信息安全评估

1、信息安全评估信息安全评估基本问题信息安全评估就是从风险管理角度，运用科学的方法和手段， 系统地分析网络与信息系统所面临的威胁以及存在的脆弱性，评估安 全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防 护对策和整改措施。并为防范和化解信息安全风险，或者将风险控制 在可接受的水平，从而最大限度地保障网络和信息安全提供科学依 据。信息安全评估作为信息安全保障工作的基础性工作和重要环 节，应贯穿于网络和信息系统建设运行的全过程。在网络与信息系统 的设计、验收及运行维护阶段均应当进行信息安全风险评估。信息安全风险评估是信息系统安全工程的重要组成部分，是建 立信息系统安全体系的基础和前提。信息

2、安全评估标准简述安全评估需要目标及良好定义的评估标准和方法，目前已有若 干个国际上认可的该类标准和方法。美国是最早进行IT安全评估标 准开发工作的国家，如今这项工作已经成为一项世界性的工作。为提高我国计算机信息系统安全保护水平，1999年国家质量技 术监督局参照美国的TCSEC及TNI发布了国家标准GB17859-1999计 算机信息安全保护等级划分准则，它是建立安全等级保护制度、实 施安全等级管理的重要基础性标准。该标准是我国计算机信息系统保 护等级系列标准的第一部分，其他数十个相关标准的制定工作还在紧 张进行。自从CC1.0版公布后，我国相关部门就一直密切关注着它的 发展情况，并对该版本做

3、了大量的研究工作。2001年，国家质量技 术监督局正式颁布了援引CC的国家标准GB/T18336-2001信息技术 安全技术信息技术安全性评估准则下面介绍几种国际上认可的信息系统安全评估标准。（1）可信计算机系统评估准则（TCSEC）1983年美国国防部首次公布了可信计算机系统评估准则（TCSEC）用于对操作系统的评估，这是IT历史上的第一个安全评估 标准，1985年公布了第二版。TCSEC为业界所熟知的名字是“橘皮 书”。为了针对网络、安全系统和数据库具体情况来应用橘皮书准则， 美国国防部计算机安全评估中心又制定并出版了三个解释性档：可 信网络解释、计算机安全子系统解释和可信数据库解释，这

4、三个解释性档和橘皮书被合称为美国计算机系统安全评估标准彩虹 系列。（2）信息技术安全性评估准则（ITSEC）信息技术安全性评估准则（ITSEC）是英国、德国、法国和荷 兰四个欧洲国家安全评估标准的统一与扩展，由欧共体委员会（CEC） 在1990年首度公布。ITSEC的目标在于成为国家认证机构所进行的 认证活动的一致基准，并使评估结果相互承认。自1991年7月起， ITSEC一直被实际应用在欧洲国家的评估和认证方案中。（3）可信网络解释（TNI）美国国防部计算机安全评估中心在完成TCSEC的基础上，又组 织专门的研究组对可信网络安全评估进行研究，并于1987年发布了 以TCSEC为基础的可信网络解释，即TNI。TN1 包括两部分（Parti 和 PartII）及三个附录（APPENDIXA、B、C）0TNI 第一部分提供了在网络作为一个单一系统进行评估时TCSEC中各个 等级（从1类八类）的解释。第二部分以附加安全服务的形式提出 了在网络互联时出现的一些附加要求，这些要求主要是针对完整性、 可用性和保密性的。TNI的附录A是第一部分的扩展，主要是关于网 络