一、认证范围
1、防火墙
《信息安全产品强制性认证实施规则 防火墙产品》所指的防火墙产品是指一个或一组在不同安全策略的网络或安全域之间实施网络访问控制的系统。
该规则适用的产品范围为:以防火墙功能为主体的软件或软硬件组合;不适用个人防火墙产品。
拟用于涉密信息系统的上述产品,按照国家有关保密规定和标准执行,不适用该规则。
认证依据标准
GB/T 20281《信息安全技术 防火墙技术要求和测试评价方法》
2、网络安全隔离卡与线路选择器
《信息安全产品强制性认证实施规则 网络安全隔离卡与线路选择器产品》所指的网络安全隔离卡是指安装在计算机内部,能够使连接该计算机的多个独立的网络之间仍然保持物理隔离的设备。安全隔离线路选择器是与配套的安全隔离卡一起使用,适用于单网布线环境下,使同一计算机能够访问多个独立的网络,并且各网络仍然保持物理隔离的设备。
该规则适用的产品范围为:(1)安全隔离计算机;(2)安全隔离卡;(3)安全隔离线路选择器。
说明:安全隔离计算机是指以安装网络安全隔离卡实现安全隔离的计算机。
拟用于涉密信息系统的上述产品,按照国家有关保密规定和标准执行,不适用该规则。
认证依据标准
网络安全隔离卡认证依据的标准为GB/T 20279《信息安全技术 网络和终端设备隔离部件安全技术要求》中物理断开部件规定的全部适用项目。
安全隔离计算机认证依据的标准为GB/T 20279 《信息安全技术 网络和终端设备隔离部件安全技术要求》中物理断开隔离部件所规定的全部适用项目。
3、安全隔离与信息交换产品
《信息安全产品强制性认证实施规则 安全隔离与信息交换产品》所指的安全隔离与信息交换产品是指能够保证不同网络之间在网络协议终止的基础上,通过安全通道在实现网络隔离的同时进行安全数据交换的软硬件组合。
该规则适用的产品范围为:安全隔离与信息交换产品。
拟用于涉密信息系统的上述产品,按照国家有关保密规定和标准执行,不适用该规则。
认证依据标准
GB/T 20279《信息安全技术 网络和终端设备隔离部件安全技术要求》中规定的适用项目。
4、安全路由器
《信息安全产品强制性认证实施规则 安全路由器产品》所指的安全路由器是指为保障所传输数据完整性、机密性、可用性,应用于重要信息系统的,具备IKE密钥协商能力,端口IPSec硬件线速加密能力的路由器。
该规则适用的产品范围为:具备IKE密钥协商能力,端口IPSec硬件线速加密能力的,集成了IPSec/SSL,以及防火墙、入侵检测、安全审计等一种或多种安全模块的路由器,仅接入公用电信网的路由器除外。
拟用于涉密信息系统的上述产品,按照国家有关保密规定和标准执行,不适用该规则。
认证依据标准
GB/T 18018 《信息安全技术 路由器安全技术要求》
5、智能卡COS
《信息安全产品强制性认证实施规则 智能卡COS产品》所指的智能卡芯片操作系统(COS-Chip Operating System)是指在智能卡芯片中存储和运行的、以保护存储在非易失性存储器中的应用数据或程序的机密性和完整性、控制智能卡芯片与外界信息交换为目的的嵌入式软件。
该规则适用的产品范围为:遵循GB/T 16649:2006(idt ISO/IEC 7816)标准指令集的(1)采用接触或/和非接触工作方式的智能卡COS;(2)其它集成或内置了的COS(如USBKey等)。
拟用于涉密信息系统的上述产品,按照国家有关保密规定和标准执行,不适用该规则。
认证依据标准
GB/T 20276《信息安全技术 智能卡嵌入式软件安全技术要求(EAL4增强级)》
6、数据备份与恢复产品
《信息安全产品强制性认证实施规则 数据备份与恢复产品》所指的数据备份与恢复产品是指实现和管理信息系统数据的备份和恢复过程的软件或软硬件组合。
该规则适用的产品范围为:具有数据备份与恢复管理功能的产品,不包括仅具有自身数据备份与恢复管理功能的产品。
拟用于涉密信息系统的上述产品,按照国家有关保密规定和标准执行,不适用该规则。
认证依据标准
CNCA/CTS 0051-2007 《信息技术 信息安全 数据备份与恢复产品认证技术规范》
7、安全操作系统
《信息安全产品强制性认证实施规则 安全操作系统产品》所指的安全操作系统是指从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略,并实现了GB 17859-1999 《计算机信息系统安全保护等级划分准则》所确定的安全等级三级(含)以上的操作系统。
该规则适用的产品范围为:(1)独立的安全操作系统软件产品;(2)集成或内置于其它产品中的安全操作系统。
拟用于涉密信息系统的上述产品,按照国家有关保密规定和标准执行,不适用该规则。
认证依据标准
GB/T 20272 《信息安全技术 操作系统安全技术要求》
8、安全数据库系统
《信息安全产品强制性认证实施规则 安全数据库系统产品》所指的安全数据库系统是指从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略,并实现GB 17859-1999 《计算机信息系统安全保护等级划分准则》所确定的安全等级三级(含)以上的数据库系统。
该规则适用的产品范围为:(1)独立的安全数据库系统软件产品;(2)集成或内置于其它产品中的安全数据库系统。
拟用于涉密信息系统的上述产品,按照国家有关保密规定和标准执行,不适用该规则。
认证依据标准
GB/T 20273 《信息安全技术 数据库管理系统安全技术要求》
9、反垃圾邮件产品
《信息安全产品强制性认证实施规则 反垃圾邮件产品》所指的反垃圾邮件产品是指对按照电子邮件标准协议实现的电子邮件系统中传递的垃圾邮件进行识别、过滤的软件或软硬件组合。
该规则适用的产品范围为:(1)透明的反垃圾邮件网关;(2)基于转发的反垃圾邮件系统;(3)与邮件服务器一体的反垃圾邮件的邮件服务器;(4)安装于已有邮件服务器上反垃圾邮件软件。
拟用于涉密信息系统的上述产品,按照国家有关保密规定和标准执行,不适用该规则。
认证依据标准
CNCA/CTS 0031-2008《信息安全技术 反垃圾邮件产品认证技术规范》
10、入侵检测系统(IDS)
《信息安全产品强制性认证实施规则 入侵检测系统(IDS)产品》所指的入侵检测系统指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,发现违反安全策略的行为和被攻击迹象的软件或软硬件组合。
该规则适用的产品范围为:(1)网络型入侵检测系统;(2)主机型入侵检测系统。
拟用于涉密信息系统的上述产品,按照国家有关保密规定和标准执行,不适用该规则。
认证依据标准
GB/T 20275《信息安全技术 入侵检测系统技术要求和测试评价方法》
11、网络脆弱性扫描产品
《信息安全产品强制性认证实施规则 网络脆弱性扫描产品》所指的网络脆弱性扫描产品指利用扫描手段检测目标网络系统中可能被入侵者利用的脆弱性的软件或软硬件组合。
该规则适用的产品范围为:网络型脆弱性扫描产品。本规则不适用:主机型脆弱性扫描产品;数据库的脆弱性扫描产品;WEB应用的脆弱性扫描产品。
拟用于涉密信息系统的上述产品,按照国家有关保密规定和标准执行,不适用该规则。
认证依据标准
GB/T 20278 《信息安全技术 网络脆弱性扫描产品技术要求》
12、安全审计产品
《信息安全产品强制性认证实施规则 安全审计产品》所指的安全审计产品是指对信息系统的各种事件及行为实行监测、信息采集、分析并采取相应比较动作的软件或软硬件组合。
该规则适用的产品范围为:将主机、服务器、网络、数据库及其它应用系统等一类或多类作为审计对象的产品。
拟用于涉密信息系统的上述产品,按照国家有关保密规定和标准执行,不适用该规则。
认证依据标准
GB/T 20945《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》
13、网站恢复产品
《信息安全产品强制性认证实施规则 网站恢复产品》所指的网站恢复产品是对受保护的静态网页文件、动态脚本文件及目录的未授权更改及时地进行自动恢复的软件或软硬件组合。
该规则适用的产品范围为:针对静态网页文件、动态脚本文件及目录进行自动恢复的产品。
上述所指的静态网页文件、动态脚本文件及目录是指保存在网站服务器上的相关文件。
拟用于涉密信息系统的上述产品,按照国家有关保密规定和标准执行,不适用该规则。
认证依据标准
CNCA/CTS 0050-2007《信息技术 信息安全 网站恢复产品认证技术规范》
二、认证流程
认证流程是:认证申请与受理;型式试验委托及实施;初始工厂检查;认证结果评价与批准;获证后监督。
三、工厂检查的内容
工厂检查沿用了中国强制性产品认证的理念,与国际通行的定义相同,所谓“工厂”是指对认证产品进行最终装配和/或试验以及加施认证标志的场所。信息安全产品的工厂包括研制场所。
工厂检查的内容为相应产品的《实施规则》中规定的信息安全保证能力、质量保证能力和产品一致性检查。
四、认证证书的有效期
认证证书有效期为五年,期间证书的有效性依赖中国信息安全认证中心定期的监督获得保持。
五、认证委托
申请单位委托他人办理申请认证事宜时,受委托人应当向中国信息安全认证中心提交认证委托授权书。