關鍵基礎設施北京第29屆奧運會組織委員會中國金融認證中心(CFCA)中國互聯網絡信息中心(CNNIC)鐵道部全國客票預訂與發售系統鐵道部鐵路貨票信息系統中國民航離港信息系統中國電信CA系統中國網通中國聯通中國移動國家電力中國北方……-35-銀行系統中國人民銀行中國建設銀行中國工商銀行中國招商銀行中國光大銀行中國民生銀行興業銀行交通銀行南京商業銀行北京市農村商業銀行廣東省南海農聯社好易聯支付系統銀聯支付系統寧波市商業銀行溫州市商業銀行貴陽市商業銀行重慶市商業銀行昆明市商業銀行長沙市商業銀行浙商銀行……-36-證券、保險系統國泰君安證券中國銀河證券長城證券上海財政證券東方證券華夏證券中信證券中國人民財產保險公司新華人壽保險公司……對風險評估的理解與分析國家政策27號文件提出了明確要求：

要重視信息安全風險評估工作，對網絡與信息系統安全的潛在威脅、薄弱環節、防護措施等進行分析評估，綜合考慮網絡與信息系統的重要性、涉密程度和面臨的信息安全風險等因素，進行相應等級的安全建設和管理2003年，國務院信息辦成立風險評估課題組，開展有關調研工作。2005年在銀行、稅務、電力等行業和部門以及北京、上海、黑龍江、云南等地方開展試點，取得了預期效果。2005年12月，國家網絡與信息安全系統小組第五次會議審議通過了《關于開展信息安全風險評估工作的意見》，提出了風險評估的原則、工作要求和工作部署。2006年3月，國務院信息辦分別在北京和昆明召開了風險評估文件宣貫會，并印發了《信息安全風險評估指南》。國家發展和改革委員會令[2007]第55號項目建設單位或其委托的專業機構應按照風險評估的相關規定，對建成項目進行信息安全風險評估，檢驗其網絡和信息系統對安全環境變化的適應性及安全措施的有效性，保障信息安全目標的實現2008年8月6日國家發展和改革委員會、公安部、國家保密局《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》發改高技[2008]2071號：國家電子政務網絡、重點業務信息系統、基礎信息庫以及相關支撐體系等國家電子政務工程建設項目，應開展信息安全風險評估工作；非涉密信息系統的信息安全風險評估，有國家信息技術安全研究中心、中國信息安全測評中心、公安部信息安全等級保護評估中心等三家專業測評機構承擔國家對風險評估用戶范圍確定重點部門、重點行業（電信、廣電、銀行、證券、保險、稅務、海關、鐵路、民航、電力）的網絡信息系統風險評估工作提出了明確要求。掌握信息系統安全現狀；獲得信息安全評估工作的經驗；提高組織管理層和技術人員的技術風險意識；明確今后信息技術安全工作的方向；為行業信息技術安全工作做出了有益的探索。40安全風險評估對組織的意義《國家網絡與信息安全協調小組關于開展信息安全風險評估工作的意見》《GB/T20984-2007信息安全技術信息安全風險評估規范》《GB/T18336-2001信息技術安全技術信息技術安全性評估準則》《GB/T20274-2006信息安全技術信息系統安全保障評估框架》《電子政務信息系統安全保障要求》技術依據信息系統保障風險功能、機制架構、流程漏洞威脅評估概念及關系序號工作方式描述1內部溝通指評估小組內部，或協調員與被評估組織內部、或評估小組和協調員之間的溝通活動。2現場勘查現場勘測是指在項目實施過程中通過現場評估人員對實際環境的觀察的方式完成檢查評估的某些項工作，比如物理環境與存儲介質情況的評估。3訪談評估小組與被評估組織內有關的管理、技術和一般員工進行逐個溝通。根據對評估人員所提問題的回答，評估人員為評估獲得相應信息。4研討會評估小組與被評估組織的若干人員進行交流，從而獲得相關信息或就某些問題達成共識。5文檔評估文檔評估是整個檢查評估過程最初的階段，即在進行現場實施檢查評估前靜態評估階段主要的工作內容，對用戶提交的各類文檔進行審閱。6工具檢測評估人員通過自動化的工具檢測被評估對象，根據檢測的結果，評估人員為評估獲得相應信息。7手工檢測評估人員通過手工方式讀取被評估對象的環境狀況、配置情況，從而采集被評估對象的信息。風險評估方式國內外安全標準行業安全規定用戶資料技術管理工程-=風險級別安全要求安全現狀差距分析法階段任務工作日啟動準備階段資料準備、調研、評估培訓、編寫評估8現場測試階段安全技術測試和安全管理核查7風險分析階段分析現場檢測結果，編制系統安全風險評估報告7安全建議階段根據用戶需求編寫安全改進建議書5風險評估時間進度安排網絡基礎設施1網絡架構設計的安全性評估；所使用的網絡協議的安全性評估；網絡層次設施設備的安全配置檢查與評估；網絡層次安全脆弱性檢測與評估；網絡層次的滲透測試；網絡層次數據流檢測與評估業務支撐平臺2應用系統安全3業務應用架構設計、應用協議選用的安全評估；業務應用程序安全功能設計、安全功能實現的測試驗證評估；業務信息流設計、業務信息流檢測的安全評估；業務應用程序的安全配置核查評估與應用程序滲透測試；安全管理評估4安全管理基礎域安全管理核心域安全管理重要過程域安全管理生命周期域網絡設備安全設備服務器設備各種WEB服務器系統、中間件系統、數據庫系統、企業級防病毒系統等；業務支撐平臺系統的安全脆弱性檢測與評估；業務支撐平臺系統的滲透測試評估內容安全管理審核參考安全管理核心域安全策略風險管理安全管理基礎域安全組織體系人事安全資產管理物理和環境安全符合性管理保障過程域應急響應業務持續性生命周期管理域信息安全規劃系統開發管理運行管理安全技術評估信息系統安全技術分析檢測業務系統安全功能驗證測試內部安全脆弱性檢測系統體系架構安全性分析安全滲透性測試安全配置檢查業務應用系統應用支撐平臺信息系統網絡基礎設施黑盒測試灰盒測試整體分析評估內容滲透測試方式滲透測試內部滲透外部滲透應用層主機層網絡層從外到內從上到下檢測系統抗外部攻擊的能力。評估內容等級標識描述5極高一旦發生將產生非常嚴重的經濟或社會影響，如組織信譽嚴重破壞、嚴重影響組織的正常經營，經濟損失重大、社會影響惡劣4高一旦發生將產生較大的經濟或社會影響，在一定范圍內給組織的經營和組織信譽造成損害3中一旦發生會造成一定的經濟、社會或生產經營影響，但影響面和影響程度不大2低一旦發生造成的影響程度較低，一般僅限于組織內部，通過一定手段很快能解決1很低一旦發生造成的影響幾乎不存在，通過簡單的措施就能彌補風險等級風險評估項目流程風險評估流程資料準備：在啟動準備階段，根據《系統風險評估文檔準備說明》準備資料：前期調研：組織評估工作組成員對確定的實施范圍進行走訪。通過前期快速的調研，評估工作組可以基本掌握評估范圍內信息系統和人員的實際情況，并與配合人員進行初步的溝通，確定評估實施中必須具備的技術工具和手段，以及基本的時間安排和必要的工作準備。評估培訓：評估實施前對被評估單位工作人員進行的評估基本概念、實施過程等相關基礎知識的宣貫和闡明的過程。通過信息安全風險評估培訓，試點單位相關的人員初步掌握了評估的基本知識，明確了工作的目的、意義和工作的重點，為試點工作的順利開展打下了良好的基礎。風險控制方案：評估工作本身不可避免地會帶來各種風險。實施風險控制主要包括實施風險分析和根據具體評估范圍制定的風險控制方案。評估項目管理計劃：根據評估項目的實施特性，制定了信息安全風險評估項目控制與管理計劃啟動準備階段資產評估：資產評估是確定資產在信息安全屬性（機密性、完整性、可用性等）缺失時，對信息系統造成的影響的過程。在實際的評估中，資產評估包含：資產識別、資產安全要求識別、資產賦值威脅評估：威脅評估是通過技術手段、統計數據和經驗判斷來確定信息系統面臨的威脅的過程。威脅評估中的主要工作包括兩個方面，一是要根據特定資產運行環境來確定其所面臨的威脅來源，另一方面要確定這些威脅的嚴重程度和發生的頻率。每個資產由于所處的環境不同，面臨的威脅也不盡相同，因此對評估范圍內的資產需要根據資產評估的分類結果