国内外信息安全标准

1、国内外信息安全标准姓名 杨直霖信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性，先进性和符合性的技术规范和技术依据。因此，世界各国越来越重视信息安全产品认证标准的制修订工作。国外信息安全标准发展现状 :CC 标准 (Common Criteria for Information Technology Security Evaluation) 是信息技术安全性评估标准，用来评估信息系 统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范，包括欧 洲ITSEC、美国TCSEC(桔皮书)、加拿大 CTCPEC以及美国的联邦准则(

2、Federal Criteria) 等，由 6 个国家(美国国家安全局和国家技术标准研究所、加拿大、英 国、法国、德国、荷兰)共同提出制定。国际上，很多国家根据 CC标准实施信息技术产品的安全性评估与认证。1999年被转化为国际标准ISO/IEC15408-1999 Information technology-Securitytechniques-Evaluation criteria for IT security ， 目 前 ， 最 新 版 本 ISO/IEC15408-2008 采用了。用于 CC 评估的配套文档 CEM 标准(Com mon Methodology for In fo

3、rmation Tech no logy Security Evaluatio n)提供了通用的评估方法，并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile) 、安全 目标 (ST-Security Target) 和不同安全保证级产品的评估要求和评估方法。CEM标准于 2005年成为国际标准 ISO/IEC18045Information technology-Security techniques-Methodology for ITsecurity evaluation。国内信息安全标准 : 为了加强信息安全标准化工作的组织协调力度

4、， 国家标准化管理委员会批准成立了全国信息安全标准化技术委员会（ 简称“信安标委会”编号为TC260）。在信安标委会的协调与管理下，我国已经制修订了几十个信息安全 标准，为信息安全产品检测认证提供了技术基础。2001 年 ， 我 国 将 ISO/IEC15408-1999 转 化 为 国 家 推 荐 性 标 准 GB/T18336-2001 （CC 信息技术 安全技术 信息技术安全性评估准则 。目前， 国内最新版本 GB/T18336-2008 采用了 IS0/IEC15408-2005 即 CC 。我国信息安全标准借鉴了 GB/T 18336 结构框架和技术要求，包括安全功能 要求、安全保证

5、要求和安全保证级的定义方法，以及标准的框架结构等。例如， GB/T20276-2006信息安全技术智能卡嵌入式软件安全技术要求（EAL4增强级）借用了 PP的结构和内容要求，包括安全环境、安全目的和安全要求（安全功能要 求和安全保证要求）等内容，以及CC标准预先定义的安全保证级别 （EAL4）。同时， 结合国内信息安全产品产业的实际情况，我国信息安全标准还规定了产品功能要 求和性能要求，以及产品的测试方法。有些标准描述产品分级要求时，还考虑了 产品功能要求与性能要求方面的影响因素。国外信息安全现状 信息化发展比较好的发达国家，特别是美国，非常重视国家信息安全的管理 工作。美、俄、日等国家都已经

6、或正在制订自己的信息安全发展战略和发展计划， 确保信息安全沿着正确的方向发展。美国信息安全管理的最高权力机构是美国国 土安全局，分担信息安全管理和执行的机构有美国国家安全局、美国联邦调查局、 美国国防部等，主要是根据相应的方针和政策结合自己部门的情况实施信息安全 保障工作。 2000 年初，美国出台了电脑空间安全计划，旨在加强关键基础设施、 计算机系统网络免受威胁的防御能力。 2000 年 7 月，日本信息技术战略本部及信 息安全会议拟定了信息安全指导方针。 2000 年 9 月俄罗斯批准了国家信息安全 构想，明确了保护信息安全的措施。美、俄、日均以法律的形式规定和规范信息安全工作，对有效实施

7、安全措施 提供了有力保证。 2000年10月，美国的电子签名法案正式生效。 2000年 10月日 美参议院通过了互联网网络完备性及关键设备保护法案 。日本于 2000 年 6 月 公布了旨在对付黑客的信息网络安全可靠性基准的补充修改方案。 2000 年 9 月，俄罗斯实施了关于网络信息安全的法律。国际信息安全管理已步入标准化与系统化管理时代。 在 20 世纪 90 年代之前， 信息安全主要依靠安全技术手段与不成体系的管理规章来实现。随着 20 世纪 80 年代 ISO9000 质量管理体系标准的出现及随后在全世界的推广应用，系统管理的 思想在其他领域也被借鉴与采用，信息安全管理也同样在 20

8、世纪 90 年代步入了 标准化与系统化的管理时代。1995年英国率先推出了 BS7799信息安全管理标准， 该标准于 2000 年被国际标准化组织认可为国际标准 ISO/IEC 17799 。现在该标准 已引起许多国家与地区的重视，在一些国家已经被推广与应用。组织贯彻实施该 标准可以对信息安全风险进行安全系统的管理，从而实现组织信息安全。其他国 家及组织也提出了很多与信息安全管理相关的标准。国内信息安全现状我国已初步建成了国家信息安全组织保障体系。国务院信息办专门成立了网 络与信息安全领导小组，各省、市、自治州也设立了相应的管理机构。 2003 年 7 月，国务院信息化领导小组通过了关于加强信

9、息安全保障工作的意见 ，同年 9 月，中央办公厅、国务院办公厅转发了国家信息化领导小组关于加强信息安全保障工作的意见 ，把信息安全提到了促进经济发展、维护社会稳定、保障国家安 全、加强精神文明建设的高度，并提出了“积极防御，综合防范”的信息安全管 理方针。 2003年 7月成立了国家计算机网络应急技术处理协调中心，专门负责收 集、汇总、核实、发布权威性的应急处理信息。 2001年 5月成立了中国信息安全 产品测评认证中心和代表国家开展信息安全测评认证工作的职能机构，还建立了 依据国家有关产品质量认证和信息安全管理的法律法规管理和运行国家信息安全 测评认证体系。制定和引进了一批重要的信息安全管理

10、标准。发布了国家标准计算机信息 系统安全保护等级划分准则 (GB17895-1999 )、信息系统安全等级 保护基本要 求等技术标准和信息安全技术 信息系统安全管理要求 (GB/T 20269-2006)、 信息安全技术信息系统安全工程管理要求 (GB/T 20282-2006 )、信息系统安 全等级保护基本要求等管理规范，并引进了国际上着名的 ISO17799:2000: 信 息安全管理实施准则 、 BS7799-2:2000: 信息安全管理体系实施规范等信息安 全管理标准。制定了一系列必需的信息安全管理的法律法规。从 20 世纪 90 年代初起，为配合 信息安全管理的需要，国家相关部门、行

11、业和地方政府相继制定了中华人民共 和国计算机信息网络国际联网管理暂行规定 、商用密码管理条例 、互联网信 息服务管理办法 、计算机信息网络国际联网安全保护管理办法 、电子签名法 等有关信息安全管理的法律法规文件。信息安全风险评估工作已经开展。并成为信息安全管理的核心工作之一，由 国家信息中心组织先后对四个地区 (北京、广州、深圳和上海 ) ，十几个行业的 50多家单位进行了深入细致的调查与研究，最终形成了信息安全风险评估调查报 告、信息安全风险评估研究报告 和关于加强信息安全风险评估工作的建议制定了信息安全技术信息安全风险评估规范 （GB/T 20984-2007 ）。 我国信息安全管理尚存在许多的问题：1 ）信息安全管理现状比较混乱，缺乏一个国家层面上的整体策略，实际管理 力度不够，政策执行和监督力度也不够。2 ）具有我国特点的、动态的和涵盖组织机构、文件、控制措施、操作过程和 程序及相关资源等要素的信息安全管理体系还未建立起来。3 ）具有我国特点的信息安全风险评估标准体系还有待完善，信息安全的需求 难以确定，缺乏系统、全面的信息安全风险评估和评价体系以及全面、完善的信 息安全保障体系。4 ）信息安全意识缺乏，普遍存在重产品、