2023-08-01 网络安全典型机构介绍

国家计算机网络应急技术处理协调中心：

英文简称CNCERT/CC，是中国计算机网络应急处理体系中的牵头单位。

作为国家级应急中心，CNCERT/CC的主要职责是：按照“积极预防、及时发现、快速响应、力保恢复”的方针，开展互联网网络安全事件的预防、发现、预警和协调处置等工作，运行和管理国家信息安全漏洞共享平台（CNVD），维护公共互联网安全，保障关键信息基础设施的安全运行。

---

中国信息安全测评中心：

（1）安全可靠测评

主要面向计算机终端和服务器搭载的中央处理器（CPU）、操作系统以及数据库等基础软硬件产品，通过对产品及其研发单位的核心技术、安全保障、持续发展等方面开展评估，评定产品的安全性和可持续性，实现对产品研发设计、生产制造、供应保障、售后维护等全生命周期安全可靠性的综合度量和客观评价。

安全可靠测评坚持“自愿平等、客观公正”原则，由企业自愿向中国信息安全测评中心、国家保密科技测评中心申请产品检测，测评结果由企业和用户自主选择使用。

（2）产品测评

对国内外信息技术产品的安全性进行测评，其中包括各类信息安全产品如防火墙、入侵监测、安全审计、网络隔离、VPN、智能卡、卡终端、安全管理等，以及各类非安全专用IT产品如操作系统、数据库、交换机、路由器、应用软件等。

根据测评依据及测评内容，分为：信息安全产品分级评估、信息安全产品认定测评、信息技术产品自主原创测评、源代码安全风险评估、选型测试、定制测试。

（3）系统评估

对国内信息系统的安全性进行测试、评估。

对国内信息系统的安全性测试、评估和认定、根据依据标准及测评方法的不同，主要提供：信息安全风险评估、信息系统安全等级保护测评、信息系统安全保障能力评估、信息系统安全方案评审、电子政务项目信息安全风险评估。

（4）服务资质

对提供信息安全服务的组织和单位资质进行审核、评估和认定。

信息安全服务资质是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力，以及其稳定性、可靠性进行评估，并依据公开的标准和程序，对其安全服务保障能力进行认定的过程。目前分为：信息安全工程、信息安全灾难恢复、安全开发、风险评估、信息系统审计、云计算安全、大数据安全等七大类。

（5）人员注册

对信息安全专业人员的资质能力进行考核、评估和认定。

信息安全人员测评与资质认定，主要包括注册信息安全专业人员（CISP）、注册信息安全员（CISM）及安全编程等专项培训、信息安全意识培训。

（6）其他业务

a）工业控制系统产品测评

是对工业控制系统中的各类产品进行功能性及安全性测试，包括控制类产品（即工业控制设备）和安全类产品（工业安全设备）。其中控制类产品包括可编程控制器（PLC）、离散控制系统（DCS）、远程终端单元（RTU）、智能电子设备（IED）、各行业控制系统等用于生产控制的产品；安全类产品包括工业防火墙、工业安全网关、工业异常监测系统、工业应用软件漏洞扫描产品等用于工业环境安全防护的产品。根据测评依据及测评内容，工业控制系统产品测评类型包含标准测试、选型测试和定制测试等。

b）渗透测试业务

指测试人员尽可能完整地模拟攻击者使用的漏洞发现技术和攻击手段，从攻击者的角度对目标网络、系统、主机应用的安全性作深入的非破坏性的探测， 发现系统最脆弱环节的过程。渗透测试通常能以非常明显、直观的结果来反映出系统的安全现状，其目的是能够让管理人员直观地知道自己网络所面临的问题。

通过渗透测试可以做到：

1) 了解入侵者可能利用的途径，提出改进方法与建议。

2) 检验现行的网络设备（路由器、交换器等）安全策略。

3) 检验现行的信息安全设备（防火墙、IDS等）安全策略。

4) 对于重要主机的安全性进行专业信息安全的评估与建议。

5) 找出IT人员未能掌握的服务器或主机加以调查。

6) 了解系统及网络的安全状态。

7) 检验现行的信息安全策略。

8) 找出现行信息安全策略的盲点。

9) 验证现有系统的整体安全性。

渗透测试为了不对测试目标造成破坏、损害或篡改，对于某些可能会对测试对象造成负面影响的攻击方法和手段，在渗透测试中不予使用，具体包括：社会工程学、分布式拒绝服务攻击、散布病毒（包括木马、恶意代码等）、对即时通讯工具的攻击、网络钓鱼等。

---

安全可靠测评参考依据：

       1.《中华人民共和国国家安全法》

       2.《中华人民共和国网络安全法》

       3.《中华人民共和国数据安全法》

       4.《中华人民共和国个人信息保护法》

       5.《中华人民共和国保守国家秘密法》

       6.《中华人民共和国密码法》

       7.《中华人民共和国专利法》

       8.《中华人民共和国商标法》

       9.《中华人民共和国著作权法》

       10.《中华人民共和国反垄断法》

       11.《计算机软件保护条例》

       12.《集成电路布图设计保护条例》

       13.《关键信息基础设施安全保护条例》

       14.《网络安全审查办法》

       15.《数据出境安全评估办法》

       16.《商用密码应用安全性评估管理办法（试行）》

       17.《知识产权对外转让有关工作办法（试行）》

       18.《商标一般违法判断标准》

       19.《商标侵权判断标准》

       20.《不可靠实体清单规定》

       21.《国家知识产权局知识产权信用管理规定》

       22.GB/T 18336-2015《信息技术安全评估准则》

       23.GB/T 29490-2013《企业知识产权管理规范》

       24.GB/T 37286-2019《知识产权分析评议服务—服务规范》

       25.GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》

       26.GB/T 25070-2019《信息安全技术网络安全等级保护安全设计技术要求》

       27.GB/T 28448-2019《信息安全技术网络安全等级保护测评要求》

       28.GB/T 39786-2021《信息系统密码应用基本要求》

---

国家信息技术安全研究中心：

中央网信办所属事业单位

建有计算机病毒防御技术国家工程实验室、工业控制系统安全技术国家工程实验室。

---

国家互联网信息办公室与中央网络安全和信息化委员会办公室，一个机构两块牌子，属于中共中央直属机构。