cisp考点整理

一．信息安全测评服务介绍

1.中国信息安全测评中心：

1）履行国家信息安全漏洞分析和风险评估职能2）对信息产品、系统和工程进行评估3）对信息安全服务，人员的资质进行审核

2.CISP以信息安全保障（IA）作为主线

二．信息安全测评认证体系介绍

1．由信息安全问题所引起的国家面临的主要威胁：1）信息霸权的威胁2）经济安全3）舆论安全4）社会稳定2．我国测评认证中心的建设过程：1）国家质量技术监督局成立“中国国家信息安全测评认证中心”，该中心挂牌运行2）中编办“中国信息安全产品测评认证中心”（中编办【2001】51号）CNITSEC 3）2007 改名“中国信息安全测评中心”

3．认证要点

（1）一个目标：TOE评估的正确性和一致性

（2）两种方法：“质量过程核查”，“评估活动评价”

（3）三个阶段：准备，评估，认证（4）四类活动

4．行业许可证制度

1）信息安全产品：公安部3所检测，公安部11局颁发2）防病毒产品：指定单位（天津市公安局）3）商用密码产品：国密办颁发

5.商业性测评：制定化，控制，量化

6.认证业务的范围：服务商，专业人员，产品，系统

三．信息安全测评认标准

1.测评标准发展

1）美国TCSEC（桔皮书）：美国国防部1985年提出，军用机密性，D最小保护C1自主安全保护C2访问控制保护B1安全标签保护B2结构化保护B3安全域保护A1验证设计保护

2）欧共体ITSEC：将安全性分为功能和保证；提出TOE；提出“安全目标”ST；E1-6

3)加拿大CTCPEC：功能性要求分为机密性，完整性，可用性，可控性

4）美国联邦FC：引入了保护轮廓PP；每个轮廓包括功能，保障和评测需求

5）通用评估准则CC：1996年；1998年；1999年为ISO15408（GB/T18336）；思想框架来源于FC和ITSEC；EAL1-7 2. CC的评估保证级EAL

EAL1功能测试；EAL2结构测试；EAL3系统地测试和检查；EAL4系统地设计、测试和复查；EAL5半形式化设计和测试（无隐蔽通道）；EAL6半形式化验证的设计和测试；EAL7形式化验证的设计和测试

3. CC的结构：1）简介和一般介绍，以及保护轮廓规范和安全目标规范2）第二部分：安全功能需求3）第三部分：安全保障需求

4. CC的范围不包括：1）行政性管理安全措施的评估准则；2）物理安全方面（诸如电磁辐射控制）的评估准则；3）密码算法固有质量评价准则

包括：信息系统产品和技术

5. 保护轮廓PP（甲方）没有详细的设计方案，安全目标ST（乙方）方案

6. APE类：保护轮廓的评估准则；ASE类：安全目标的评估准则

7. CC的结构：类，子类，组件

8. 其他重要标准

1）ITIL：IT服务框架2）Gobit：ISACA协会IT内控审计、IT治理框架

四．我国标准

1. 我国：国家GB/T; 行业：GA,GJB; 地方：DB/T; 企业：Q

2. 标准化：最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。

目的：获得最佳秩序和社会效益。

3. 我国通行“标准化八字原理：“统一”，“简化”，“协调”，“最优”

4. idt为等同采用，MOD（修改采用），NEQ（非等效采用）

5 .1）IEC国际电工委员会（有TC77电磁兼容）；2）ITU国际电信联盟（安全框架，安全联盟）；IETF（英特网工程工作组）

6. 1）GB/T (idt ISO ；GJB 2256-1994 《军用计算机安全术语》

2）GB/T （idt ISO7498-2）；RFC 2401 因特网安全体系结构

3）安全框架ISO/IEC 10181-1~7 4）信息安全管理框架(ISO 7498-4) 5）信息安全保证框架(ISO/IEC WD 15443) 6）64位块加密算法操作方式(GB/T 15277) （Idt ISO 8372)

7）鉴别的保准GB15843 8) 数据完整性机制GB15852 9）计算站场地安全要求GB9361

10）机房适宜的湿度是40%-70%，GB2887 4.4.1 11）机房适宜的温度是15-30℃，见GB2887 4.4.1。

12）系统平台安全

参照标准：1）TCSEC 可信计算机评估准则；2）GB 17859 计算机信息系统安全保护等级划分准则；3）GJB 2646 军用计算机安全评估准则；4）TDI 可信数据库解释

13）网络平台安全：防火墙GB 18019-1999,GB 18020-1999 14）安全策略：17799，13335

7 .安全服务由安全机制来实现

8 .密钥管理：1）框架，2）使用对称技术，3）使用非对称技术

9. 计算机安全等级分为A高，B，C

四．信息安全法律法规

1．当前我国现有的信息安全法律：《中华人民共和国保守国家秘密法》《电子签名法》

其中规定：国家秘密的级别分为：绝密、机密、秘密三个级别

2. 2003年7月22日，国家信息化领导小组第三次会议通过了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）

3. 党的十六届四中全会将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素。非传统安全问题日益得到重视

4. 公通字[2007]43号-信息安全等级保护管理办法

5.《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）

6.《关于加强政府信息系统安全和保密管理工作的通知》（国办发[2008]17号）

7.《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》（国办发[2009]28号）

8.《国务院办公厅关于印发<国家网络与信息安全事件应急预案>的通知》（国办函[2008]168号）