国家信息安全测评信息安全产品自主原创测评白皮书.docx
《国家信息安全测评信息安全产品自主原创测评白皮书.docx》由会员分享,可在线阅读,更多相关《国家信息安全测评信息安全产品自主原创测评白皮书.docx(17页珍藏版)》请在冰豆网上搜索。
国家信息安全测评信息安全产品自主原创测评白皮书
国家信息安全测评
信息安全产品自主原创测评白皮书
版本:
1.0
©版权2008—中国信息安全测评中心
二〇〇八年三月
目录
目录I
第1章简介1
1.1引言1
1.2目的和意义1
1.3业务范围2
第2章自主原创测评业务介绍3
2.1业务特点3
2.1.1国家权威3
2.1.2公平、公正、保密3
2.1.3成熟的技术3
2.2业务需求3
2.2.1支持自主产权3
2.2.2经济发展需要3
2.2.3政策措施完善3
2.3依据标准4
第3章自主原创测评方法介绍5
3.1企业自主原创环境和能力测评5
3.1.1企业资质考查5
3.1.2企业管理状况考查6
3.1.3企业产品研发生产环境和过程7
3.2产品自主原创资质和技术测评8
3.2.1产品资质8
3.2.2产品安全性测评8
3.2.3产品核心技术同源性分析8
3.3自主原创测评内容综述9
第4章自主原创测评流程介绍10
4.1自主原创测评流程综述10
4.2资料提交和说明12
4.2.1业务受理阶段(申请书)所需提交的资料12
4.2.2测评实施阶段(启动通知单)所需提交的资料13
4.3自主原创测评业务接口说明13
4.3.1测评内容14
4.3.2人员及时间15
4.3.3监督测评15
4.3.4代码托管15
4.4业务输出15
第1章简介
1.1引言
当今世界,国家的核心竞争力越来越表现为对智力资源和智慧成果的培育、配置、调控能力,表现为对知识产权的拥有、运用能力。
因此,加强我国自主知识产权的建设,大力提高对知识产权的创造、管理、保护、运用能力,是完善社会主义市场经济体制、规范市场秩序和建立诚信社会的迫切需要,是增强我国企业市场竞争力、提高国家核心竞争力的迫切需要。
面对世界经济科技发展的趋势,面对日趋激烈的国际竞争,我国正在以科学发展观大力增强自主创新能力,不断提高我国的国际竞争力和抗风险能力,推动我国社会经济的快速发展。
建立和完善知识产权保护体系,是加快科学技术创新、实施科教兴国战略的内在要求,也是我国全面建设小康社会进程中所面临的重大历史任务。
支持和保护我国信息安全产品的核心技术原创性,既增强了我国的科技实力和国际竞争力,也维护了国家利益和经济等方面的安全,为我国进入创新型国家行列提供强有力的支撑。
目前,我国社会的信息化高速发展,电子政务、电子商务等已逐渐成为了新的工作和生活方式。
同时,信息安全产品在我国经济建设中的作用越来越突出,涉及了从保护个人的隐私、企业的商业秘密,到保护国家的机密等各个方面。
因此,加强我国信息安全产品的核心技术原创性建设尤为迫切。
1.2目的和意义
信息安全产品自主原创测评是适应我国经济社会发展的需要,是适应国际知识产权保护的发展趋势,鼓励信息安全产业的自主创新和维护权利人合法权益的重要举措。
自主原创测评业务的目的是鼓励信息安全产业开发拥有自主核心技术和自主知识产权的信息安全产品,加强信息安全知识产权服务系统的建设,加快建立健全信息安全产业的知识产权服务体系,促进自主创新成果的知识产权化、商品化、产业化。
信息安全产品自主原创测评的根本目的是促进高质量、安全和自主可控的IT产品的开发,其具体的目的和意义包括:
1)积极落实国家的自主创新政策,扶持具有一定自主创新能力的民族信息安全企业,促进中国信息安全产业的发展。
2)有助于在涉及国家安全的信息安全领域中加强产品和服务的安全性和可控性,维护国家和用户的安全利益。
3)引导和鼓励民族信息安全企业的自主研发,使企业发展进入良性循环,提高民族信息安全产业的整体技术水平。
4)促进中国信息安全市场的优胜劣汰机制的建立和完善,规范市场。
5)帮助企业加强自主创新和保护知识产权的意识,提高企业信息安全产品和服务的自主创新能力和水平。
1.3业务范围
除下列产品外的所有信息安全产品:
●国外品牌产品
●非自主研发的开源产品;
●不具有完全知识产权的非自主研发的产品;
●其他不符合政策和技术要求的产品。
第2章自主原创测评业务介绍
2.1业务特点
2.1.1国家权威
中心多年来依据国家授权对外开展信息安全产品业务,代表国家对信息安全产品的最高认可,出具的证明报告具有极高的权威性。
2.1.2公平、公正、保密
中心是第三方的独立测评机构,不代表任何商业组织的利益,出具的测评报告以事实为依据,以公平、公正为准则。
我中心有成熟和完善的代码管理控制机制,可对厂家送测的产品源代码进行保密处理,防止其外泄。
2.1.3成熟的技术
中心长期以来从事信息安全工作,拥有广泛的客户群体,掌握一手的行业信息,积累了丰富的产品测评、研发、评估经验,这些领域内的实践经验应用到此项业务中,能够很好的支持该业务的发展。
2.2业务需求
2.2.1支持自主产权
支持对我国经济发展具有带动作用的信息安全核心技术和关键设备的自主知识产权,支持拥有核心技术、打造知名品牌、具有国际竞争力的信息安全企业。
2.2.2经济发展需要
适应我国经济社会发展的需要,适应国际知识产权保护的发展趋势,从行政方面鼓励信息安全产业的自主创新和维护权利人合法权益。
2.2.3政策措施完善
完善信息安全产业自主知识产权保护和运用的政策措施,加强信息安全知识产权服务体系的建设,加快建立健全信息安全产业的知识产权服务体系,促进自主创新成果的知识产权化、商品化、产业化。
2.3依据标准
此项业务的主要依据标准:
1.信息安全产品测评相关国家标准,包括《GB/T18336-2001信息技术安全性评估准则》等;
2.国家知识产权相关政策、法规和标准指南。
第3章自主原创测评方法介绍
自主原创测评方法主要从企业和产品两个层面来进行测评:
1.企业自主原创环境和能力测评:
从企业性质、企业管理状况、企业产品研发生产环境和过程三方面测评企业自主原创环境和能力;
2.产品自主原创资质和技术测评:
从产品资质、产品安全性测评和产品核心技术同源性分析三方面测评送测产品的质量、安全和自主可控性。
3.1企业自主原创环境和能力测评
产品研发生产企业是否具备相应的资质,是否具有完善的管理体系,是否具有自主研发的环境和能力,是自主原创业务需要测评的首要方面。
在企业层面上,自主原创测评将从企业性质、企业管理状况、企业产品研发过程三方面测评企业自主原创环境和能力。
3.1.1企业资质考查
在企业资质考查中,主要考查企业性质和企业的相关资质文件。
一、企业性质
本测评方法适用于从事信息安全产品研发和生产的国内独资企业和国内控股的合资企业,不适用于外商独资企业和国外控股的合资企业。
答复:
考虑保护国内产品,目前产品作自主原创证明测评仅针对国内厂家。
其中含(申报内容,投资方各占股份)
根据资本性质,目前我国主要存在三种类型的信息安全企业:
国内独资企业、中外合资企业、外商独资企业。
其中国内独资企业、国内具有控股权的合资企业是本评价方法的适用对象,外商独资企业、国外具有控股权的合资企业不是本评价方法的适用对象。
在本测评方法中,主要通过对企业法人营业执照的考查,来审查企业的法人身份、注册资金、企业类型、经营范围等内容。
二、资质证明
企业需提供各种资质文件用于审查,这些文件将作为企业自主原创环境和能力的辅助依据。
企业需提交的资质证书包括政府或行业协会等单位颁发的企业能力资质证书,包括质量管理体系证书等。
在本测评方法中,主要通过对企业提交的相关资质证书进行考查,考查企业的质量、软件开发等方面的资格和能力。
3.1.2企业管理状况考查
企业的决策层是否具有进取和创新精神,对企业的发展和产品的定位有很大的影响。
企业的发展战略规划、科技人员队伍的建设、管理制度的制定等方面能够体现出企业的自主创新意识。
通过考察企业的管理状况,来了解企业是否具有长远的、创新的发展战略,是否具有稳定的、有创新能力的科技队伍,是否制定了具有激励机制的制度。
在企业管理状况考查,主要从以下方面进行考查:
一、企业的发展战略和规划
企业提供发展战略和规划文件,考察其发展战略规划的内容是否充实、有效,是否与其经营范围、企业资质等相符,是否符合信息安全行业的发展趋势和市场需求。
通过与企业的各级别人员进行交流,考察企业的发展战略和规划是否在企业内部进行了正确、及时的传达和实施。
二、企业的管理制度
企业提供管理制度文件,其管理制度要符合企业战略规划的精神,要具有使企业从上至下都能够自主创新的效力。
管理制度主要包括内部职能、奖惩制度、知识产权保护制度及其他制度等方面。
1)内部职能的设置。
考察企业各部门、各机构的职能设置是否合理,是否满足企业发展的需要,是否能够促进核心技术原创性的创新、发展和保护。
2)薪酬及奖惩制度
⏹考察薪酬制度是否能够激发员工的积极性。
⏹考察是否有奖励制度鼓励员工关注产品的创新和发展。
3)知识产权保护制度
⏹考察企业是否对信息资产进行分类和分级,而且涉及知识产权技术的资产处于什么样的类别和级别。
⏹考察企业是否采取了法律约束、内部规定、技术手段等措施来保证自有的技术、资料等信息在有效期内不被泄漏给其他企业。
4)运营制度。
企业依据其实际情况而制定的与企业运营相关的制度,考察其是否具有激发员工自主创新意识的机制,是否能够在企业的运营过程中促进产品核心技术的创造、管理、保护、运用。
如:
要求非生产研发部门能够积极主动的配合生产研发部门的创新工作,等等。
三、企业科技人员队伍的建设
信息安全行业有人员流动较频繁的特点,而且技术、知识、甚至是源代码也随之流动。
这样,技术人员的流动有可能把一个企业的核心技术带到了其他企业。
因此要考察企业科技人员队伍的建设情况,包括如下方面:
1)考察科技人员队伍的结构和规模是否满足企业发展和产品生产的需求。
2)考察企业与科技人员之间的保密协议。
3)考察科技人员自身的保密意识及对保密制度的执行情况。
4)考察企业的人事档案,了解企业的科技人员的流动情况。
5)考察企业的科研部门主管、高层技术人员等涉及企业核心技术的科研人员的工作经历及技术档案。
6)考察企业的保密措施、实施情况以及实施效果。
四、对外合作
如果企业有合作单位,需其提供与合作单位相关的文件。
要审查的文件包括合作单位的企业资质及证明、双方的合作合同、双方的保密协议等。
进而确认合作单位是否触及产品的核心技术。
3.1.3企业产品研发生产环境和过程
企业产品研发生产环境和过程的考查,是自主原创测评的基础和重要依据。
在对企业产品研发生产环境和过程的静态评审和现场考查中,将考查并提供企业自主原创的主要证据,支持高质量、安全和自主可控产品测评的证明。
在企业产品研发生产环境和过程的考查中,主要考查以下过程和环境:
一、产品设计环境和过程
通过查看企业提交的产品设计文档,访谈产品设计人员,包括产品需求分析文件、概要设计文档等,了解熟悉产品的设计初衷、设计思路等,确认产品原创的设计依据。
二、产品研发环境和过程
查看产品的详细设计和研发流程文档,确认产品的结构,以及研发各个模块的任务分配情况。
考查企业的研发环境,访谈产品研发人员,确认研发人员的情况是否与任务分配的一致,是否使用了配置管理系统,产品在研发过程中代码或文档的各版本是否与记录一致。
三、产品生产环境和过程
查看产品的生产流程文档,考察企业的生产环境并访谈生产人员,确定产品的生产是否与生产流程文档一致,地点是否固定,且是否具有与产品相匹配的规模。
3.2产品自主原创资质和技术测评
在产品自主原创资质和技术测评中,主要从产品资质、产品安全性测评和产品核心技术同源性分析三方面测评送测产品的质量、安全和自主可控性。
3.2.1产品资质
在产品资质中,主要包括审查产品的以下资质证书:
●产品认证证书:
包括中华人民共和国公安部颁发的销售许可证、中国信息安全测评中心颁发的产品分级(EAL)测评证书,以及信息安全产品强制认证证书等;
●知识产权相关证书:
计算机软件著作权证书或专利证书等;
在产品资质中,中国信息安全测评中心颁发的产品分级(EAL)测评证书和计算机软件著作权证书是自主原创测评的前提,专利证书等其他相关证书将为自主原创提供更全面的依据和证明。
3.2.2产品安全性测评
自主原创测评是为了确保产品的质量、安全和自主可控性,其中质量和安全是自主原创的前提。
在产品安全性测评中,将依据《GB/T18336-2001信息技术安全性评估准则》标准中EAL4级的标准进行测评,以确保产品的质量和安全性。
在产品安全性测评中,将依据EAL4级的标准,对获得不同EAL级别证书的产品进行补充测试,以确保自主原创产品满足EAL4级的高标准要求。
3.2.3产品核心技术同源性分析
产品核心技术的同源性分析,是自主原创测评中确保产品自主可控的主要技术依据。
为开展同源性分析测评工作,企业需提交送检产品核心技术的源代码(包括硬件设备和软件部分的源代码)及相关开发、设计资料。
产品核心技术同源性分析,包括建立源代码基准库,并综合采用了源代码测试的同源性分析技术,验证产品的自主原创性。
3.3自主原创测评内容综述
综上所述,自主原创测评将从企业和产品两个层面,分别从企业性质、企业管理状况、企业产品研发生产环境和过程三方面测评企业自主原创环境和能力;从产品资质、产品安全性测评和产品核心技术同源性分析三方面测评送测产品的质量、安全和自主可控性。
自主原创测评内容原理介绍图如下:
在测评过程中,主要使用了以下测评方法:
1)文档审查。
审查企业资质、企业管理和产品研发资料等相关文档。
2)人员交流。
与企业相关人员进行交流。
3)现场取证。
核查企业生产研发工作的现场情况。
4)产品安全性测试。
依据《GB/T18336-2001信息技术安全性评估准则》标准EAL4的质量和安全要求,测试产品的质量、功能和安全性。
5)同源性分析测试。
通过与基准库进行比较,进行同源性分析测试。
第4章自主原创测评流程介绍
4.1自主原创测评流程综述
自主原创测评流程参见下图:
整个测评流程分为业务受理阶段、测评准备阶段、测评实施阶段、综合评定阶段和公告注册阶段五个阶段。
1)业务受理阶段
该阶段主要根据厂家文档及产品的实际情况,确定是否受理产品的自主原创测评申请。
厂家向中心提交自主原创测评申请,按照文档要求提交全部文档及资质证明。
由公共服务部对厂家提交的文档进行初步的技术和形式审查,包括提交的文档内容是否符合内容要求和形式要求,通过审查的进入下一阶段,未通过审查的根据提交文档的实际情况提出书面反馈意见,厂家应根据反馈意见进行补充或修改,并以新的文档重新提出测评申请。
如遇严重问题的,由中心出具书面情况描述,拒绝接受产品申请,终止自主原创测评业务。
2)测评准备阶段
受理完成后,信息安全实验室制定测评方案。
厂家将产品及全部文档提交到中心,信息安全实验室对厂家详细文档进行审核,通过审查的进入下一阶段,未通过审查的根据提交文档的实际情况提出书面反馈意见,厂家应根据反馈意见进行补充或修改,直到资料符合测评要求。
信息安全实验室通知厂家项目正式启动,并将需厂家配合的相关事宜一并告知。
3)测评实施阶段
在测评实施阶段,厂商在收到启动通知书后,同中心签订《源代码托管协议》,并提交送测产品样品和源代码,并同信息安全实验室协商确定现场测评相关的工作安排,制定方案。
测评组人员根据方案,严格遵照测评进度开展测评工作,必要时可要求厂家提供技术支持,及配合完成有关操作,对于出现的问题应及时报负责人解决,属厂家问题的出具观察报告由厂家确认签字,属严重问题的经与厂家确认,必要时终止测评业务。
4)综合评定阶段
测评组人员根据各个方面的测评结果,出具综合的描述性报告,该报告将作为产品是否通过原创证明的直接依据。
报告和评估记录交由负责人完成审核,测评组人员根据审核意见对报告和记录进行修改,并最终由负责人签字确认,确认后进入下一阶段。
5)公告注册阶段
中心组织相关领域内的专家,负责对综合结果进行评审。
通过评审的产品将在中心网站及主流媒体进行公布,并留有半个月的争议期限,在争议期内接受社会及业内厂家的意见,发生严重争议的,视具体情况经查实后可终止测评业务。
未发生争议的进入下一阶段。
争议期过后,中心对产品进行注册并颁发产品认证证书,将认证结果公布于中心网站和杂志。
在监督期内,中心均接受对已获证产品的争议,如有争议发生,对该产品将进行复议,对确认违反自主原创规定的,将对其取消已颁发的证书。
同时,中心每年对已测评产品复查1次,可采取自查、抽查、普查等不同形式并可进行不定期抽查。
根据监督检查的结果,对违反有关规则或程序自行变更技术性能或采用国外产品或技术对已测评产品的安全性和可控性造成威胁,中心可要求该获证企业进行解释和整改,必要时也可随时对其取消已颁发的证书。
中心将根据情节严重程度对该获准企业的申请资格加以限制。
中心将在证书3年有效期满后,组织对该产品的证书和换发新的证书,如遇到产品变化较大的,可要求厂家重新提供文档及相关证明,必要时,可组织验证性测评。
4.2资料提交和说明
在自主原创测评中,厂商应根据测评流程提交相关资料,厂商所需提交的资料包括:
4.2.1业务受理阶段(申请书)所需提交的资料
在业务受理阶段,厂商在申请书中应提交以下文件:
●申请单位应提交以下企业资质文件用于审查:
⏹企业法人营业执照:
用于审查企业的法人身份、注册资金、企业类型、经营范围等内容;
⏹企业资质证书:
包括政府或行业协会等单位颁发的企业能力资质证书,包括质量管理体系证书等。
●申请单位应提交以下送测产品资质文件用于审查:
⏹产品证书:
包括中华人民共和国公安部颁发的销售许可证、中国信息安全测评中心颁发的产品分级(EAL)测评证书等;
⏹知识产权相关证书:
计算机软件著作权证书或专利证书等。
●其他申请书要求的相关文件资料
4.2.2测评实施阶段(启动通知单)所需提交的资料
当通过审查,开始测评实施阶段时,厂商应根据启动通知单进一步提交以下资料:
●自主原创测评所涉及产品的所有源代码;
●送测产品样品;
●企业研发生产相关的进一步补充资料;
●其他启动通知单所要求的资料。
4.3自主原创测评业务接口说明
中心公共服务部是负责自主原创测评业务对外联系和沟通的重要窗口,负责受理自主原创测评申请书、发放自主原创测评证书。
源代码托管部门根据签署的《源代码托管协议》内容和具体实施办法,负责对企业的源代码进行管理。
中心信息安全实验室是自主原创测评业务的业务实施接口,负责自主原创业务的实施。
自主原创测评业务的业务接口图如下:
整个测评过程中:
中心的部门包括公共服务部、信息安全实验室。
●公共服务部在业务受理阶段为厂家提供服务。
●信息安全实验室在测评准备阶段、测评实施阶段、综合评定阶段为厂家提供服务。
●公共服务部在公告注册阶段为厂家提供服务。
4.3.1测评内容
信息安全产品自主原创测评包括以下几个方面:
非技术性测评、技术性测评和现场核查。
具体内容如下:
1)非技术性测评主要包括:
审查企业是否具备相关的专利技术及著作权证明。
对产品的需求分析、概要设计、详细设计等文档进行审查,确认文档的完善性、准确性及一致性,是否足以支持产品自主研发。
2)技术性测评主要包括:
产品安全性检测:
对产品进行安全功能的测试,确认其可用性和稳定性,与产品设计文档是否一致。
源代码同源性检测:
对代码的同源性进行检测,并同基准库进行比对。
3)现场核查主要包括:
审查企业的生产现场,确认企业的生产规模是否足以满足产品自身的生产需求。
确认与产品生产相关的文档是否齐全并得到了妥善的保护。
审查研发及测试环境,确认企业是否采取了确保产品机密信息不被非授权泄漏的安全措施。
确认企业是否采取了确保产品完整性的措施(如使用了配置管理或其它代码及文档管理的辅助工具)。
确认产品是否采用了控制措施保证产品在开发环境以外的安全。
与企业各级研发人员进行交流,确认其对产品的设计思路是否清晰,对产品的研发技术是否明确,对产品的功能特点是否明确。
4.3.2人员及时间
该项业务从流程及内容上类似于信息安全产品分级评估的EAL4级业务,涉及到文档审查、现场交流、源代码查看、产品测试,因此在人员及时间安排上可以参考EAL4级业务。
开始测评时间为厂家接到项目启动通知单的时间。
结束测评时间为信息安全实验室出具测评报告时间。
测评按4人/日,50天完成的标准要求进行项目实施。
4.3.3监督测评
中心有相应部门对测评流程就行监督管理,确保测评任务在正确的安全控制流程下进行。
4.3.4代码托管
中心与申请厂家签署源代码第三方托管协议,来保护代码的安全
4.4业务输出
自主原创测评输出产品:
《自主原创测评报告》,该报告包括以下几个部分:
●文档审查报告:
有关产品的专利、著作权及技术文档审查结果的评定。
●现场核查报告:
对现场的文档审查、开发环境、人员交流结果的评定报告。
●技术检测报告:
对产品安全性测试和源代码验证结果的评定。
●综合测评报告:
对以上3个报告的整体描述,阐述产品的最终评定结果。
升级会员 