信息平安測評認證

開展狀況中國信息平安產品測評認證中心李守鵬2004年7月3日2004年7月3日主要內容一、測評認證的起因二、測評認證的作用三、測評認證體制四、國外測評認證的開展情況五、我國測評認證的開展情況六、測評認證的開展趨勢一、測評認證的起因2004年7月3日信息平安與信息平安保障TCSEC的產生背景TCSEC評估向CC評估的過度我國信息平安測評認證的產生二、測評認證的作用2004年7月3日對國家信息平安保障的作用對信息平安產業的作用促進產品平安質量的提高有利于信息平安市場的良性開展促進產品的國際競爭能力對用戶的作用指導用戶選擇合格的IT產品IT平安產品支持平安的IT產品是用戶建設平安的信息系統的根底保護用戶的信息財產平安三、測評認證體制2004年7月3日測評認證體制的構成認證體制主要包括三個方面測評認證標準〔準那么〕方法論測評認證組織體系測評認證標準和方法論測評認證組織體系評估機構〔實驗室〕中國信息平安產品測評認證中心

認證機構認可機構〔CNAB/CNAL〕證書認可授權認證評估機構〔實驗室〕評估機構〔實驗室〕評估機構〔實驗室〕認可認證主要流程評估目標ETR評估文檔批準評估技術報告準備評估開展評估進行認證評估技術報告認證維持認證報告證書四、國外測評認證

開展情況2004年7月3日歐洲國家和地區89-93年加拿大89-93年通用準則計劃93年起ISOIS15408‘99美國TCSEC83/85年CTCPEC93年聯邦準則92年通用準則（CC1.0）96年通用準則（CC2.1）99年NIST’sMSFR90年ITSEC1.291年ISO92年起=CC的意義建立了國際統一標準ISO/IEC15408建立了國際互認根底為產品開發提供了參照使產品在國際上廣泛可得CC國際互認情況測評標準的相關工作美國國家認證機構多個授權測試實驗室認證申請者國家實驗室認可程序管理監督指導評估結果美國測評認證體系模式NIAP認證機構國家志愿實驗室認可程序ISO標準(導那么65)已批準實驗室列表已批準測試方法列表認證報告已認證產品列表通用準那么證書－消費者組－本國政府－本國非政府－國外政府－國外非政府－平安社團體制需要評估結果認可ISO/IEC(導那么25)要求通用準那么測試實驗室評估發起者〔IT產品或保護輪廓〕IT平安評估要求美國信息平安認證程序主任副主任質量主管資料/信息主管技術監督主管資源主管人事部培訓部項目部評估部認證部證書管理文檔控制資料管理證書維護機構管理美國測評認證機構的內部結構美國信息平安測評認證開展情況美國信息平安測評認證證書目前只頒發通用準那么〔CC〕證書美國信息平安測評機構目前批準的通用準那么測試實驗室〔CCTL〕有8個，它們是：BoozAllenHamiltonCommonCriteriaTestingLaboratoryCableandWirelessCommonCriteriaTestingLaboratoryCOACTInc.CAFELaboratoryComputerSciencesCorporationCriterianIndependentLabsCygnaComSolutions'SecurityEvaluationLaboratoryInfoGardLaboratories,IncSAICCommonCriteriaTestingLaboratory美國認證體系公開出版物目錄

1 體制出版物#1組織、管理和運作概念2體制出版物#2認證機構標準運作程序3體制出版物#3IT平安評估的認證員指南4體制出版物#4通用準那么測試實驗室指南5 體制出版物#5IT平安評估發起者指南6 體制出版物#5〔未發布〕證書維持標準英國通信電子平安局〔CESG〕負責管理和運行英國的信息平安測評認證體系英國信息平安測評認證開展歷程1〕1991年開始依據ITSEC評估與認證，2〕從1999年ISO15408正式發布起，也同時開始依據CC的評估與認證。已進行了10多年的測評認證，比較成熟。

英國的測評認證體系英國的信息平安測評認證體系是1991年由掌管英國電子情報的皇家通信電子平安局〔CESG〕與主管產業標準化工作的貿易與工業部〔DTI〕共同建立的，其體系結構與美國根本相同通信電子安全局貿易與產業部國家測評認證機構授權測評機構申請者國家認可程序測評認證管理委員會委托者認證報告證書UKASCLEF開發者認證機構發起者評估體系管委會實驗室認可認證評估工作程序觀測報告評估技術報告批準和使用信息系統制訂策略和技術監督觀測報告評估對象授權CLEF安全目標評估對象安全目標可交付性可交付性觀測報告英國信息平安認證程序英國信息平安測評認證方法兩種測評標準及方法并存：ITSEC和ITSEMCC和CEM

英國信息平安測評認證證書目前頒發兩種證書：ITSEC證書、通用準那么證書英國信息平安測評機構目前批準的商業性評估機構共有5家，分別是：1)

AdmiralManagementServices公司2)

EDSLtd3)

LogicaUKLtd4)

Syntegra5)

IBMGlobalServices英國認證體系公開出版物目錄1.UKSP01 英國ITSEC平安評估體制描述2.UKSP02 商業評估機構認可3.UKSP04/1 開發者指南第1局部：ITSEC中的開發者任務4.UKSP04/2 開發者指南第2局部：開發者參考資料5.UKSP04/3 開發者指南第3局部：向開發者提供的建議6.UKSP12 在系統評估過程中認可文檔與評估平安目標之間的關系7.UKSP16/1 英國證書維持體制第1局部：認證維持的描述8.UKSP16/2 英國證書維持體制第2局部：影響分析及評估方法澳大利亞國防情報總局〔DSD〕負責管理和運行澳大利亞的信息平安測評認證體系澳大利亞信息平安測評認證

開展歷程1〕從1994年9月到1997年8月試運行依據ITSEC評估與認證，2〕從1998年6月至今，向基于CC的評估和認證過渡測評認證的時間不太長，正在逐步成熟澳大利亞信息平安測評認證方法早期為TCSEC目前為CC和CEM

澳大利亞信息平安測評認證證書目前只頒發通用準那么〔CC〕證書澳大利亞信息平安測評機構澳大利亞目前有3個完全授權的測評機構

CSCLogicaCMG

Tenix

Defence

加拿大通信平安機構〔CSE〕負責管理和運行加拿大的信息平安測評認證體系加拿大信息平安測評認證開展歷程1989年開始依據TCSEC評估，分為三個階段：1989年1993年，依賴別國標準〔即TCSEC〕階段；1993年1998年，依據本國標準〔即CTCPEC〕階段；從1998年至今，依據CC評估階段已進行了10多年的測評認證，比較成熟。加拿大信息平安測評認證方法早期為TCSEC和TCSEM中期為CTCPEC目前為CC和CEM

加拿大信息平安測評認證證書目前只頒發通用準那么證書加拿大信息平安測評機構目前批準了3家商業性測評機構

CGIInformationSystemsandManagementConsultantsIncDOMUSITSecurityLaboratoryEWA-Canada德國信息平安局〔GISA〕負責管理和運行德國的信息平安測評認證體系德國信息平安測評認證開展歷程1〕1991年開始依據ITSEC評估與認證，2〕從1999年ISO15408正式發布起，也同時開始依據CC的評估與認證。已進行了10多年的測評認證，比較成熟。德國信息平安局的組織結構局長副局長1處綜合管理2處認證認可3處密碼平安5處系統平安6處咨詢支持6個科5個科6個科4個科7個科5個科共340人德國信息平安測評認證方法兩種測評標準及方法并存：ITSEC和ITSEMCC和CEM

德國信息平安測評認證證書目前頒發兩種證書：ITSEC證書、通用準那么證書德國信息平安測評機構德國BSI目前已認可了10家商業性公司作為其評估機構，這10家評估機構是：AtsecinformationsecurityGmbH

Prüfstelle

fürIT-Sicherheit

CompetenceCenterInformatikGmbHPrüfstelleIT-Sicherheit

CSCPloenzkeAGDeutsches

Forschungszentrum

für

künstliche

IntelligenzGmbH

PrüfstelleIT-Sicherheit

Industrieanlagen-Betriebsgesellschaft

mbH

SRCSecurityResearch&ConsultingGmbHPrüfstelle

fürIT-Sicherheit

Tele-ConsultingGmbH

Prüflabor

fürIT-Sicherheit

T-SystemsGEIGmbH

PrüfstelleIT-Sicherheit

TüVInformationstechnikGmbH

-ein

Unternehmen

derRWTüV-

Gruppe-Prüfstelle

fürIT-Sicherheit

TüVNord

e.V.

Software&ElektronikLabor

(SEELAB)法國FrenchITEvaluationandCertificationScheme信息系統平安局〔SCSSI〕負責管理和運行法國的信息平安測評認證體系法國信息平安測評認證開展歷程1〕1995年開始依據ITSEC評估與認證，2〕從1999年ISO15408正式發布起，也同時開始依據CC的評估與認證。管理委員會國家認證機構授權測評機構開發者發起者法國的信息平安測評認證體系建于1995年9月，認證工作由法國情報部門管理，其體系結構如下：法國的信息平安測評認證體系法國信息平安測評認證方法兩種測評標準及方法并存：ITSEC和ITSEMCC和CEM

法國信息平安測評認證證書目前頒發兩種證書：ITSEC證書、通用準那么證書法國信息平安測評機構韓國IT平安評估與認證KISA的組織結構圖董事會主席監督委員會信息安全計劃部信息安全技術部信息安全評估與CA部信息基礎設施保護部綜合管理部個人信息協調秘書部計劃與協調組安全政策研究組教育與公共聯絡組安全技術標準化組密碼技術組先進系統與網絡安全組IT安全評估準則組IT安全評估組IIT安全評估組II韓國中央CA反黑客與病毒咨詢組信息基礎設施保護組技術援助組信息安全產業支持中心綜合事務組財務組資產管理組個人信息保護中心爭議調解組個人信息協調委員會韓國評估與認證流程信息與通信部開發者發起者國家情報暑KISA/評估者用戶IT產品/評估證據支持對評估證據開發/補充頒發認證結果與證書準那么一致性推薦認證體制運作推薦通過認證的產品提供通過認證的產品清單對評估結果認證評估報告國際測評認證開展成就〔1〕認證的PP數統計國際測評認證開展成就〔2〕CC認證的產品數統計國際測評認證開展成就〔3〕

認證的產品類型統計國際測評認證開展成就〔4〕

認證的產品EAL級別統計國際測評認證開展成就〔5〕

認證證書數統計五、我國測評認證

開展情況2004年7月3日我國信息平安管理體系國家高度重視認證認可工作國家高度重視認證認可工作國家高度重視信息平安測評認證工作錦濤同志在在2000年3月29日的信息網絡平安協調會議上強調“要建設好信息平安測評認證中心〞邦國同志曾在報告上批示：信息平安認證中心的工作很重要，是確保國家信息平安，促進互聯網健康開展的重大舉措，又是當前急需解決的緊迫問題測評認證中心的建設過程(1)測評認證中心的建設過程(2)測評認證中心的建設過程(3)國家信息平安測評認證體系組成結構中國信息平安產品測評認證中心授權測試實驗室國家實驗室認可程序ISO65、25認證申請者授權質管測試報告申報測試報告評估報告認證證書監管機構(CNCA)國家認證實體授權測評機構認證中心的性質中國信息平安產品測評認證中心是經中央批準成立的、代表國家實施信息平安測評認證的職能機構，依據國家有關產品質量認證和信息平安管理的法律法規，管理和運行國家信息平安測評認證體系認證中心的主要職能任務中心標志中國信息安全產品測評認證中心CHINAINFORMATIONTECHNOLOGYSECURITYCERTIFICATIONCENTERCNITSEC中華人民共和國國家信息安全認證認證標志CNITSEC測評認證體系的