信息安全等级保护标准化工作回顾与思考

信息安全等级保护标准化工作回顾与思考第一页，共24页。前言今年是我国第一个国家信息安全主管机构成立30周年。1983年，在我国刚刚进入改革开放、安全保密形势发生巨大变化、计算机安全问题初步显露的关键时刻，党中央、国务院审时度势，决定在公安部成立“计算机安全监察局”（第十一局），开启了我国继通信保密（安全）之后信息安全的新阶段新领域。

信息安全、信息安全等级保护，是一个巨大的系统工程。30年的历程有诸多的内容值得研究。我想仅就其标准化问题一点，作个粗浅发言。

第二页，共24页。一、国际上关于标准、标准化的概念标准 ISO/IEC二号指南的定义：为在一定范围内获得最佳秩序，对活动或其结果规定的共同的和重复使用的规则、指导原则或特性的文件。该文件经协商一致，并由一个公认机构批准。第三页，共24页。ISO/IEC在该定义下注解称：标准应以科学、技术和经验的综合成果为基础，并以促进最大社会效益为目的。第四页，共24页。

这个定义可从四方面理解：1、标准是对标准制定对象进行统一描述的一种特殊文件。2、制定标准是为了满足人类社会某种需要，取得最佳经济或社会效益。3、标准产生是以科学、技术和经验的综合成果为基础，经有关方面协商一致，由一个权威机构发布施行。4、标准随科技发展与实践经验积累而更新。第五页，共24页。

标准化在ISO/IEC上述文件中对标准化所作定义是：为在一定的范围内获得最佳秩序，而对实际的或潜在的问题制定共同的和重复使用的规则的活动。在定义之后两条注释：1、上述活动包括制定、发布及实施标准的过程。2、标准化的显著好处是改进产品、过程和服务的适用性，防止贸易壁垒，并便利技术合作。第六页，共24页。二、信息安全等级保护标准化是国家的要求

（一）中华人民共和国国务院1994年2月18日147号令《中华人民共和国计算机信息系统安全保护条例》第二章第九条规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

（二）2003年中共中央办公厅和国务院办公厅联合发布的[2003]中办27号文件中重申实行信息安全等级保护制度，同时强调技术标准的“基础性、规范性作用”。与27号文件相关的诸多文件中提出，信息系统安全、安全保护产品、安全事件处理均贯彻分类、分级原则。第七页，共24页。,

（三）中华人民共和国国务院2012年6月28日发布的《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》中再次强调“落实信息安全等级保护制度，开展相应等级的安全建设和管理”，“加快法规制度和标准建设”，要求“中央财政加大投入,重点支持信息安全战略研究和标准制定....等重要基础性工作。”第八页，共24页。三、我国信息安全等级保护标准基本形成体系

等级保护标准化工作起步于147号令之后。系统地制定国家信息安全标准，源于90年代末执行1110工程形成的一批信息安全标准。这批标准，为2002年4月全国信息安全标准化技术委员会成立之后全面开展信息安全标准研究制定工作，奠定了坚实的基础。在国家信息安全等级保护主管部门、信息安全标准化部门等的领导、指导下，经过近十年的共同努力，截止2012年底，全国信息安全标准化成立后，我国共发布新的信息安全标准110项，连同成立之前发布的有关标准，目前我国保有的信息安全标准共计151项，覆盖了信息安全的主要方面，信息安全等级保护标准基本形成体系，主要包括但不限于如下标准组：

第九页，共24页。

（一）信息安全等级保护基础标准

1、GB17659-1999

计算机信息系统安全保护等级划分指南2、GB/T20271-2006信息系统通用安全技术要求3、GB/T22239-2008

信息系统安全等级保护基本要求4、GB/T22240-2008

信息系统安全等级保护定级指南

5、GB/T25058-2010

信息系统安全等级保护实施指南6、GB/T25069-2010信息安全技术术语7、GB/T25070-2010

信息系统等级保护安全设计技术要求

8、GB/T28448-2012信息系统安全等级保护测评要求

9、GB/T28449-2012信息系统安全等级保护测评过程指南10、GB/T28458-2012安全漏洞标识与描述规范

第十页，共24页。

（二）信息安全管理标准(未列引入的27000标准)1、GB/T20269-2006信息系统安全管理要求2、GB/T28453-2012信息系统安全管理评估要求3、GB/T20984-2007信息安全风险评估规范4、GB/T24364-2009信息安全风险管理指南5、GB/T20985-2007信息安全事件管理指南6、GB/T20986-2007信息安全事件分类分级指南7、GB/T20988-2007信息系统灾难恢复规范8、GB/T24363-2009信息安全应急响应计划规范9、GB/T20282-2006信息系统安全工程管理要求第十一页，共24页。

（三）信息安全产品标准

1、GB/T25066信息安全产品类别与代码2、GB/T17900-1999网络代理服务器的安全技术要求3、GB/T20010-2005包过滤防火墙评估准则4、GB/T20281-2006防伙墙技术要求和测试评价方法5、GB/T18018-2007路由器安全技术要求、6、GB/T20008-2005路由器安全评估准则7、GB/T20272-2006操作系统安全技术要求8、GB/T20273-2006数据库管理系统安全技术要求9、GB/T20009-2005数据库管理系统安全评估准则10、GB/T20275-2006入侵检测系统技术要求和测试评价方法11、GB/T29240-2012终端计算机通用安全技术要求与测试评价方法

第十二页，共24页。

12、GB/T20277-2006网络和终端设备隔离部件测试评价方法13、GB/T20279-2006网络和终端设备隔离部件安全技术要求14、GB/T20278-2006网络脆弱性扫描产品技术要求15、GB/T20280-2006网络脆弱性扫描产品测试评价方法16、GB/T20945-2007信息系统安全审计产品技术要求和测试评价方法17、GB/T21028-2007服务器安全技术要求18、GB/T25063-2010服务器安全侧评要求19、GB/T21050-2007网络交换机安全技术要求（评估保障级3）20、GB/T28452-2012应用软件系统通用安全技术要求21、GB/T28456-2012IPsec协议应用测试规范22、GB/T28457-2012SSL协议应用测试规范

第十三页，共24页。（四）物理安全标准1、GB/T2887-2000计算机场地通用规范2、GB/T21052-2007信息系统物理安全技术要求国家公共安全与保密标准（M）1、GGBB1-1999信息设备电磁泄漏发射限值2、GGBB2-1999信息设备电磁泄漏测试方法第十四页，共24页。

此外，需要特别说明，我国的信息安全主管、有关部门，还自主制定或转化国际标准形成一大批非GB编号的标准，它们同样在我国信息安全各领域发挥着重要作用。如GM(国密)、GA（公安）、BMB（保密）、YD（工信）、JR（金融）、GJB（军队）等系列标准。各有关部委、行业根据国家标准结合本部门、本行业业务需求制定的标准、规范，也都在信息安全等级保护工作中发挥着各自的作用。第十五页，共24页。四、信息安全等级保护标准发挥作用

（一）统一认识。标准在信息安全等保工作中发挥了统一信息安全术语、概念和认识的基础作用。

（二）规范工作。标准在信息安全等保建设中的标杆、准绳、尺度，发挥着规范、推动、促进作用。

（三）培养人才。标准及其解释本身就是一部信息安全专业教材，已经和正在培养成千上万信息安全工作人员。

（四）支撑法律。标准是国家信息安全法律、法规的技术支撑和技术体现。

（五）发展基础。现有标准既是信息安全工作发展的里程碑，又是新法规、标准的基础、起点和参照物。第十六页，共24页。在回顾信息安全等级保护标准工作取的成绩进步的同时，也应清醒看到我们只是迈出了第一步，今后路程还很长：1、我们的标准体系还很不完善，标准质量不高，还未能全面满足等保工作发展的需要；2、我们的专业化标准队伍规模还很小，现有水平不高；3、我国在国际信息安全标准组织中还刚刚改变3S状态，距离发挥重大影响还相当远。形势逼人，时不我待，我们必须奋起直追！第十七页，共24页。五、奋起直追迎接信息安全挑战

（一）直面网络空间斗争新挑战

美国为首的西方国家继推出网络（域）空间理论之后，频频出台一系列关于网络空间斗争的新战略，发起令人震撼的新挑战。正把我们“推入”一个新的、充满挑战与风险的“第五维”世界。信息安全、信息安全标准的极端重要性更加突出地呈现在面前。形势正迫使我们振奋精神，加紧学习和创新。学习新概念、新理论，创新技术和手段。只有学习与创新，才能适应形势、应对挑战。第十八页，共24页。（二）新技术新应用给信息安全标准化提出新课题

IPV6、云计算、物联网、可信计算、移动互联、智能终端、虚拟技术、工业控制等领域的安全充满挑战，传统的安全理念、防护技术和一大批安全标准，有的正在失去效用，有的急需改进。就信息安全标准界而言，重新进行顶层设计、创新标准体系、突破关键、核心技术，形成面向新技术、新应用的标准化能力，是当务之急。（第十九页，共24页。（三）联合协调是信息安全包括标准制定的必由之路

目前，我国信息安全研究、标准制定组织林立，项目、课题低层次重复多，深度创新少，亟待联合、协调，在主管部门强力指导下，产、学、研、用、管各界，通过联合、协调，加强分工协作，共同创新，提高效率，增强举国能力。第二十页，共24页。（四）加强国际交流是提高自己的有效途径

网络空间理论的形成，使信息安全问题包括安全标准，成为更加具有国际性的问题，问题的源头许多在国外。尽管西方一些势力，对我国存在误会乃至敌视，在关键技术和装备上对我进行封锁，但保持与国外的经常接触，可以消除误会，增进了解，打破封锁，获取有益的信息、技术，迅速提高我国信息安全包括标准制定的能力和“自主可控”水平，与国际社会共同应对信息安全问题。第二十一页，共24页。（五）加速信息安全标准人才队伍建设是关键信息安全标准反映一个国家的科学技术水平，标准制定是一个较长的科研过程。有不少人把