信息技术已经成为应用面极广、渗透性很强的战略性技术。信息安全产品和信息系统固有的敏感性和特殊性,直接影响国家的安全利益和经济利益。各国政府纷纷采取颁布标准,实行测评和认证制度等方式,对信息安全产品的研制、生产、销售、使用和进出口实行严格、有效的控制。美、英、德、法、澳、加、荷、韩等国家先后建立了国家信息安全测评认证体系。
为适应全球信息化的发展趋势,顺应进入WTO的客观要求,于1997年依循国际惯例正式启动信息安全测评认证工作,并于1998年底,正式建立我国的信息安全测评认证体系。
中国信息安全测评中心介绍:
职能:自1997年创立以来,依照国家法律法规,在信息安全领域为国家提供技术保障,向社会提供公共服务。
权威性:由中央授权,专门从事信息技术安全测试和风险评估的权威职能机构。
国家权威,国际认可:多年来依据国家授权对外开展信息安全产品测评业务,是代表国家对信息安全产品的最高认可,出具的测评报告具有极高的权威性。
测评中心依据依据国标GB/T18336-2008 和国际标准ISO/IEC 15408:2005 等进行评估,所采用的评估方法均为国际通用方法,具备强大的国际认可基础。
公平、公正:作为第三方的独立测评机构,不代表任何商业组织的利益,出具的测评报告以事实为依据,以公平、公正为准则,为最终客户的产品选购提供了良好的依据。
技术成熟:是国内唯一开展产品分级评估业务的专业职能机构。长期以来从事信息安全产品分级评估工作,使中心拥有一支专业的评估队伍,研发出丰富的评估技术手段,在承担国内标准的制定工作的同时,了解国内外对信息安全产品的最新要求及实时动态,其成熟的技术代表了业内领先水平。
国家专项支持,拥有国内一流的信息安全漏洞分析资源和测试评估技术装备;建有漏洞基础研究、应用软件安全、产品安全检测、系统隐患分析和测评装备研发等多个专业性技术实验室;具有专门面向党政机关、基础信息网络和重要信息系统开展风险评估的国家专控队伍。
项目: 863、973、自然科学基金、国家标准研制等100余项科研项目。
测试范围
独立性测试:通过抽样测试及附加测试验证TOE安全功能执行的正确性与一致性,采用测试用例14个,全部一次性通过。
穿透性测试:SMTP协议Fuzzing攻击、POP3协议Fuzzing攻击、HTTP协议Fuzzing攻击、目录遍历攻击、SQL注入攻击、跨站脚本攻击、口令暴力破解、授权用户操作权限测试、未授权用户非法访问测试、垃圾邮件攻击、异常邮件处理、邮件存储安全性检测、邮件传输安全性检测、邮件转发安全性检测、处理邮件附件能力等17个方面进行穿透性测试,测试用例17个。
EAL3+证书:
总结,网易EAL3+证书3个特色:
业界首家且唯一一家获得
权威--中国信息安全中心认可 n EAL3+级信息安全资质
邮件领域安全级别最高