《信息产业信息安全测评中心基本情况及业务》由会员分享,可在线阅读,更多相关《信息产业信息安全测评中心基本情况及业务(38页珍藏版)》请在金锄头文库上搜索。
1、信息产业信息安全测评中心情况汇报张益张益 国家网络与信息安全信息通报中心技术支撑单位国家网络与信息安全信息通报中心技术支撑单位 信息安全等级保护测评机构(国信息安全等级保护测评机构(国-008-008) 国家信息安全产品认证指定实验室国家信息安全产品认证指定实验室 中国人民银行非金融机构支付服务业务系统检测机构中国人民银行非金融机构支付服务业务系统检测机构/ /移动金融移动金融技术服务认证检测机构技术服务认证检测机构Page 2信息产业信息安全测评中心信息产业信息安全测评中心 提纲提纲提纲提纲单位介绍单位介绍单位介绍单位介绍经验及能力简介经验及能力简介经验及能力简介经验及能力简介Page 3信
2、息产业信息安全测评中心信息产业信息安全测评中心 单位介绍(一)单位介绍(一)n n华北计算技术研究所(中国电子科技集团公司第十五研究华北计算技术研究所(中国电子科技集团公司第十五研究所)成立于所)成立于19581958年是全民所有制国家一类科研事业单位年是全民所有制国家一类科研事业单位n n注册资金注册资金1.06411.0641亿元亿元n n19981998年,年,工业和信息化部(原电子工业部)依托中国电子工业和信息化部(原电子工业部)依托中国电子科技集团公司第十五研究所,授权其成立科技集团公司第十五研究所,授权其成立“ “电子工业部计电子工业部计算机安全技术检测中心算机安全技术检测中心”
3、”,20112011年经工信部批示,更名为年经工信部批示,更名为“ “信息产业信息安全测评中心信息产业信息安全测评中心” ”n n中央网信办技术支持单位中央网信办技术支持单位n n国家网络与信息安全信息通报机制技术支持单位国家网络与信息安全信息通报机制技术支持单位n n工信部重点领域信息安全检查技术支持队伍工信部重点领域信息安全检查技术支持队伍n n公安部和北京市公安局网安安全检查与应急技术支持单位公安部和北京市公安局网安安全检查与应急技术支持单位Page 4信息产业信息安全测评中心信息产业信息安全测评中心 单位介绍(二)单位介绍(二)-所具备的认证认可相关资质所具备的认证认可相关资质n n工
4、业和信息化部最早成立及授权专门从事信息系统测评和信息安全产品测试及技工业和信息化部最早成立及授权专门从事信息系统测评和信息安全产品测试及技术服务的检测机构术服务的检测机构n n中国认证认可监督管理委员会(中国认证认可监督管理委员会(CMACMA)计量认证)计量认证/ /资质认定资质资质认定资质n n中国合格评定国家认可委员会(中国合格评定国家认可委员会(CNASCNAS)认可检测实验室()认可检测实验室(CNASL0293CNASL0293)n n中国合格评定国家认可委员会(中国合格评定国家认可委员会(CNASCNAS)认可检验机构()认可检验机构(CNASIB0046CNASIB0046)n
5、 n信息安全等级保护测评机构推荐证书(国信息安全等级保护测评机构推荐证书(国-008-008)n n中国人民银行授权非金融机构支付服务业务系统检测机构和移动金融技术服务认中国人民银行授权非金融机构支付服务业务系统检测机构和移动金融技术服务认证检测机构证检测机构n n信息安全风险评估服务资质认证证书(一级)(信息安全风险评估服务资质认证证书(一级)(ISCCC-2010-ISV-RA-003ISCCC-2010-ISV-RA-003)n n中国国家认证认可监督管理委员会授权国家信息安全产品强制性检测实验室中国国家认证认可监督管理委员会授权国家信息安全产品强制性检测实验室n n工业和信息化部工业产
6、品质量控制和技术评价实验室工业和信息化部工业产品质量控制和技术评价实验室n n信息安全管理体系认证证书(信息安全管理体系认证证书(GB/T22080-ISO/IEC27001GB/T22080-ISO/IEC27001)n n信息产业部授权通信电子质量监督检验机构信息产业部授权通信电子质量监督检验机构n n国家税务局指定软件产品增值税退税检测机构国家税务局指定软件产品增值税退税检测机构n n北京市经信委北京市财政局北京市国税局指定软件产品增值税退税检测与登记测北京市经信委北京市财政局北京市国税局指定软件产品增值税退税检测与登记测试机构试机构Page 5信息产业信息安全测评中心信息产业信息安全测
7、评中心 单位介绍(三)单位介绍(三)-所具备的安全管理制度所具备的安全管理制度国家认可实验室遵循标准国家认可实验室遵循标准 ISO/IEC17025:2005ISO/IEC17025:2005检测和检测和校准实验室能力的通用要求校准实验室能力的通用要求 GB/T27025-2008GB/T27025-2008检测和校检测和校准实验室能力的通用要求准实验室能力的通用要求国家认可检查机构遵循标准国家认可检查机构遵循标准ISO/IEC17020:1998ISO/IEC17020:1998各类检各类检查机构能力的通用要求查机构能力的通用要求GB/T18346-2001GB/T18346-2001各类检
8、查各类检查机构能力的通用要求机构能力的通用要求计量认证合格单位遵循准则计量认证合格单位遵循准则实验室资质认定评审准则实验室资质认定评审准则信息安全管理体系认证标准信息安全管理体系认证标准ISO/IEC27001:2005ISO/IEC27001:2005信息技术信息技术 安全技术安全技术 信息安全管理体系要求信息安全管理体系要求GB/T22080-2008GB/T22080-2008信息技术信息技术安全技术安全技术 信息安全管理体系要求信息安全管理体系要求Page 6信息产业信息安全测评中心信息产业信息安全测评中心 单位介绍(三)单位介绍(三)-所具备的安全管理制度所具备的安全管理制度n n2
9、0132013年中心质量体系年中心质量体系现行有效版本为现行有效版本为5.05.0,中心管理体系已经有中心管理体系已经有效运行十三年,并一效运行十三年,并一直持续改进。直持续改进。DP5.4.1-DP5.4.1-测评检查过程控制程序测评检查过程控制程序中心运行的中心运行的管理体系管理体系Page 7信息产业信息安全测评中心信息产业信息安全测评中心 单位介绍(三)单位介绍(三)-所具备的安全管理制度所具备的安全管理制度n n持续通过中国合格评定国家认可委员会(持续通过中国合格评定国家认可委员会(CNASCNAS)认可的)认可的实验室和检查机构监督评审和复评审实验室和检查机构监督评审和复评审n n
10、通过通过ISO27001ISO27001信息安全认证体系监督审核和复评审信息安全认证体系监督审核和复评审n n质量目标质量目标n n测评报告的合格率达到测评报告的合格率达到100%100%,客户满意度达到,客户满意度达到96%96%n n质量方针质量方针Page 8信息产业信息安全测评中心信息产业信息安全测评中心 单位介绍(四)单位介绍(四)-设备设备与设施与设施n n智能卡产品测试设备与工具智能卡产品测试设备与工具n n1.1.JavaJava卡安全性检测平台卡安全性检测平台n n2.2.智能卡智能卡COSCOS安全性检测平台安全性检测平台n n3.3.随机数质量检测平台随机数质量检测平台n
11、 n4.4.非接触式智能卡协议分析仪非接触式智能卡协议分析仪n n5.5.SWPSWP测试套件测试套件n n6.6.接触式智能卡测试仪接触式智能卡测试仪-MP300TC2-MP300TC2n n7.7.接触式智能卡测试仪接触式智能卡测试仪-MP300TC3-MP300TC3n n8.8.非接触式智能卡测试仪非接触式智能卡测试仪-MP300TCL2-MP300TCL2n n9.9.MP300TCL2MP300TCL2扩展模块扩展模块n n10.10.智能卡通信协议分析仪智能卡通信协议分析仪-STAR3150-STAR3150n n11.11.智能卡旁路攻击分析测试平台智能卡旁路攻击分析测试平台-
12、InspectorSCA-InspectorSCAn n12.12.智能卡故障注入分析测试平台智能卡故障注入分析测试平台-InspectorFI-InspectorFI系统系统Page 9信息产业信息安全测评中心信息产业信息安全测评中心 单位介绍(四)单位介绍(四)-设备设备与与设施设施n n信息安全产品测试设备与工具信息安全产品测试设备与工具n n在设备设施方面,中心购置了相应的测评设备和工具在设备设施方面,中心购置了相应的测评设备和工具n n协议分析仪、思博伦万兆性能测试仪、协议分析仪、思博伦万兆性能测试仪、IXIAIXIA性能测试仪性能测试仪Page 10信息产业信息安全测评中心信息产业
13、信息安全测评中心 单位介绍(四)单位介绍(四)-设备设备与与设施设施n n移动互联网应用软件源代码安全审计分析平台移动互联网应用软件源代码安全审计分析平台Page 11信息产业信息安全测评中心信息产业信息安全测评中心 单位介绍(四)单位介绍(四)-设备设备与与设施设施n n信息系统安全与软件测试设备与工具信息系统安全与软件测试设备与工具n n1.1.绿盟远程安全评估系统绿盟远程安全评估系统n n2.2.安信通数据库安全扫描和渗透系统安信通数据库安全扫描和渗透系统n n3.3.明鉴数据库弱点扫描器明鉴数据库弱点扫描器n n4.4.IBMRationalAppScanIBMRationalAppS
14、can应用安全扫描和分析系统应用安全扫描和分析系统n n5.5.WebRavorWebRavor应用安全扫描系统应用安全扫描系统n n6.6.AcunetixWVSAcunetixWVS应用安全漏洞扫描和分析软件应用安全漏洞扫描和分析软件n n7.7.BackTrack5BackTrack5安全检测套件安全检测套件n n8.8.软件测试管理工具软件测试管理工具-MercuryQualityCenter-MercuryQualityCentern n9.9.软件产品性能测试软件软件产品性能测试软件-HPLoadRunner-HPLoadRunnern n10.10.软件源代码安全检测工具软件源代
15、码安全检测工具-FortifysoftwareSCA-FortifysoftwareSCAWebRavorWebRavorPage 12信息产业信息安全测评中心信息产业信息安全测评中心 单位介绍(四)单位介绍(四)-设备设备与与设施设施n n设备设施配置设备设施配置n n中心还根据测评需要,自行研发了一批测试管理平台和工具中心还根据测评需要,自行研发了一批测试管理平台和工具n n信息安全等级保护测评管理平台信息安全等级保护测评管理平台 自动生成测评表单、基于知识库提出风险建议自动生成测评表单、基于知识库提出风险建议Page 13信息产业信息安全测评中心信息产业信息安全测评中心 单位介绍(四)单
16、位介绍(四)-设备设备与与设施设施n n非金融机构系统测试管理平台非金融机构系统测试管理平台Page 14信息产业信息安全测评中心信息产业信息安全测评中心 单位介绍(四)单位介绍(四)-设备设备与与设施设施n n设备设施配置设备设施配置n n自主研发了攻防演练平台、测试管理平台、工具和作业指导书自主研发了攻防演练平台、测试管理平台、工具和作业指导书n nWebWeb常见漏洞攻防演练平台常见漏洞攻防演练平台n n信息系统风险评估作业指导书信息系统风险评估作业指导书n n信息系统安全等级保护测评现场核查表及作业指导书信息系统安全等级保护测评现场核查表及作业指导书n n风险评估问卷生成及管理系统风险
17、评估问卷生成及管理系统n n软件登记测试项目管理平台软件登记测试项目管理平台Page 15信息产业信息安全测评中心信息产业信息安全测评中心 单位介绍(四)单位介绍(四)-设备设备与与设施设施n n重要信息系统安全监测及风险预警重要信息系统安全监测及风险预警n n网站漏洞网站漏洞n n网站木马、暗链网站木马、暗链n n网站关键字网站关键字n n网站篡改网站篡改n n网站可用性网站可用性n n信息系统安全事件报告信息系统安全事件报告(如果监测发现安全事件)(如果监测发现安全事件)n n信息系统安全监测预警报告(月)信息系统安全监测预警报告(月)n n信息系统安全趋势分析报告(年度)信息系统安全趋势
18、分析报告(年度)Page 16信息产业信息安全测评中心信息产业信息安全测评中心 单位介绍(五)单位介绍(五)-人员资质人员资质n n国家认证认可监督管理委员会实验室资质认定评审员国家认证认可监督管理委员会实验室资质认定评审员n n中国合格评定国家认可委员会(中国合格评定国家认可委员会(CNASCNAS)实验室和检验机构技术评审员)实验室和检验机构技术评审员n n中国合格评定国家认可委员会(中国合格评定国家认可委员会(CNASCNAS)实验室和检验机构主任评审员)实验室和检验机构主任评审员n n中国合格评定国家认可委员会(中国合格评定国家认可委员会(CNASCNAS)评定委员会委员)评定委员会委
19、员n n中国合格评定国家认可委员会(中国合格评定国家认可委员会(CNASCNAS)信息技术专业委员会委员)信息技术专业委员会委员n n全国信息安全标准委员会信息安全评估工作组及信息安全管理工作组成员全国信息安全标准委员会信息安全评估工作组及信息安全管理工作组成员n n北京市公安局网络信息安全专家北京市公安局网络信息安全专家n n工业和信息化部电子信息产品质量监督管理专业技术委员会成员工业和信息化部电子信息产品质量监督管理专业技术委员会成员n n工信部电子信息产业发展基金专家工信部电子信息产业发展基金专家n n信息安全产品认证技术专家信息安全产品认证技术专家n n国家金卡工程安全工作组副组长国家
20、金卡工程安全工作组副组长n n北京市信息化专家咨询委员会委员北京市信息化专家咨询委员会委员n n北京市政府采购评审专家北京市政府采购评审专家Page 17信息产业信息安全测评中心信息产业信息安全测评中心 单位介绍(五)单位介绍(五)-人员资质人员资质n n从事专业检测工作技术人员从事专业检测工作技术人员n n信息安全等级测评师信息安全等级测评师(高级(高级/ /中级中级/ /初级)初级)n n注册信息安全专业人员(注册信息安全专业人员(CISPCISP)n n国家注册国家注册ISMSISMS审核员(审核员(ISO27001ISO27001:20052005)n nOWASPWEBOWASPWE
21、B应用安全认证专家应用安全认证专家n nsecPenetrationTestsecPenetrationTest渗透性测试渗透性测试n n应用系统性能测试与故障诊断应用系统性能测试与故障诊断n nHPFortifyHPFortify源代码分析培训证书源代码分析培训证书n n非金融机构支付服务业务系统检测人员非金融机构支付服务业务系统检测人员n n软件性能测试高级工程师软件性能测试高级工程师n n软件测试工程师软件测试工程师Page 18信息产业信息安全测评中心信息产业信息安全测评中心 提纲提纲提纲提纲单位介绍单位介绍单位介绍单位介绍经验及能力简介经验及能力简介经验及能力简介经验及能力简介Pag
22、e 19信息产业信息安全测评中心信息产业信息安全测评中心 等级保护能力概述(一)等级保护能力概述(一)n n中心具有深厚的测评技术能力,能够贯彻执行相关工作中心具有深厚的测评技术能力,能够贯彻执行相关工作n n我中心是目前全国开展信息安全等级测评师培训的两家机构我中心是目前全国开展信息安全等级测评师培训的两家机构之一。中心作为主办单位,连续三年组织开展了全国信息安之一。中心作为主办单位,连续三年组织开展了全国信息安全等级测评能力验证活动,参与单位已覆盖到全国所有等级全等级测评能力验证活动,参与单位已覆盖到全国所有等级测评机构,其中所有考题均由我中心技术人员设计,并搭建测评机构,其中所有考题均由
23、我中心技术人员设计,并搭建现场考试环境。我中心还是现场考试环境。我中心还是“中关村信息安全测评联盟中关村信息安全测评联盟”(全国(全国130130余家等级测评机构发起成立)副理事长单位。余家等级测评机构发起成立)副理事长单位。n n我中心霍珊珊副主任被聘为国家信息安全等级保护安全建设我中心霍珊珊副主任被聘为国家信息安全等级保护安全建设工程师培训专家讲师;中心还是工程师培训专家讲师;中心还是“网安护城河网安护城河”工程协办单工程协办单位,中心张益和董晶晶副总工均为特邀讲师(总计共位,中心张益和董晶晶副总工均为特邀讲师(总计共3030位信位信息安全业界知名讲师)。息安全业界知名讲师)。Page 2
24、0信息产业信息安全测评中心信息产业信息安全测评中心 等级保护能力概述(二)等级保护能力概述(二)n n中心是全国最早开展等级保护相关工作的单位之一中心是全国最早开展等级保护相关工作的单位之一n n20092009年,公安部发布年,公安部发布关于开展信息安全等级保护测评体系关于开展信息安全等级保护测评体系建设试点工作的通知建设试点工作的通知(公信安(公信安20098122009812号),其中明确号),其中明确指出我中心作为全国首批(共指出我中心作为全国首批(共3 3家)信息安全等级保护测评体家)信息安全等级保护测评体系建设试点工作单位,开展等级测评体系实施试点工作。中系建设试点工作单位,开展等
25、级测评体系实施试点工作。中心全程参与了全国信息安全等级保护测评体系建设工作,对心全程参与了全国信息安全等级保护测评体系建设工作,对等级测评具有深刻的理解。等级测评具有深刻的理解。Page 21信息产业信息安全测评中心信息产业信息安全测评中心 等级保护能力概述(三)等级保护能力概述(三)n n中心是等级保护相关制度、标准制修订工作的重要参与单位中心是等级保护相关制度、标准制修订工作的重要参与单位n n中心作为等级保护系列标准牵头和参与单位,对各类制度、中心作为等级保护系列标准牵头和参与单位,对各类制度、标准具有深刻的认识;其中,牵头编制了标准具有深刻的认识;其中,牵头编制了信息安全技术信息安全技
26、术 信信息系统安全等级保护测评要求息系统安全等级保护测评要求 第第4 4部分:对物联网系统的扩展部分:对物联网系统的扩展测评要求测评要求、信息安全技术信息安全技术 信息系统安全等级保护安全管信息系统安全等级保护安全管理中心技术要求理中心技术要求等标准,参与制定了等标准,参与制定了信息安全技术信息安全技术 信息信息系统等级保护物联网安全设计技术指南系统等级保护物联网安全设计技术指南、信息安全技术信息安全技术 信息系统安全等级保护基本要求信息系统安全等级保护基本要求 第第4 4部分:对物联网系统的扩部分:对物联网系统的扩展安全要求展安全要求、信息安全技术信息安全技术 信息系统安全等级保护测评信息系
27、统安全等级保护测评要求要求 第第5 5部分:对工业控制系统的扩展测评要求部分:对工业控制系统的扩展测评要求、信息安信息安全等级保护检查规范全等级保护检查规范等制度及标准;中心还作为主要参与等制度及标准;中心还作为主要参与单位,对单位,对GB/T28449-2012GB/T28449-2012信息安全技术信息安全技术 信息系统安全信息系统安全等级保护测评过程指南等级保护测评过程指南进行了修订。进行了修订。Page 22信息产业信息安全测评中心信息产业信息安全测评中心 等级保护能力概述(四)等级保护能力概述(四)n n中心作为技术支撑队伍,为等级保护工作的开展保驾护航中心作为技术支撑队伍,为等级保
28、护工作的开展保驾护航n n我中心是信息与网络安全保卫工作技术保障单位,是国家网我中心是信息与网络安全保卫工作技术保障单位,是国家网络与信息安全通报机制技术支持单位,是中央网信办、公安络与信息安全通报机制技术支持单位,是中央网信办、公安部、北京市公安局网安总队、文化保卫总队、内部单位保卫部、北京市公安局网安总队、文化保卫总队、内部单位保卫局等主管部门的技术支持单位;常年配合各主管部门开展等局等主管部门的技术支持单位;常年配合各主管部门开展等级保护监督检查工作,并作为主要撰写单位,编制了级保护监督检查工作,并作为主要撰写单位,编制了信息信息安全等级保护检查规范安全等级保护检查规范,目前已成为北京市
29、公安局开展等,目前已成为北京市公安局开展等级保护监督检查工作的重要依据。级保护监督检查工作的重要依据。Page 23信息产业信息安全测评中心信息产业信息安全测评中心 多方信息安全技术支持工作多方信息安全技术支持工作 2012-20152012-2015年重点领域信息安全抽查工作。年重点领域信息安全抽查工作。 涉及国家部委、党政机关等关键部门面向互联网涉及国家部委、党政机关等关键部门面向互联网的应用系统的应用系统10001000多个。多个。中央网络安全中央网络安全和信息化领导和信息化领导小组办公室小组办公室 2013-20152013-2015年度网络安全态势分析及专题研究年度网络安全态势分析及
30、专题研究报告:互联网服务器安全状况分析等。报告:互联网服务器安全状况分析等。 网络安全规划相关材料编写、央企信安培训等网络安全规划相关材料编写、央企信安培训等 承办承办20122012年年-2016-2016年信息安全等级保护测评能力年信息安全等级保护测评能力检查机构能力验证活动检查机构能力验证活动 共涉及参与机构共涉及参与机构140140余家。余家。 参与中国人民银行非金融机构和移动金融技术服务参与中国人民银行非金融机构和移动金融技术服务认证检测体系建立,参与编制规范、标准体系报告认证检测体系建立,参与编制规范、标准体系报告编制,并在能力验证和算法破解方面名列前茅。编制,并在能力验证和算法破
31、解方面名列前茅。 支持北京市公安局网络安全总队:应急技术支持、支持北京市公安局网络安全总队:应急技术支持、安全渗透测试、网安启明星、地方检查标准等安全渗透测试、网安启明星、地方检查标准等国家网络与信国家网络与信息安全信息通息安全信息通报中心报中心中国合格评中国合格评定国家认可定国家认可委认可委委认可委(CNASCNAS)国家部委和国家部委和重要行业主重要行业主管部门管部门Page 24信息产业信息安全测评中心信息产业信息安全测评中心 中心技术能力对于等级保护的支撑中心技术能力对于等级保护的支撑信息安全等级信息安全等级保护支撑工作保护支撑工作物联网信息安全测评公共服务平台移动应用安全测评平台云计
32、算安全测评平台智能卡渗透性测试平台信息安全等级保护测评能力验证平台信息安全等级保护测评管理平台Web安全远程监测与挖掘平台信息安全产品安全性测评平台Page 25信息产业信息安全测评中心信息产业信息安全测评中心 1 1、信息安全等级保护测评能力验证平台、信息安全等级保护测评能力验证平台n n配置主流操作系统、交换设备、安全设备和应用系统配置主流操作系统、交换设备、安全设备和应用系统的模拟系统环境。的模拟系统环境。Page 26信息产业信息安全测评中心信息产业信息安全测评中心 2 2、信息安全等级保护测评管理平台、信息安全等级保护测评管理平台n n自主研发自主研发n n有效提高项目实施的准确性、
33、规范性和一致性有效提高项目实施的准确性、规范性和一致性n n实现测评表单生成和测评结果统计的自动化实现测评表单生成和测评结果统计的自动化n n基于知识库推荐合理化整改建议基于知识库推荐合理化整改建议n n自动生成符合标准要求的测评报告(自动生成符合标准要求的测评报告(20152015版)版)保障测评质量是对等保障测评质量是对等保障测评质量是对等保障测评质量是对等级保护测评工作最大级保护测评工作最大级保护测评工作最大级保护测评工作最大的保障,也是最应该的保障,也是最应该的保障,也是最应该的保障,也是最应该尽到的责任尽到的责任尽到的责任尽到的责任 Page 27信息产业信息安全测评中心信息产业信息
34、安全测评中心 3 3、WebWeb安全远程监测与漏洞挖掘平台安全远程监测与漏洞挖掘平台WebWeb安全远安全远程监测与漏程监测与漏洞挖掘平台洞挖掘平台WebWeb漏洞监测漏洞监测暗链篡暗链篡改监测改监测突发漏洞突发漏洞专项排查专项排查 SQLSQL注入注入 远程命令执行远程命令执行 跨站脚本跨站脚本 越权对象访问越权对象访问 博彩博彩 广告广告 反动反动 漏洞排查与验证漏洞排查与验证 Struts2Struts2 OpenSSLOpenSSL BashBash 开源组件开源组件 应用程序不安全配置应用程序不安全配置 备份文件或源代码泄漏备份文件或源代码泄漏 任意文件上传任意文件上传 中间件不安
35、全配置中间件不安全配置Page 28信息产业信息安全测评中心信息产业信息安全测评中心 3 3、WebWeb安全远程监测与漏洞挖掘平台安全远程监测与漏洞挖掘平台nCNVDCNVD国家漏洞国家漏洞共享平台证明共享平台证明n等保技术大会论文等保技术大会论文n n基于等级保护的应基于等级保护的应用安全问题分类及用安全问题分类及工具实现工具实现Page 29信息产业信息安全测评中心信息产业信息安全测评中心 4 4、信息安全产品安全性测评平台、信息安全产品安全性测评平台某安全产品厂商垂直越权问题的例子某安全产品厂商垂直越权问题的例子某安全产品厂商垂直越权问题的例子某安全产品厂商垂直越权问题的例子https
36、:/IP:8889/cgi-bin/webgate?username=auditorhttps:/IP:8889/cgi-bin/webgate?username=auditor,将地址栏将地址栏将地址栏将地址栏URLURL中中中中username=auditorusername=auditor修改为修改为修改为修改为name=adminname=admin,访问修改后的链接,跳转,访问修改后的链接,跳转,访问修改后的链接,跳转,访问修改后的链接,跳转到到到到设备超级管理员设备超级管理员设备超级管理员设备超级管理员的界面的界面的界面的界面Page 30信息产业信息安全测评中心信息产业信息安全测
37、评中心 4 4、信息安全产品安全性测评平台、信息安全产品安全性测评平台n测试工具软件著作权证书测试工具软件著作权证书Page 31信息产业信息安全测评中心信息产业信息安全测评中心 5 5、移动应用安全测评平台、移动应用安全测评平台n n移动移动APPAPP源代码安全审计分析平台源代码安全审计分析平台白盒白盒n n通过构建移动应用软件源代码安全审计分析平台,针对数据流、语义、通过构建移动应用软件源代码安全审计分析平台,针对数据流、语义、结构、控制流、配置流等方面,对源代码进行静态分析。结构、控制流、配置流等方面,对源代码进行静态分析。移移动动互互联联网网系系统统与与应应用用安安全全国国家家工工程
38、程实实验验室室Page 32信息产业信息安全测评中心信息产业信息安全测评中心 5 5、移动应用安全测评平台、移动应用安全测评平台n n移动终端移动终端APPAPP应用安全评估应用安全评估黑盒黑盒移动应用软件安全测试评估框架与方法移动应用软件安全测试评估框架与方法Page 33信息产业信息安全测评中心信息产业信息安全测评中心 6 6、物联网信息安全测评公共服务平台、物联网信息安全测评公共服务平台n n物联网信息安全测评公共服务平台物联网信息安全测评公共服务平台物联网物联网RFID应用系统安全等级保护研究应用系统安全等级保护研究Page 34信息产业信息安全测评中心信息产业信息安全测评中心 7 7
39、、云计算安全测评平台、云计算安全测评平台n n云计算虚拟化测评平台云计算虚拟化测评平台虚拟环境下虚拟机监控器的虚拟环境下虚拟机监控器的应用对信息安全等级保护的影应用对信息安全等级保护的影响研究响研究云计算信息系统等级保护安云计算信息系统等级保护安全设计要求初探全设计要求初探Page 35信息产业信息安全测评中心信息产业信息安全测评中心 8 8、智能卡渗透性测试平台、智能卡渗透性测试平台n n智能卡渗透性测试平台智能卡渗透性测试平台智能卡旁路攻击分析测试平台智能卡旁路攻击分析测试平台支持多种侧信道分析,对智能卡进行SPA、DPA、EMA、EMA-RF、RFA攻击。智能卡故障注入分析测试平台智能卡
40、故障注入分析测试平台能够对智能卡进行故障注入攻击测试,测试者能够根据分析确认精确、可靠的错误注入时机,可以进行时钟和电压glitching的错误注入攻击。Page 36信息产业信息安全测评中心信息产业信息安全测评中心 8 8、智能卡渗透性测试平台、智能卡渗透性测试平台n n一种新的基于一种新的基于SPASPA和和TATA的攻击方法的攻击方法n n一种新的结合一种新的结合SPASPA和和TATA(TimingAttackTimingAttack,计时攻击)的方法,利用该方法在模,计时攻击)的方法,利用该方法在模乘和模平方无任何差异的情况下,能够成功攻击出模幂的指数(私钥),进而通乘和模平方无任何
41、差异的情况下,能够成功攻击出模幂的指数(私钥),进而通过检测芯片是否能通过该攻击来评估芯片的安全性过检测芯片是否能通过该攻击来评估芯片的安全性n n一种攻击密钥的方法及装置一种攻击密钥的方法及装置n n针对于加入随机数防御措施针对于加入随机数防御措施RSA_CRTRSA_CRT算法,发明了基于概率分析的攻击方法,用算法,发明了基于概率分析的攻击方法,用来检测带有防御措施的来检测带有防御措施的RSA_CRTRSA_CRT进行合成时,是否存在被成功攻击的可能进行合成时,是否存在被成功攻击的可能n n攻击密钥的方法及装置(攻击密钥的方法及装置(CN201310535334.4CN2013105353
42、34.4)、一种攻击密钥的方法和装置一种攻击密钥的方法和装置(CN20140252680.6CN20140252680.6)、RSARSA算法私钥元素获取方法及获取装置算法私钥元素获取方法及获取装置(CN201310547494.0CN201310547494.0)和和(CN201310318368.8CN201310318368.8)Page 37信息产业信息安全测评中心信息产业信息安全测评中心 典型客户典型客户典型客户典型客户n n政府部门:政府部门:n n全国人民代表大会、住建部、交通部、文化部、国家质检总局、国家信访局、国全国人民代表大会、住建部、交通部、文化部、国家质检总局、国家信访
43、局、国家气象局、国家测绘局、国家食品药品监督管理总局、国家档案局、国家证监会、家气象局、国家测绘局、国家食品药品监督管理总局、国家档案局、国家证监会、国家保监会、新华社、北京市财政局、北京市卫生局、北京市检察院国家保监会、新华社、北京市财政局、北京市卫生局、北京市检察院n n央企:央企:n n央视国际网络有限公司、中海油田服务股份有限公司、国家电网公司、北京首都央视国际网络有限公司、中海油田服务股份有限公司、国家电网公司、北京首都国际机场股份有限公司、北京公共交通控股(集团)有限公司、北京市城市排水国际机场股份有限公司、北京公共交通控股(集团)有限公司、北京市城市排水集团、北京市热力集团集团、
44、北京市热力集团n n行业:行业:n n民生银行、兴业银行、包商银行、工银瑞信、东兴证券、民生证券民生银行、兴业银行、包商银行、工银瑞信、东兴证券、民生证券n n北大三院、中日友好医院、友谊医院、宣武医院、佑安医院北大三院、中日友好医院、友谊医院、宣武医院、佑安医院n n全国全国200200余家保险机构和公司余家保险机构和公司n nn n其他:其他:n n中科院、中国人事科学研究院、北京市级电子政务云中科院、中国人事科学研究院、北京市级电子政务云衷心感谢衷心感谢 国家网络与信息安全信息通报中心技术支撑单位国家网络与信息安全信息通报中心技术支撑单位 信息安全等级保护测评机构(国信息安全等级保护测评机构(国-008-008) 国家信息安全产品认证指定实验室国家信息安全产品认证指定实验室 中国人民银行非金融机构支付服务业务系统检测机构中国人民银行非金融机构支付服务业务系统检测机构/ /移动金融移动金融技术服务认证检测机构技术服务认证检测机构