cisp-01-信息安全测评服务介绍.ppt

《cisp-01-信息安全测评服务介绍.ppt》由会员分享，可在线阅读，更多相关《cisp-01-信息安全测评服务介绍.ppt（63页珍藏版）》请在金锄头文库上搜索。

1、CISP-01-信息安全测评服务介绍,中国信息安全测评中心 2008年11月,-2-,主要内容,中国信息安全测评中心简介 中国信息安全测评中心资质 国家信息安全测评体系 信息安全保障服务研究与实践,-3-,中国信息安全测评中心简介,中国信息安全产品测评认证中心是经中央批准成立的、代表国家专门从事信息技术安全测试和风险评估的权威职能机构 。 测评中心是国家信息安全保障体系中的重要基础设施之一，在国家专项投入的支持下，拥有国内一流的信息安全漏洞分析资源和测试评估技术装备；建有漏洞基础研究、应用软件安全、产品安全检测、系统隐患分析和测评装备研发等多个专业性技术实验室；具有专门面向党政机关、基础信息网

2、络和重要信息系统开展风险评估的国家专控队伍。,-4-,中心标志,中国信息安全测评中心标志 英文名称为： China Information Technology Security Evaluation Center 简称：CNITSEC。,-5-,中心的筹备与建立,中国信息安全产品测评认证中心筹建于1997年 1998年7月以“中国互联网络安全产品测评认证中心” 的名称试运行 1998年10月经国家质量技术监督局授权成立了“中国国家信息安全测评认证中心” 2001年5月，中编办字200151号文件正式批准了认证中心的职能任务和机构编制，将认证中心正式定名为“中国信息安全产品测评认证中心” 20

3、07年，经中央批准，增加漏洞分析和风险评估职能，更名为“中国信息安全测评中心” ，成为国家信息安全专控队伍。,-6-,胡锦涛同志批示： 信息安全事关国家安全，必须予以高度重视。 在2000年3月29日的信息网络安全协调会议上又强调“要建设好信息安全测评认证中心”,国家领导批示,-7-,2006年10月25日国家主席胡锦涛同志再次批示：加强测评中心的建设，明确职责，发挥其作用，以排除隐患和漏洞。,国家领导批示,-8-,测评服务范围,依据中央授权，测评中心的主要职能包括：； 信息安全漏洞分析； 信息安全风险评估； 信息技术产品、信息系统和工程安全测试与评估； 信息安全服务和信息安全人员资质测评；

4、信息安全技术咨询、工程监理与开发服务。,-9-,-10-,信息安全产品认证（共667个） 629款产品通过型号认证 16款产品通过EAL3级认证 22款产品通过EAL4/EAL4+级认证 信息安全服务资质认证（共124家） 139家信息安全服务商通过信息安全服务资质一级（安全工程类）认证 12家信息安全服务商通过信息安全服务资质二级（安全工程类）认证 注册信息安全人员认证（共2050人） 约2050余人通过注册信息安全专业人员（CISE/CISO/CISA）认证 信息系统安全测评与认证（共141项） 国内近120个信息系统通过信息系统安全测评，其中 19个系统达到信息系统安全保障能力级一级 6

5、个系统达到信息系统安全保障能力级二级 以上数字截至2008年7月,-11-,信息安全领域研究,技术研究： 中心的科研队伍一直致力于信息安全领域尤其是信息安全测评技术领域的深入研究。自成立至今，已承担了国家“863”计划、国家“973”计划、国家自然科学基金委员会、科技部、国家发展和改革委员会等多个国家重点科研项目。其中国家信息安全发展战略研究、系统安全风险分析和评估方法研究等国家“863”计划课题受到国务院信息化工作办公室等指导单位的高度赞扬。,-12-,信息安全领域研究,标准制定： 中心组织并参与了包括国家标准GB/T 18336-2001 信息技术 安全技术 信息技术安全性评估准则、信息安

6、全保障等级评估框架、电子政务信息系统安全保障评估准则、网上银行系统安全保障要求、网上证券委托系统安全保障要求、应用级防火墙安全技术要求、信息安全服务评价准则、信息安全工程质量管理要求、电信智能卡安全技术要求等在内的多个信息安全测评标准的编制工作。,-13-,中心出版物,编写并出版了信息安全理论与技术、信息安全工程与管理、信息安全标准与法律法规，国家注册信息安全专业人员资质认证选用了该丛书作为参考教材。,-14-,中心出版物,作为国家测评认证服务职能的一个重要体现，中心每年都出版信息安全产品政府采购指南，该指南现已广泛应用于国家各级政府部门及重要行业单位的信息安全采购工作中。,-15-,中心出版

7、物,从2003年开始，中心以双月刊形式推出国家信息安全测评认证杂志，为业界提供了一个信息安全技术交流平台。,-16-,组织编写了信息安全 国际视野丛书,信息安全保障的手段和工具-俄罗斯信息安全产业情况（上、下册） 关键信息基础设施保护-十四国安全保护政策陈述和分析 信息安全的科技支撑-美国信息安全产业研究 信息时代的国家安全防护网-美国访客系统 网络时代的安全治理-美国信息安全管理体制研究 编委会顾问包括（按姓氏笔画排列）： 曲维枝、何德全、周仲义、沈昌祥、蔡吉人、王渝次等,-17-,国际交流,中心自成立以来，一直担负着国家赋予的与世界各国相应测评认证机构进行国际交流与合作的职责。目前，中心已

8、代表我国参加第一届（美国）、第二届（英国）至第八届“信息安全测评认证标准与互认国际会议”。与美国、俄罗斯、英国、法国、德国、新加坡、日本等国家开展信息安全测试评估技术的交流、讲学等技术交流活动。,-18-,国际交流,2003年2月，中国信息安全测评中心受国家发展和改革委员会委托，代表中国政府与美国微软公司签署了政府安全计划（GSP）源代码协议，并于2006年2月将该协议续签。,-19-,主要内容,中国信息安全测评中心简介 中国信息安全测评中心资质 国家信息安全测评体系 信息安全保障服务研究与实践,-20-,认证中心的资质,中国信息安全测评中心 是正局级事业单位，隶属于国家质量监督检验检疫总局；

9、 其职能任务和机构编制是经中央编制委员会正式批准的； 中国信息安全测评中心及其所属的两个测评实验室均已获得了国家相关机构的认可证书，其服务范围与测评技术能力经过国家严格审查与认可,-21-,中国实验室国家认可委员会认可证书（1）,中国信息安全测评中心信息安全实验室，获得中国实验室国家认可委员会颁发的中国实验室国家认可委员会认可证书,-22-,中国实验室国家认可委员会认可证书（2）,中国信息安全测评中心系统工程实验室，获得中国实验室国家认可委员会颁发的中国实验室国家认可委员会认可证书,-23-,涉及国家秘密的计算机信息系统集成资质证书工程监理,2007年9月中国信息安全测评中心获得国家保密局颁发

10、的涉及国家秘密的计算机信息系统监理资质。,-24-,主要内容,中国信息安全产品测评认证中心简介 中国信息安全产品测评认证中心资质 国家信息安全测评认证体系 信息安全保障服务研究与实践,-25-,国家信息安全测评认证体系,为适应全球经济一体化的发展趋势和我国加入WTO的客观要求，我国于1997年依循国际惯例开始启动国家信息安全测评及认证体系筹建工作。,-26-,国家信息安全测评认证体系,计算机测评中心 上海测评中心 东北测评中心 华中测评中心 深圳测评中心 西南测评中心 武汉互操作测评中心 身份认证测评中心 云南测评中心 重庆测评中心 西北测评中心 河南测评中心 山东测评中心 通讯安全测评中心,

11、-27-,主要内容,中国信息安全产品测评认证中心简介 中国信息安全产品测评认证中心资质 国家信息安全测评认证体系 信息安全保障服务研究与实践,-28-,信息安全保障服务,中国信息安全测评中心自成立至今，一贯致力于国家信息安全保障体系的建设工作，依托测评服务平台，整合各类资源，为各政府机构、社会用户提供多方面、多角度、多层次的信息安全服务，为国家的信息安全保障体系建设提供有力的技术支持。 测评中心曾先后参与国家税务总局、国家财政部、最高人民检察院、国家铁道部中国人民银行、中国证监会、中国民航、国家广电总局等多家单位的网络信息系统安全建设工作，在总体安全方案制定、安全咨询顾问、安全工程项目监理、信

12、息系统安全性测试评估等方面为这些用户提供了专业服务。,-29-,专业测评技术服务队伍,中国信息安全产品测评认证中心拥有一支高素质的测评队伍。所有测试评估人员都经过严格的专业培训并通过“注册信息安全专业人员（CISP）”的国家资质考核，其扎实的专业知识、技术和技能，是确保测评工作质量的重要保证，曾出色完成多个政府机构、银行、证券、电信等组织机构的信息安全测评项目，具有丰富的测评经验。 同时中心还拥有一支强大的专家队伍，包括中国工程院院士、研究员、博士、归国留学人员等来自信息安全各领域的专家学者。对中心的测评技术研究、测评标准制定、测评工作评审以及大型信息安全测评项目等进行专业指导和顾问,-30-

13、,信息安全风险评估,2005年中心受国务院信息化工作办公室委托，承担了国家税务系统风险评估以及云南省政府办公网络系统风险评估的试点工作。并参加了国家信息系统安全风险评估实施指南、实施标准、评估方法等系列标准的研究与开发工作。 2006年7月在国家网络与信息安全协调小组办公室下发的信安通200616号关于对国家基础信息网络和重要信息系统开展安全检查的通知中，中心作为国家专门队伍承担了铁道部铁路货票信息管理系统和中国民航离港信息系统的安全抽查评估任务。其评估方法和结果将为国信办落实对国家基础信息网络和重要信息系统开展安全检查工作提供重要依据。,-31-,2006年8月在中国证监会组织的证券期货业的

14、信息安全风险评估试点工作中，中心积极参与了制定证券行业信息安全风险评估工作指南的编写，并承担证券行业试点国泰君安证券有限公司集中交易系统风险评估的项目实施，为探索证券期货业信息系统安全的适用性、合理性，积累了宝贵经验。 2007年7月中国信息安全产品测评认证中心在国务院信息化领导小组工作办公室组织的2007年度国家基础信息网络和重要信息系统检查评估工作中，作为国家专门队伍承担了：深圳国税信息系统安全检查评估、中国证券登记结算公司信息系统安全检查评估。,信息安全风险评估,-32-,2008年国家部委级安全服务项目 1.国家税务总局委托我中心开展税务信息系统2008年度日常信息安全及特殊时期（、奥

15、运会、法定长假）安全服务，查找漏洞排除隐患，制订漏洞修补建议，以确保税务信息系统的正常稳定运行。 2. 2008年3月分别承担了国家税务总局应用安全咨询与风险评估项目、总局风险评估项目、税务系统安全检查评估等安全服务项目。 3. 2008国家财政部涉密网络整合项目安全工程咨询与监理。,-33-,党政系统,最高人民检察院 国家发展与改革委员会 国家统计局 国家安全部 全国政协 国家税务总局 国家财政部 海关总署 国家新闻出版总署,国家铁道部 建设部 国家知识产权局 科技部 中共中央对外联络部 国家外汇管理局 证监会 江苏省政府办公厅 ,-34-,关键基础设施,北京第29届奥运会组织委员会 中国金

16、融认证中心(CFCA) 中国互联网络信息中心(CNNIC) 铁道部全国客票预订与发售系统 铁道部铁路货票信息系统 中国民航离港信息系统 中国电信CA系统 中国网通 中国联通 中国移动 国家电力 中国北方 ,-35-,银行系统,中国人民银行 中国建设银行 中国工商银行 中国招商银行 中国光大银行 中国民生银行 兴业银行 交通银行 南京商业银行 北京市农村商业银行,广东省南海农联社 好易联支付系统 银联支付系统 宁波市商业银行 温州市商业银行 贵阳市商业银行 重庆市商业银行 昆明市商业银行 长沙市商业银行 浙商银行 ,-36-,证券、保险系统,国泰君安证券 中国银河证券 长城证券 上海财政证券 东方证券 华夏证券 中信证券 中国人民财产保险公司 新华人寿保险公司 ,对风险评估的理解与分析,国家政策,27号文件提出了明确要求： 要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进