4.4.3 测评认证服务
信息安全测评认证服务主要是指对信息产品自身的基本安全防护性能的一种评价服务。它解决的是从产品设计和实现的角度分析产品中存在的安全隐患、安全漏洞,并考虑采取安全防护和抵御攻击的方法。它是国家测评认证工作的新领域。测评认证其实是由一个中立的权威机构体系,通过科学、规范、公正的测试和评估,向消费者、购买者(即需方)、生产者(即供方)所提供的产品和服务,符合公开、客观和先进的标准。
1.测评认证对象
一般而言,信息产品的安全测评主要面对两类对象:一类是开发者,另一类是最终用户。
(1)开发者。信息产品的开发者在试图开发符合用户安全需求的产品时,必须遵循一定的要求和规则。评价开发出来的产品的安全性能,分析其安全保障条件,指出产品实现中的不足和缺陷,确定产品的安全等级,从而可以对产品开发提供很好的技术支持。
(2)最终用户。在构建网络或信息系统时,用户往往需要产品安全性能的采购指南。不同用户构建的信息系统的安全目标不同,也需要采取不同级别的安全产品来满足信息系统的安全需求,同时可以降低系统建设成本。
2.测评认证体系
我国信息安全测评体系由三部分组成:国家信息安全测评认证管理委员会、中国信息安全产品测评认证中心和授权测评机构,如图4-4所示。
图4-4 中国信息安全测评认证体系
(1)国家信息安全测评认证管理委员会。它是经国务院产品质量监督行政主管部门授权,代表国家对中国信息安全产品测评中心的测评认证活动实施监督管理的机构。
(2)中国信息安全产品测评认证中心。它是国家级认证机构,对外开展四种国家信息安全认证业务:产品认证、信息系统安全认证、信息安全服务资质认证和信息安全专业人员资质认证。
(3)授权测评机构。它是中国信息安全产品测评认证中心根据业务发展授权成立的,测试结果作为国家认证中心的认证基础。
3.测评认证要求
由于信息安全直接涉及国家利益、安全和主权,各国政府对信息产品、信息系统安全性的测评认证要比对其他产品更为严格。
(1)在市场准入上,发达国家为严格进出口控制,通过颁布有关法律、法规和技术标准,推行安全认证制度来控制国外进口产品和国内出口产品的安全性能。
(2)对国内使用的产品实行强制性认证,凡未通过强制性认证的安全产品一律不得出厂、销售和使用。
(3)对信息技术和信息安全技术中的核心技术,由政府直接控制,比如密码技术和密码产品,多数发达国家都严加控制。
(4)在国家信息安全各主管部门的支持和指导下,由标准化和质量技术监督主管部门授权,依托专业的职能机构提供技术支持,形成了政府的行政管理部门与专业的职能机构提供的技术支持相结合、相依赖的管理体制。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
