優選信息產業信息安全測評中心基本情況及業務當前1頁，總共37頁。提綱單位介紹01經驗及能力簡介02當前2頁，總共37頁。單位介紹（一）華北計算技術研究所（中國電子科技集團公司第十五研究所）成立于1958年是全民所有制國家一類科研事業單位注冊資金1.0641億元1998年，工業和信息化部（原電子工業部）依托中國電子科技集團公司第十五研究所，授權其成立“電子工業部計算機安全技術檢測中心”，2011年經工信部批示，更名為“信息產業信息安全測評中心”中央網信辦技術支持單位國家網絡與信息安全信息通報機制技術支持單位工信部重點領域信息安全檢查技術支持隊伍公安部和北京市公安局網安安全檢查與應急技術支持單位當前3頁，總共37頁。單位介紹（二）--所具備的認證認可相關資質工業和信息化部最早成立及授權專門從事信息系統測評和信息安全產品測試及技術服務的檢測機構中國認證認可監督管理委員會（CMA）計量認證/資質認定資質中國合格評定國家認可委員會（CNAS）認可檢測實驗室（CNASL0293）中國合格評定國家認可委員會（CNAS）認可檢驗機構（CNASIB0046）信息安全等級保護測評機構推薦證書（國-008）中國人民銀行授權非金融機構支付服務業務系統檢測機構和移動金融技術服務認證檢測機構信息安全風險評估服務資質認證證書（一級）（ISCCC-2010-ISV-RA-003）中國國家認證認可監督管理委員會授權國家信息安全產品強制性檢測實驗室工業和信息化部工業產品質量控制和技術評價實驗室信息安全管理體系認證證書（GB/T22080--ISO/IEC27001）信息產業部授權通信電子質量監督檢驗機構國家稅務局指定軟件產品增值稅退稅檢測機構北京市經信委北京市財政局北京市國稅局指定軟件產品增值稅退稅檢測與登記測試機構當前4頁，總共37頁。單位介紹（三）--所具備的安全管理制度國家認可實驗室遵循標準

ISO/IEC17025:2005檢測和校準實驗室能力的通用要求

GB/T27025-2008檢測和校準實驗室能力的通用要求國家認可檢查機構遵循標準ISO/IEC17020:1998各類檢查機構能力的通用要求GB/T18346-2001各類檢查機構能力的通用要求計量認證合格單位遵循準則實驗室資質認定評審準則信息安全管理體系認證標準ISO/IEC27001:2005信息技術安全技術信息安全管理體系要求GB/T22080-2008信息技術安全技術信息安全管理體系要求當前5頁，總共37頁。單位介紹（三）--所具備的安全管理制度2013年中心質量體系現行有效版本為5.0，中心管理體系已經有效運行十三年，并一直持續改進。測評／檢查過程控制程序》中心運行的管理體系當前6頁，總共37頁。單位介紹（三）--所具備的安全管理制度持續通過中國合格評定國家認可委員會（CNAS）認可的實驗室和檢查機構監督評審和復評審通過ISO27001信息安全認證體系監督審核和復評審質量目標測評報告的合格率達到100%，客戶滿意度達到96%質量方針當前7頁，總共37頁。單位介紹（四）--設備與設施智能卡產品測試設備與工具1. Java卡安全性檢測平臺2. 智能卡COS安全性檢測平臺3. 隨機數質量檢測平臺4. 非接觸式智能卡協議分析儀5. SWP測試套件6. 接觸式智能卡測試儀-MP300TC27. 接觸式智能卡測試儀-MP300TC38. 非接觸式智能卡測試儀-MP300TCL29. MP300TCL2擴展模塊10. 智能卡通信協議分析儀-STAR315011. 智能卡旁路攻擊分析測試平臺-InspectorSCA12. 智能卡故障注入分析測試平臺-InspectorFI系統當前8頁，總共37頁。單位介紹（四）--設備與設施信息安全產品測試設備與工具在設備設施方面，中心購置了相應的測評設備和工具協議分析儀、思博倫萬兆性能測試儀、IXIA性能測試儀當前9頁，總共37頁。單位介紹（四）--設備與設施移動互聯網應用軟件源代碼安全審計分析平臺當前10頁，總共37頁。單位介紹（四）--設備與設施信息系統安全與軟件測試設備與工具1. 綠盟遠程安全評估系統2. 安信通數據庫安全掃描和滲透系統3. 明鑒數據庫弱點掃描器4. IBMRationalAppScan應用安全掃描和分析系統5. WebRavor應用安全掃描系統6. AcunetixWVS應用安全漏洞掃描和分析軟件7. BackTrack5安全檢測套件8. 軟件測試管理工具-MercuryQualityCenter9. 軟件產品性能測試軟件-HPLoadRunner10. 軟件源代碼安全檢測工具-FortifysoftwareSCAWebRavor當前11頁，總共37頁。單位介紹（四）--設備與設施設備設施配置中心還根據測評需要，自行研發了一批測試管理平臺和工具信息安全等級保護測評管理平臺自動生成測評表單、基于知識庫提出風險建議當前12頁，總共37頁。單位介紹（四）--設備與設施非金融機構系統測試管理平臺當前13頁，總共37頁。單位介紹（四）--設備與設施設備設施配置自主研發了攻防演練平臺、測試管理平臺、工具和作業指導書Web常見漏洞攻防演練平臺信息系統風險評估作業指導書信息系統安全等級保護測評現場核查表及作業指導書風險評估問卷生成及管理系統軟件登記測試項目管理平臺當前14頁，總共37頁。單位介紹（四）--設備與設施重要信息系統安全監測及風險預警網站漏洞網站木馬、暗鏈網站關鍵字網站篡改網站可用性《信息系統安全事件報告》（如果監測發現安全事件）《信息系統安全監測預警報告（月）》《信息系統安全趨勢分析報告（年度）》當前15頁，總共37頁。單位介紹（五）--人員資質國家認證認可監督管理委員會實驗室資質認定評審員中國合格評定國家認可委員會（CNAS）實驗室和檢驗機構技術評審員中國合格評定國家認可委員會（CNAS）實驗室和檢驗機構主任評審員中國合格評定國家認可委員會（CNAS）評定委員會委員中國合格評定國家認可委員會（CNAS）信息技術專業委員會委員全國信息安全標準委員會信息安全評估工作組及信息安全管理工作組成員北京市公安局網絡信息安全專家工業和信息化部電子信息產品質量監督管理專業技術委員會成員工信部電子信息產業發展基金專家信息安全產品認證技術專家國家金卡工程安全工作組副組長北京市信息化專家咨詢委員會委員北京市政府采購評審專家當前16頁，總共37頁。單位介紹（五）--人員資質從事專業檢測工作技術人員信息安全等級測評師（高級/中級/初級）注冊信息安全專業人員（CISP）國家注冊ISMS審核員（ISO27001：2005）OWASPWEB應用安全認證專家@secPenetrationTest滲透性測試應用系統性能測試與故障診斷HPFortify源代碼分析培訓證書非金融機構支付服務業務系統檢測人員軟件性能測試高級工程師軟件測試工程師當前17頁，總共37頁。提綱單位介紹01經驗及能力簡介02當前18頁，總共37頁。等級保護能力概述（一）中心具有深厚的測評技術能力，能夠貫徹執行相關工作我中心是目前全國開展信息安全等級測評師培訓的兩家機構之一。中心作為主辦單位，連續三年組織開展了全國信息安全等級測評能力驗證活動，參與單位已覆蓋到全國所有等級測評機構，其中所有考題均由我中心技術人員設計，并搭建現場考試環境。我中心還是“中關村信息安全測評聯盟”（全國130余家等級測評機構發起成立）副理事長單位。我中心霍珊珊副主任被聘為國家信息安全等級保護安全建設工程師培訓專家講師；中心還是“網安護城河”工程協辦單位，中心張益和董晶晶副總工均為特邀講師（總計共30位信息安全業界知名講師）。當前19頁，總共37頁。等級保護能力概述（二）中心是全國最早開展等級保護相關工作的單位之一2009年，公安部發布《關于開展信息安全等級保護測評體系建設試點工作的通知》（公信安[2009]812號），其中明確指出我中心作為全國首批（共3家）信息安全等級保護測評體系建設試點工作單位，開展等級測評體系實施試點工作。中心全程參與了全國信息安全等級保護測評體系建設工作，對等級測評具有深刻的理解。當前20頁，總共37頁。等級保護能力概述（三）中心是等級保護相關制度、標準制修訂工作的重要參與單位中心作為等級保護系列標準牽頭和參與單位，對各類制度、標準具有深刻的認識；其中，牽頭編制了《信息安全技術信息系統安全等級保護測評要求第4部分：對物聯網系統的擴展測評要求》、《信息安全技術信息系統安全等級保護安全管理中心技術要求》等標準，參與制定了《信息安全技術信息系統等級保護物聯網安全設計技術指南》、《信息安全技術信息系統安全等級保護基本要求第4部分：對物聯網系統的擴展安全要求》、《信息安全技術信息系統安全等級保護測評要求第5部分：對工業控制系統的擴展測評要求》、《信息安全等級保護檢查規范》等制度及標準；中心還作為主要參與單位，對《GB/T28449-2012信息安全技術信息系統安全等級保護測評過程指南》進行了修訂。當前21頁，總共37頁。等級保護能力概述（四）中心作為技術支撐隊伍，為等級保護工作的開展保駕護航我中心是信息與網絡安全保衛工作技術保障單位，是國家網絡與信息安全通報機制技術支持單位，是中央網信辦、公安部、北京市公安局網安總隊、文化保衛總隊、內部單位保衛局等主管部門的技術支持單位；常年配合各主管部門開展等級保護監督檢查工作，并作為主要撰寫單位，編制了《信息安全等級保護檢查規范》，目前已成為北京市公安局開展等級保護監督檢查工作的重要依據。當前22頁，總共37頁。多方信息安全技術支持工作2012-2015年重點領域信息安全抽查工作。涉及國家部委、黨政機關等關鍵部門面向互聯網的應用系統1000多個。中央網絡安全和信息化領導小組辦公室2013-2015年度網絡安全態勢分析及專題研究報告：互聯網服務器安全狀況分析等。網絡安全規劃相關材料編寫、央企信安培訓等承辦2012年-2016年信息安全等級保護測評能力檢查機構能力驗證活動共涉及參與機構140余家。參與中國人民銀行非金融機構和移動金融技術服務認證檢測體系建立，參與編制規范、標準體系報告編制，并在能力驗證和算法破解方面名列前茅。支持北京市公安局網絡安全總隊：應急技術支持、安全滲透測試、網安啟明星、地方檢查標準等國家網絡與信息安全信息通報中心中國合格評定國家認可委認可委（CNAS）國家部委和重要行業主管部門……當前23頁，總共37頁。中心技術能力對于等級保護的支撐信息安全等級保護支撐工作物聯網信息安全測評公共服務平臺移動應用安全測評平臺云計算安全測評平臺智能卡滲透性測試平臺信息安全等級保護測評能力驗證平臺信息安全等級保護測評管理平臺Web安全遠程監測與挖掘平臺信息安全產品安全性測評平臺當前24頁，總共37頁。1、信息安全等級保護測評能力驗證平臺配置主流操作系統、交換設備、安全設備和應用系統的模擬系統環境。當前25頁，總共37頁。2、信息安全等級保護測評管理平臺自主研發有效提高項目實施的準確性、規范性和一致性實現測評表單生成和測評結果統計的自動化基于知識庫推薦合理化整改建議自動生成符合標準要求的測評報告（2015版）保障測評質量是對等級保護測評工作最大的保障，也是最應該盡到的責任當前26頁，總共37頁。3、Web安全遠程監測與漏洞挖掘平臺Web安全遠程監測與漏洞挖掘平臺Web漏洞監測暗鏈篡改監測突發漏洞專項排查SQL注入遠程命令執行跨站腳本越權對象訪問博彩廣告反動漏洞排查與驗證Struts2OpenSSLBash開源組件應用程序不安全配置備份文件或源代碼泄漏任意文件上傳中間件不安全配置當前27頁，總共37頁。3、Web安全遠程監測與漏洞挖掘平臺CNVD國家漏洞共享平臺證明等保技術大會論文基于等級保護的應用安全問題分類及工具實現當前28頁，總共37頁。4、信息安全產品安全性測評平臺某安全產品廠商垂直越權問題的例子https://IP:8889/cgi-bin/webgate?username=auditor，將地址欄URL中username=auditor修改為name=admin，訪問修改后的鏈接，跳轉到設備超級管理員的界面當前29頁，總共37頁。4、信息安全產品安全性測評平臺測試工具軟件著作權證書當前30頁，總共37頁。5、移動應用安全測評平臺移動APP源代碼安全審計分析平臺——白盒通過構建移動應用軟件源代碼安全審計分析平臺，針對數據流、語義、結構、控制流、配置流等方面，對源代碼進行靜態分析。移動互聯網系統與應用安全國家工程實驗室當前31頁，總共37頁。5、移動應用安全測評平臺移動終端APP應用安全評估——黑盒《移動應用軟件安全測試評估框架與方法》當前32頁，總共37頁。6、物聯網信息安全測評公共服務平臺物聯網信息安全測評公共服務平臺《物聯網RFID應用系統安全等級保護研究》當前33頁，總共37頁。7、云計算安全測評平臺云計算虛擬化測評平臺《虛擬環境下虛擬機監控器的應用對信息安全等級保護的影響研究》《云計算信息系統等級保護安全設計要求初探》當前34頁，總共37頁。8、智能卡滲透性測試平臺智能卡滲透性測試平臺智能卡旁路攻擊分析測試平臺支持多種側信道分析，對智能卡進行SPA、DPA、EMA、EMA-RF、RFA攻擊。智能卡故障注入分析測試平臺能夠對智能卡進行故障注入攻擊測試，測試者能夠根據分析確認精確、可靠的錯誤注入時機，可以進行時鐘和電壓glitching的錯誤注入攻擊。當前35頁，總共37頁。8、智能卡滲透性測試平臺一種新的基于SPA