|
國家信息安全測評信息安全產(chǎn)品分級評估業(yè)務(wù)白皮書
資源天下 2019/8/28 18:02:21
目錄
1. 簡介 1
1.1 引言 1
1.2 目的和意義 1
1.3 業(yè)務(wù)范圍 1
2. 分級評估業(yè)務(wù)介紹 2
2.1 業(yè)務(wù)特點(diǎn) 2
2.1.1 國家權(quán)威,國際認(rèn)可 2
2.1.2 公平��、公正����、保密 2
2.1.3 技術(shù)成熟 2
2.2 業(yè)務(wù)需求 2
2.2.1 對用戶 2
2.2.2 對企業(yè) 2
2.2.3 對政府 3
2.3 依據(jù)標(biāo)準(zhǔn) 3
2.4 業(yè)務(wù)實(shí)施 3
2.4.1 證據(jù)需求 3
2.4.2 業(yè)務(wù)流程 5
2.4.3 評估內(nèi)容 6
2.4.4 人員及時間 7
2.4.5 資費(fèi)標(biāo)準(zhǔn) 7
2.4.6 業(yè)務(wù)監(jiān)督 8
2.5 業(yè)務(wù)輸出 8
2.6 FAQ 8
簡介
1. 引言
目前,眾多組織機(jī)構(gòu)開展了針對安全產(chǎn)品的多樣化的測評業(yè)務(wù)����,這些測評業(yè)務(wù)為人們了解產(chǎn)品的功能特點(diǎn)及實(shí)現(xiàn)方式提供了良好的途徑。
然而����,自身功能實(shí)現(xiàn)的好壞是否足以衡量一個產(chǎn)品的質(zhì)量,為用戶提供放心的使用環(huán)境呢���?縱觀國內(nèi)外信息安全界�����,安全事件屢有發(fā)生��,產(chǎn)品商業(yè)機(jī)密遭到泄露�����,這給用戶帶來了極大的危害�����。顯然����,產(chǎn)品設(shè)計是否全面、是否提供了足夠的保密措施���、保障文檔是否完善�����,都會對用戶的使用起到至關(guān)重要的作用�����。
信息安全產(chǎn)品分級評估是指依據(jù)國家標(biāo)準(zhǔn)GB/T 18336—2008�����,綜合考慮產(chǎn)品的預(yù)期應(yīng)用環(huán)境����,通過對信息安全產(chǎn)品的整個生命周期�,包括技術(shù),開發(fā)���、管理�,交付等部分進(jìn)行全面的安全性評估和測試��,驗(yàn)證產(chǎn)品的保密性�、完整性和可用性程度,確定產(chǎn)品對其預(yù)期應(yīng)用而言是否足夠安全���,以及在使用中隱含的安全風(fēng)險是否可以容忍�����,產(chǎn)品是否滿足相應(yīng)評估保證級的要求�����。
1.1 目的和意義
信息安全產(chǎn)品分級評估的目的是促進(jìn)高質(zhì)量���、安全和可控的IT產(chǎn)品的開發(fā)�,分級評估的具體的目的和意義包括:
對信息安全產(chǎn)品依據(jù)國家標(biāo)準(zhǔn)進(jìn)行分級評估�;
判定產(chǎn)品是否滿足標(biāo)準(zhǔn)中的安全功能和安全保證要求;
有助于在涉及國家安全的信息安全領(lǐng)域中加強(qiáng)產(chǎn)品的安全性和可控性��,維護(hù)國家和用戶的安全利益�����;
促進(jìn)中國信息安全市場的優(yōu)勝劣汰機(jī)制的建立和完善���,規(guī)范市場���。
1.2 業(yè)務(wù)范圍
具有信息技術(shù)安全功能的產(chǎn)品,如:防火墻���,IDS/IPS����、智能卡����、網(wǎng)閘���、桌面控制、審計等�����。
2. 分級評估業(yè)務(wù)介紹
2.1 業(yè)務(wù)特點(diǎn)
2.1.1 國家權(quán)威�,國際認(rèn)可
中心多年來依據(jù)國家授權(quán)對外開展信息安全產(chǎn)品測評業(yè)務(wù)�����,是代表國家對信息安全產(chǎn)品的最高認(rèn)可����,出具的測評報告具有極高的權(quán)威性。
中心依據(jù)國標(biāo)GB/T 18336—2008開展分級評估業(yè)務(wù)�,該標(biāo)準(zhǔn)等同采用國際標(biāo)準(zhǔn)ISO/IEC 15408:2005,所采用的評估方法均為國際通用方法����,具備強(qiáng)大的國際認(rèn)可基礎(chǔ)。
2.1.2 公平�、公正、保密
中心是第三方的獨(dú)立測評機(jī)構(gòu)�����,不代表任何商業(yè)組織的利益,出具的測評報告以事實(shí)為依據(jù)���,以公平�、公正為準(zhǔn)則��,為最終客戶的產(chǎn)品選購提供了良好的依據(jù)�����。
我中心有成熟和完善的代碼管理控制機(jī)制�,可對廠家送測的產(chǎn)品源代碼進(jìn)行保密處理,確保不外泄����。
2.1.3 技術(shù)成熟
多年來,中心是國內(nèi)唯一開展產(chǎn)品分級評估業(yè)務(wù)的專業(yè)職能機(jī)構(gòu)�����。長期以來從事信息安全產(chǎn)品分級評估工作�,使中心擁有一支專業(yè)的評估隊(duì)伍,研發(fā)出豐富的評估技術(shù)手段��,在承擔(dān)國內(nèi)標(biāo)準(zhǔn)的制定工作的同時,了解國內(nèi)外對信息安全產(chǎn)品的最新要求及實(shí)時動態(tài)�����,其成熟的技術(shù)代表了業(yè)內(nèi)領(lǐng)先水平�。
2.2 業(yè)務(wù)需求
統(tǒng)觀國際發(fā)展趨勢,國際知名企業(yè)�,如微軟�����、IBM等陸續(xù)加入到分級評估的隊(duì)伍中�����。分級評估涉及的產(chǎn)品領(lǐng)域也在不斷壯大���,防火墻�、IDS���、網(wǎng)絡(luò)交換機(jī)��、操作系統(tǒng)等紛紛參與到分級評估的業(yè)務(wù)中���。分級評估是促進(jìn)國內(nèi)企業(yè)的產(chǎn)品邁向國際化的重要一步���。
2.2.1 對用戶
不同的應(yīng)用環(huán)境要求信息技術(shù)產(chǎn)品所提供的安全性保證程度不同,因?yàn)椴煌氖褂铆h(huán)境面臨的安全威脅不同���,所保護(hù)的信息資產(chǎn)的價值也有大有小����。
分級評估業(yè)務(wù)可以為最終用戶全面判斷產(chǎn)品的安全性好壞提供依據(jù)�����,用戶可以結(jié)合其對產(chǎn)品的預(yù)期使用環(huán)境�,全方位的衡量該產(chǎn)品是否能夠滿足自身需求。同時���,評估結(jié)果可以幫助用戶確定信息安全產(chǎn)品對其預(yù)期應(yīng)用環(huán)境而言是否足夠安全�����,以及考量在使用中隱藏的安全風(fēng)險是(未完����,下一頁)
|