信息安全测评与认证信息安全测评与认证王贵驷 高级工程师王贵驷 高级工程师 wanggs@wanggs@ 中国信息安全产品测评认证中心 副主任中国信息安全产品测评认证中心 副主任 中国计算机学会中国计算机学会 理事 理事 中国信息产业商会信息安全产业分会 副理事长中国信息产业商会信息安全产业分会 副理事长 二○○二年五月二○○二年五月二○○二年五月二○○二年五月主要内容主要内容主要内容主要内容一、国家信息安全测评认证体系一、国家信息安全测评认证体系一、国家信息安全测评认证体系一、国家信息安全测评认证体系二、信息安全测评认证标准二、信息安全测评认证标准二、信息安全测评认证标准二、信息安全测评认证标准三、认证中心的四种业务三、认证中心的四种业务三、认证中心的四种业务三、认证中心的四种业务四、通用信息系统安全性测评过程四、通用信息系统安全性测评过程四、通用信息系统安全性测评过程四、通用信息系统安全性测评过程五、CA系统安全性测评认证五、CA系统安全性测评认证五、CA系统安全性测评认证五、CA系统安全性测评认证一、国家信息安全测评认证体系介绍一、国家信息安全测评认证体系介绍一、国家信息安全测评认证体系介绍一、国家信息安全测评认证体系介绍1 1、信息安全测评认证的背景、信息安全测评认证的背景、信息安全测评认证的背景、信息安全测评认证的背景2 2、我国信息安全测评认证体系的基本情况、我国信息安全测评认证体系的基本情况、我国信息安全测评认证体系的基本情况、我国信息安全测评认证体系的基本情况3 3、信息安全测评认证工作的进展、信息安全测评认证工作的进展、信息安全测评认证工作的进展、信息安全测评认证工作的进展1 1、信息安全测评认证的背景、信息安全测评认证的背景、信息安全测评认证的背景、信息安全测评认证的背景((((1 1)对信息安全问题的认识)对信息安全问题的认识)对信息安全问题的认识)对信息安全问题的认识 ((((2 2)信息安全事关国家的安全)信息安全事关国家的安全)信息安全事关国家的安全)信息安全事关国家的安全 ((((3 3)国外信息安全测评认证体系)国外信息安全测评认证体系)国外信息安全测评认证体系)国外信息安全测评认证体系((((1 1)对信息安全问题的认识)对信息安全问题的认识)对信息安全问题的认识)对信息安全问题的认识? ?互互互互联网的迅速发展直接牵动了科技创新、信息产业联网的迅速发展直接牵动了科技创新、信息产业联网的迅速发展直接牵动了科技创新、信息产业联网的迅速发展直接牵动了科技创新、信息产业 的发展和知识经济的勃兴;信息网络已逐渐成为经的发展和知识经济的勃兴;信息网络已逐渐成为经的发展和知识经济的勃兴;信息网络已逐渐成为经的发展和知识经济的勃兴;信息网络已逐渐成为经 济繁荣、社会稳定和国家发展的基础济繁荣、社会稳定和国家发展的基础济繁荣、社会稳定和国家发展的基础济繁荣、社会稳定和国家发展的基础? ?信息化深刻影响着全球经济的整合、国家战略的调信息化深刻影响着全球经济的整合、国家战略的调信息化深刻影响着全球经济的整合、国家战略的调信息化深刻影响着全球经济的整合、国家战略的调 整和安全观念的转变整和安全观念的转变整和安全观念的转变整和安全观念的转变? ?全球化和信息化的潮流,给我国带来了难得的发展全球化和信息化的潮流,给我国带来了难得的发展全球化和信息化的潮流,给我国带来了难得的发展全球化和信息化的潮流,给我国带来了难得的发展 机遇机遇机遇机遇,,,,同时也在国际斗争和国家安全方面提出了严同时也在国际斗争和国家安全方面提出了严同时也在国际斗争和国家安全方面提出了严同时也在国际斗争和国家安全方面提出了严 峻的挑战。
峻的挑战峻的挑战峻的挑战信息安全问题已从单纯的技术性问题变信息安全问题已从单纯的技术性问题变信息安全问题已从单纯的技术性问题变信息安全问题已从单纯的技术性问题变 成事关国家安全的全球性问题成事关国家安全的全球性问题成事关国家安全的全球性问题成事关国家安全的全球性问题信息安全问题之一:信息安全问题之一:信息安全问题之一:信息安全问题之一: 通信保密问题通信保密问题通信保密问题通信保密问题? ?4040年代-年代-7070年代年代 • • 重点是通过密码技术解决通信保密问题,保证数据重点是通过密码技术解决通信保密问题,保证数据 的保密性与完整性的保密性与完整性 • • 主要安全威胁是搭线窃听、密码学分析主要安全威胁是搭线窃听、密码学分析 • • 主要保护措施是加密主要保护措施是加密 • • 重要标志重要标志 – – 19491949年年ShannonShannon发表的《保密通信的信息理论》发表的《保密通信的信息理论》 – – 19771977年美国国家标准局公布的数据加密标准(年美国国家标准局公布的数据加密标准(DESDES)) – – 19761976年由年由DiffieDiffie与与HellmanHellman在在“ “New Directions in New Directions in CryptographyCryptography” ”一文中提出了公钥密码体制一文中提出了公钥密码体制 • • 参考资料:参考资料:Bruce SchneierBruce Schneier的的‘ ‘Applied Applied CryptographyCryptography’ ’,,中译本为《应用密码学》中译本为《应用密码学》信息安全问题之二:信息安全问题之二:信息安全问题之二:信息安全问题之二: 计算机系统安全问题计算机系统安全问题计算机系统安全问题计算机系统安全问题? ?7070--8080年代年代• •重点是确保计算机系统中硬件、软件及正在处理、重点是确保计算机系统中硬件、软件及正在处理、 存储、传输信息的机密性、完整性和可控性存储、传输信息的机密性、完整性和可控性 • • 主要安全威胁扩展到非法访问、恶意代码、脆弱口主要安全威胁扩展到非法访问、恶意代码、脆弱口 令等令等 • • 主要保护措施是安全操作系统设计技术(主要保护措施是安全操作系统设计技术(TCBTCB)) • • 主要标志是主要标志是19851985年美国国防部公布的可信计算机系年美国国防部公布的可信计算机系 统评估准则(统评估准则(TCSECTCSEC))将操作系统的安全级别分为将操作系统的安全级别分为 四类七个级别(四类七个级别(D D、、C1C1、、C2C2、、B1B1、、B2B2、、B3B3、、A1A1)) ,,后补充红皮书后补充红皮书TNITNI((19871987))和和TDITDI((19911991),),构构 成彩虹(成彩虹(rainbowrainbow))系列系列信息安全问题之三:信息安全问题之三:信息安全问题之三:信息安全问题之三: 网络时代的信息安全问题网络时代的信息安全问题网络时代的信息安全问题网络时代的信息安全问题? ?9090年代以来年代以来• •重点需要保护信息,确保信息在存储、处理、传输重点需要保护信息,确保信息在存储、处理、传输 过程中及信息系统不被破坏,确保合法用户的服务和过程中及信息系统不被破坏,确保合法用户的服务和 限制非授权用户的服务,以及必要的防御攻击的措施限制非授权用户的服务,以及必要的防御攻击的措施 。
强调信息的保密性、完整性、可控性、可用性强调信息的保密性、完整性、可控性、可用性 • • 主要安全威胁发展到网络入侵、病毒破坏、信息对抗主要安全威胁发展到网络入侵、病毒破坏、信息对抗 的攻击等的攻击等 • • 主要保护措施包括防火墙、防病毒软件、漏洞扫描、主要保护措施包括防火墙、防病毒软件、漏洞扫描、 入侵检测、入侵检测、PKIPKI、、VPNVPN、、安全管理等安全管理等 • • 主要标志是提出了新的安全评估准则主要标志是提出了新的安全评估准则CCCC((ISO ISO 1540815408、、GB/T 18336GB/T 18336))和信息保障体系概念和信息保障体系概念((((2 2)信息安全事关国家的安全)信息安全事关国家的安全)信息安全事关国家的安全)信息安全事关国家的安全由信息安全问题引起的国家所面临的主要由信息安全问题引起的国家所面临的主要由信息安全问题引起的国家所面临的主要由信息安全问题引起的国家所面临的主要 安全威胁:安全威胁:安全威胁:安全威胁:? ?信息霸权的威胁信息霸权的威胁信息霸权的威胁信息霸权的威胁? ?经济安全的威胁经济安全的威胁经济安全的威胁经济安全的威胁? ?舆论安全的威胁舆论安全的威胁舆论安全的威胁舆论安全的威胁? ?社会稳定的威胁社会稳定的威胁社会稳定的威胁社会稳定的威胁信息霸权的威胁信息霸权的威胁信息霸权的威胁信息霸权的威胁? ?网络空间打破了传统的地缘政治格局,信网络空间打破了传统的地缘政治格局,信网络空间打破了传统的地缘政治格局,信网络空间打破了传统的地缘政治格局,信 息霸权日益成为国家安全的新威胁息霸权日益成为国家安全的新威胁息霸权日益成为国家安全的新威胁息霸权日益成为国家安全的新威胁? ?网络空间的权力制衡包括制信息化权、制网络空间的权力制衡包括制信息化权、制网络空间的权力制衡包括制信息化权、制网络空间的权力制衡包括制信息化权、制 信息权、制创新权和网络能量的制衡权信息权、制创新权和网络能量的制衡权信息权、制创新权和网络能量的制衡权信息权、制创新权和网络能量的制衡权? ?以信息为武器,在数字化地球这个新的网以信息为武器,在数字化地球这个新的网以信息为武器,在数字化地球这个新的网以信息为武器,在数字化地球这个新的网 际舞台上,各国将围绕信息化利益展开政际舞台上,各国将围绕信息化利益展开政际舞台上,各国将围绕信息化利益展开政际舞台上,各国将围绕信息化利益展开政 治角逐治角逐治角逐治角逐? ?信息霸权已成为美国政治扩展的新武器信息霸权已成为美国政治扩展的新武器信息霸权已成为美国政治扩展的新武器信息霸权已成为美国政治扩展的新武器经济安全的威胁经济安全的威胁经济安全的威胁经济安全的威胁信息化对日益全球化的经济带来安全隐患:信息化对日益全球化的经济带来安全隐患:信息化对日益全球化的经济带来安全隐患:信息化对日益全球化的经济带来安全隐患:? ?国民经济运行与监管的安全国民经济运行与监管的安全国民经济运行与监管的安全国民经济运行与监管的安全? ?国家金融资本流动与运作的安全国家金融资本流动与运作的安全国家金融资本流动与运作的安全国家金融资本流动与运作的安全? ?证券市场的安全证券市场的安全证券市场的安全证券市场的安全? ?经济金融网络的安全经济金融网络的安全经济金融网络的安全经济金融网络的安全? ?经济信息的安全经济信息的安全经济信息的安全经济信息的安全舆论安全的威胁舆论安全的威胁舆论安全的威胁舆论安全的威胁信息化网络是传媒的革命,对文化和文明提信息化网络是传媒的革命,对文化和文明提信息化网络是传媒的革命,对文化和文明提信息化网络是传媒的革命,对文化和文明提 出了新挑战:出了新挑战:出了新挑战:出了新挑战:? ?多样的文化将共存在同一个互联网上多样的文化将共存在同一个互联网上多样的文化将共存在同一个互联网上多样的文化将共存在同一个互联网上? ?文明的冲突直接表现为信息的冲突文明的冲突直接表现为信息的冲突文明的冲突直接表现为信息的冲突文明的冲突直接表现为信息的冲突? ?舆论操纵已成为互联网上的政治武器舆论操纵已成为互联网上的政治武器舆论操纵已成为互联网上的政治武器舆论操纵已成为互联网上的政治武器? ?文化侵略是主权国家必须面临的持久战文化侵略是主权国家必须面临的持久战文化侵略是主权国家必须面临的持久战文化侵略是主权国家必须面临的持久战社会稳定的威胁社会稳定的威胁社会稳定的威胁社会稳定的威胁? ?信息化社会的安定依赖信息基础设施信息化社会的安定依赖信息基础设施信息化社会的安定依赖信息基础设施信息化社会的安定依赖信息基础设施? ?政府管理、航空运输、水、电控管、通政府管理、航空运输、水、电。