能力验证活动发现的问题总结与建议.pdfVIP

能力验证活动发现的问题总结与建议 • 国家网络与信息安全信息通报中心技术支撑单位 • 信息安全等级保护工作协调小组办公室推荐测评机构 • 国家信息安全产品认证指定实验室 • 非金融机构支付服务业务系统检测机构 内容提纲  一、能力验证活动概况  二、发现的问题总结  三、建议 信息产业信息安全测评中心 Page 2 一、能力验证活动概况  实施单位：信息产业信息安全测评中心  技术专家单位：公安部信息安全等级保护评估中心  参与机构总数，总共99家：  2012年67家，通过56家，通过率83.58%  2014年32家，通过22家，通过率68.75%  DJBH  2012年51家，通过42家，通过率82.35%  2014年21家，通过15家，通过率71.43%  CNAS认可  2012年25家，通过22家，通过率88%  2014年12家，通过9家，通过率75%  DJBH CNAS认可：26家  参与人数约：280人 信息产业信息安全测评中心 Page 3 一、能力验证活动概况  CNAS T0680 全国共有67家机构参与，25家机构已通过CNAS认可，占37%。 覆盖23个省和直辖市，北京、辽宁、浙江、山东、河南、广东等地区的实验 室较多，占参加实验室的43%。  CNAS T0747 全国共有32家机构参与，12家机构已通过CNAS认可，占37.5%。 覆盖15个省和直辖市，北京、广东、湖南等地区的实验室较多，占参加实验 室的46.9% 信息产业信息安全测评中心 Page 4 一、能力验证活动概况——2012年和2014年汇总 信息产业信息安全测评中心 Page 5 一、能力验证活动概况  依据的标准规范  GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求  参考的标准规范  GB/T 28448-2012 信息安全技术信息系统安全等级保护测评要求  GB/T 28449-2012 信息安全技术信息系统安全等级保护测评过程指南  考查点选取原则  检查方法成熟，不涉及人员访谈配合，降低不确定性  信息系统安全最具有代表性的基线控制点  信息系统实际情况中较常出现的薄弱点 信息产业信息安全测评中心 Page 6 一、能力验证活动概况  2012年T0680考查点分布：  网络安全：8个测评项  结构安全3个、访问控制1个、安全审计1个、网络设备防护3个  主机安全：6个测评项  身份鉴别2个、访问控制2个、入侵防范1个、资源控制1个  应用安全：9个测评项  身份鉴别3个、访问控制1个、安全审计2个、通信必威体育官网网址性1个、软件容错1个、 资源控制1个  数据安全：1个测评项  备份和恢复1个 信息产