國家計算機網(wǎng)絡應急技術(shù)處理協(xié)調(diào)中心:
英文簡稱CNCERT/CC,是中國計算機網(wǎng)絡應急處理體系中的牽頭單位滓侍。
作為國家級應急中心,CNCERT/CC的主要職責是:按照“積極預防、及時發(fā)現(xiàn)、快速響應播赁、力保恢復”的方針吨铸,開展互聯(lián)網(wǎng)網(wǎng)絡安全事件的預防、發(fā)現(xiàn)祖秒、預警和協(xié)調(diào)處置等工作诞吱,運行和管理國家信息安全漏洞共享平臺(CNVD),維護公共互聯(lián)網(wǎng)安全竭缝,保障關(guān)鍵信息基礎(chǔ)設施的安全運行房维。
中國信息安全測評中心:
(1)安全可靠測評
主要面向計算機終端和服務器搭載的中央處理器(CPU)、操作系統(tǒng)以及數(shù)據(jù)庫等基礎(chǔ)軟硬件產(chǎn)品抬纸,通過對產(chǎn)品及其研發(fā)單位的核心技術(shù)咙俩、安全保障、持續(xù)發(fā)展等方面開展評估,評定產(chǎn)品的安全性和可持續(xù)性阿趁,實現(xiàn)對產(chǎn)品研發(fā)設計膜蛔、生產(chǎn)制造、供應保障脖阵、售后維護等全生命周期安全可靠性的綜合度量和客觀評價皂股。
安全可靠測評堅持“自愿平等、客觀公正”原則命黔,由企業(yè)自愿向中國信息安全測評中心呜呐、國家保密科技測評中心申請產(chǎn)品檢測,測評結(jié)果由企業(yè)和用戶自主選擇使用悍募。
(2)產(chǎn)品測評
對國內(nèi)外信息技術(shù)產(chǎn)品的安全性進行測評蘑辑,其中包括各類信息安全產(chǎn)品如防火墻、入侵監(jiān)測坠宴、安全審計洋魂、網(wǎng)絡隔離、VPN啄踊、智能卡忧设、卡終端、安全管理等颠通,以及各類非安全專用IT產(chǎn)品如操作系統(tǒng)址晕、數(shù)據(jù)庫、交換機顿锰、路由器谨垃、應用軟件等。
根據(jù)測評依據(jù)及測評內(nèi)容硼控,分為:信息安全產(chǎn)品分級評估刘陶、信息安全產(chǎn)品認定測評、信息技術(shù)產(chǎn)品自主原創(chuàng)測評牢撼、源代碼安全風險評估匙隔、選型測試、定制測試熏版。
(3)系統(tǒng)評估
對國內(nèi)信息系統(tǒng)的安全性進行測試纷责、評估。
對國內(nèi)信息系統(tǒng)的安全性測試撼短、評估和認定再膳、根據(jù)依據(jù)標準及測評方法的不同,主要提供:信息安全風險評估曲横、信息系統(tǒng)安全等級保護測評喂柒、信息系統(tǒng)安全保障能力評估、信息系統(tǒng)安全方案評審、電子政務項目信息安全風險評估灾杰。
(4)服務資質(zhì)
對提供信息安全服務的組織和單位資質(zhì)進行審核蚊丐、評估和認定。
信息安全服務資質(zhì)是對信息系統(tǒng)安全服務的提供者的技術(shù)吭露、資源吠撮、法律、管理等方面的資質(zhì)和能力讲竿,以及其穩(wěn)定性泥兰、可靠性進行評估,并依據(jù)公開的標準和程序题禀,對其安全服務保障能力進行認定的過程鞋诗。目前分為:信息安全工程、信息安全災難恢復迈嘹、安全開發(fā)削彬、風險評估、信息系統(tǒng)審計秀仲、云計算安全融痛、大數(shù)據(jù)安全等七大類。
(5)人員注冊
對信息安全專業(yè)人員的資質(zhì)能力進行考核神僵、評估和認定雁刷。
信息安全人員測評與資質(zhì)認定,主要包括注冊信息安全專業(yè)人員(CISP)保礼、注冊信息安全員(CISM)及安全編程等專項培訓沛励、信息安全意識培訓。
(6)其他業(yè)務
a)工業(yè)控制系統(tǒng)產(chǎn)品測評
是對工業(yè)控制系統(tǒng)中的各類產(chǎn)品進行功能性及安全性測試炮障,包括控制類產(chǎn)品(即工業(yè)控制設備)和安全類產(chǎn)品(工業(yè)安全設備)目派。其中控制類產(chǎn)品包括可編程控制器(PLC)、離散控制系統(tǒng)(DCS)胁赢、遠程終端單元(RTU)企蹭、智能電子設備(IED)、各行業(yè)控制系統(tǒng)等用于生產(chǎn)控制的產(chǎn)品智末;安全類產(chǎn)品包括工業(yè)防火墻谅摄、工業(yè)安全網(wǎng)關(guān)、工業(yè)異常監(jiān)測系統(tǒng)吹害、工業(yè)應用軟件漏洞掃描產(chǎn)品等用于工業(yè)環(huán)境安全防護的產(chǎn)品螟凭。根據(jù)測評依據(jù)及測評內(nèi)容虚青,工業(yè)控制系統(tǒng)產(chǎn)品測評類型包含標準測試它呀、選型測試和定制測試等。
b)滲透測試業(yè)務
指測試人員盡可能完整地模擬攻擊者使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段,從攻擊者的角度對目標網(wǎng)絡纵穿、系統(tǒng)下隧、主機應用的安全性作深入的非破壞性的探測, 發(fā)現(xiàn)系統(tǒng)最脆弱環(huán)節(jié)的過程谓媒。滲透測試通常能以非常明顯淆院、直觀的結(jié)果來反映出系統(tǒng)的安全現(xiàn)狀,其目的是能夠讓管理人員直觀地知道自己網(wǎng)絡所面臨的問題句惯。
通過滲透測試可以做到:
1)?了解入侵者可能利用的途徑土辩,提出改進方法與建議。
2)?檢驗現(xiàn)行的網(wǎng)絡設備(路由器抢野、交換器等)安全策略拷淘。
3)?檢驗現(xiàn)行的信息安全設備(防火墻、IDS等)安全策略指孤。
4)?對于重要主機的安全性進行專業(yè)信息安全的評估與建議启涯。
5)?找出IT人員未能掌握的服務器或主機加以調(diào)查。
6)?了解系統(tǒng)及網(wǎng)絡的安全狀態(tài)恃轩。
7)?檢驗現(xiàn)行的信息安全策略结洼。
8)?找出現(xiàn)行信息安全策略的盲點。
9)?驗證現(xiàn)有系統(tǒng)的整體安全性叉跛。
滲透測試為了不對測試目標造成破壞松忍、損害或篡改,對于某些可能會對測試對象造成負面影響的攻擊方法和手段昧互,在滲透測試中不予使用挽铁,具體包括:社會工程學、分布式拒絕服務攻擊敞掘、散布病毒(包括木馬叽掘、惡意代碼等)、對即時通訊工具的攻擊玖雁、網(wǎng)絡釣魚等更扁。
安全可靠測評參考依據(jù):
? ? ? ?1.《中華人民共和國國家安全法》
? ? ? ?2.《中華人民共和國網(wǎng)絡安全法》
? ? ? ?3.《中華人民共和國數(shù)據(jù)安全法》
? ? ? ?4.《中華人民共和國個人信息保護法》
? ? ? ?5.《中華人民共和國保守國家秘密法》
? ? ? ?6.《中華人民共和國密碼法》
? ? ? ?7.《中華人民共和國專利法》
? ? ? ?8.《中華人民共和國商標法》
? ? ? ?9.《中華人民共和國著作權(quán)法》
? ? ? ?10.《中華人民共和國反壟斷法》
? ? ? ?11.《計算機軟件保護條例》
? ? ? ?12.《集成電路布圖設計保護條例》
? ? ? ?13.《關(guān)鍵信息基礎(chǔ)設施安全保護條例》
? ? ? ?14.《網(wǎng)絡安全審查辦法》
? ? ? ?15.《數(shù)據(jù)出境安全評估辦法》
? ? ? ?16.《商用密碼應用安全性評估管理辦法(試行)》
? ? ? ?17.《知識產(chǎn)權(quán)對外轉(zhuǎn)讓有關(guān)工作辦法(試行)》
? ? ? ?18.《商標一般違法判斷標準》
? ? ? ?19.《商標侵權(quán)判斷標準》
? ? ? ?20.《不可靠實體清單規(guī)定》
? ? ? ?21.《國家知識產(chǎn)權(quán)局知識產(chǎn)權(quán)信用管理規(guī)定》
? ? ? ?22.GB/T 18336-2015《信息技術(shù)安全評估準則》
? ? ? ?23.GB/T 29490-2013《企業(yè)知識產(chǎn)權(quán)管理規(guī)范》
? ? ? ?24.GB/T 37286-2019《知識產(chǎn)權(quán)分析評議服務—服務規(guī)范》
? ? ? ?25.GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》
? ? ? ?26.GB/T 25070-2019《信息安全技術(shù)網(wǎng)絡安全等級保護安全設計技術(shù)要求》
? ? ? ?27.GB/T 28448-2019《信息安全技術(shù)網(wǎng)絡安全等級保護測評要求》
? ? ? ?28.GB/T 39786-2021《信息系統(tǒng)密碼應用基本要求》
國家信息技術(shù)安全研究中心:
中央網(wǎng)信辦所屬事業(yè)單位
建有計算機病毒防御技術(shù)國家工程實驗室、工業(yè)控制系統(tǒng)安全技術(shù)國家工程實驗室赫冬。
國家互聯(lián)網(wǎng)信息辦公室與中央網(wǎng)絡安全和信息化委員會辦公室浓镜,一個機構(gòu)兩塊牌子,屬于中共中央直屬機構(gòu)劲厌。
