1、國內(nèi)外信息安全標(biāo)準(zhǔn) 姓名 楊直霖 信息安全標(biāo)準(zhǔn)是解決有關(guān)信息安全的產(chǎn)品和系統(tǒng)在設(shè)計(jì)、研發(fā)、生產(chǎn)、建設(shè)、使用、檢測認(rèn)證中的一致性、可靠性、可控性，先進(jìn)性和符合性的技術(shù)規(guī)范 和技術(shù)依據(jù)。因此，世界各國越來越重視信息安全產(chǎn)品認(rèn)證標(biāo)準(zhǔn)的制修訂工作。國外信息安全標(biāo)準(zhǔn)發(fā)展現(xiàn)狀:CC 標(biāo)準(zhǔn) (Common Criteria for InformationTechnology Security Evaluation) 是信息技術(shù)安全性評估標(biāo)準(zhǔn)，用來評估信息系統(tǒng)和信息產(chǎn)品的安全性。CC標(biāo)準(zhǔn)源于世界多個(gè)國家的信息安全準(zhǔn)則規(guī)范，包括歐 洲I ITSEC、美國TCSEC(桔皮書)、加拿大 CTCPECZ及美國的聯(lián)邦準(zhǔn)

2、則(Federal Criteria) 等，由 6 個(gè)國家(美國國家安全局和國家技術(shù)標(biāo)準(zhǔn)研究所、加拿大、英 國、法國、德國、荷蘭)共同提出制定。國際上，很多國家根據(jù) CC標(biāo)準(zhǔn)實(shí)施信息技術(shù)產(chǎn)品的安全性評估與認(rèn)證。1999年被轉(zhuǎn)化為國際標(biāo)準(zhǔn)ISO/IEC15408-1999 Information technology-Securitytechniques-Evaluation criteria for IT security ， 目 前 ， 最 新 版 本 ISO/IEC15408-2008 采用了。用于 CC 評估的配套文檔CEM標(biāo)準(zhǔn)(Common Methodology for Inform

3、ationTechnology Security Evaluation)提供了通用的評估方法，并且跟隨CC標(biāo)準(zhǔn)版本的發(fā)展而更新。CEMfe準(zhǔn)主要描述了保護(hù)輪廓(PP-Protection Profile) 、安全 目標(biāo) (ST-Security Target) 和不同安全保證級產(chǎn)品的評估要求和評估方法。CEM標(biāo)準(zhǔn)于 2005 年成為國際標(biāo)準(zhǔn)ISO/IEC18045 Information technology-Securitytechniques-Methodology for ITsecurity evaluation 。國內(nèi)信息安全標(biāo)準(zhǔn): 為了加強(qiáng)信息安全標(biāo)準(zhǔn)化工作的組織協(xié)調(diào)力度，國家標(biāo)準(zhǔn)

4、化管理委員會(huì)批準(zhǔn)成立了全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡稱“信安標(biāo)委會(huì)”編號為TC260）。在信安標(biāo)委會(huì)的協(xié)調(diào)與管理下，我國已經(jīng)制修訂了幾十個(gè)信息安全標(biāo)準(zhǔn)，為信息安全產(chǎn)品檢測認(rèn)證提供了技術(shù)基礎(chǔ)。2001 年 ， 我 國 將 ISO/IEC15408-1999 轉(zhuǎn) 化 為 國 家 推 薦 性 標(biāo) 準(zhǔn)GB/T18336-2001 （CC 信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則。目前，國內(nèi)最新版本 GB/T18336-2008 采用了 IS0/IEC15408-2005 .即 CC。我國信息安全標(biāo)準(zhǔn)借鑒了GB/T 18336結(jié)構(gòu)框架和技術(shù)要求，包括安全功能要求、安全保證要求和安全保證級的定義方法，以及

5、標(biāo)準(zhǔn)的框架結(jié)構(gòu)等。例如，GB/T20276-2006信息安全技術(shù)智能卡嵌入式軟件安全技術(shù)要求（EAL4增強(qiáng)級）借用了 PP的結(jié)構(gòu)和內(nèi)容要求，包括安全環(huán)境、安全目的和安全要求（安全功能要求和安全保證要求）等內(nèi)容，以及CC標(biāo)準(zhǔn)預(yù)先定義的安全保證級別（EAL4） o同時(shí)，結(jié)合國內(nèi)信息安全產(chǎn)品產(chǎn)業(yè)的實(shí)際情況，我國信息安全標(biāo)準(zhǔn)還規(guī)定了產(chǎn)品功能要求和性能要求，以及產(chǎn)品的測試方法。有些標(biāo)準(zhǔn)描述產(chǎn)品分級要求時(shí)，還考慮了產(chǎn)品功能要求與性能要求方面的影響因素。國外信息安全現(xiàn)狀信息化發(fā)展比較好的發(fā)達(dá)國家，特別是美國，非常重視國家信息安全的管理工作。美、俄、日等國家都已經(jīng)或正在制訂自己的信息安全發(fā)展戰(zhàn)略和發(fā)展計(jì)劃，確

6、保信息安全沿著正確的方向發(fā)展。美國信息安全管理的最高權(quán)力機(jī)構(gòu)是美國國土安全局，分擔(dān)信息安全管理和執(zhí)行的機(jī)構(gòu)有美國國家安全局、美國聯(lián)邦調(diào)查局、美國國防部等，主要是根據(jù)相應(yīng)的方針和政策結(jié)合自己部門的情況實(shí)施信息安全保障工作。2000 年初，美國出臺(tái)了電腦空間安全計(jì)劃，旨在加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施、計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)免受威脅的防御能力。2000 年 7 月，日本信息技術(shù)戰(zhàn)略本部及信息安全會(huì)議擬定了信息安全指導(dǎo)方針。2000 年 9 月俄羅斯批準(zhǔn)了國家信息安全構(gòu)想 ，明確了保護(hù)信息安全的措施。美、俄、日均以法律的形式規(guī)定和規(guī)范信息安全工作，對有效實(shí)施安全措施提供了有力保證。2000 年 10 月，美國的電子簽名法

7、案正式生效。2000 年 10 月日美參議院通過了互聯(lián)網(wǎng)網(wǎng)絡(luò)完備性及關(guān)鍵設(shè)備保護(hù)法案。日本于2000 年 6 月公布了旨在對付黑客的信息網(wǎng)絡(luò)安全可靠性基準(zhǔn)的補(bǔ)充修改方案。2000 年 9月，俄羅斯實(shí)施了關(guān)于網(wǎng)絡(luò)信息安全的法律。國際信息安全管理已步入標(biāo)準(zhǔn)化與系統(tǒng)化管理時(shí)代。在 20 世紀(jì) 90 年代之前，信息安全主要依靠安全技術(shù)手段與不成體系的管理規(guī)章來實(shí)現(xiàn)。隨著20 世紀(jì) 80年代 ISO9000 質(zhì)量管理體系標(biāo)準(zhǔn)的出現(xiàn)及隨后在全世界的推廣應(yīng)用，系統(tǒng)管理的思想在其他領(lǐng)域也被借鑒與采用，信息安全管理也同樣在20 世紀(jì) 90 年代步入了標(biāo)準(zhǔn)化與系統(tǒng)化的管理時(shí)代。1995年英國率先推出了 BS779

8、9信息安全管理標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)于2000 年被國際標(biāo)準(zhǔn)化組織認(rèn)可為國際標(biāo)準(zhǔn)ISO/IEC 17799 ?，F(xiàn)在該標(biāo)準(zhǔn)已引起許多國家與地區(qū)的重視，在一些國家已經(jīng)被推廣與應(yīng)用。組織貫徹實(shí)施該標(biāo)準(zhǔn)可以對信息安全風(fēng)險(xiǎn)進(jìn)行安全系統(tǒng)的管理，從而實(shí)現(xiàn)組織信息安全。其他國家及組織也提出了很多與信息安全管理相關(guān)的標(biāo)準(zhǔn)。國內(nèi)信息安全現(xiàn)狀我國已初步建成了國家信息安全組織保障體系。國務(wù)院信息辦專門成立了網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組，各省、市、自治州也設(shè)立了相應(yīng)的管理機(jī)構(gòu)。2003 年 7月，國務(wù)院信息化領(lǐng)導(dǎo)小組通過了關(guān)于加強(qiáng)信息安全保障工作的意見，同年 9月，中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)了國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工

9、作的意見，把信息安全提到了促進(jìn)經(jīng)濟(jì)發(fā)展、維護(hù)社會(huì)穩(wěn)定、保障國家安 全、加強(qiáng)精神文明建設(shè)的高度，并提出了“積極防御，綜合防范”的信息安全管理方針。2003 年 7 月成立了國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，專門負(fù)責(zé)收集、匯總、核實(shí)、發(fā)布權(quán)威性的應(yīng)急處理信息。2001 年 5 月成立了中國信息安全產(chǎn)品測評認(rèn)證中心和代表國家開展信息安全測評認(rèn)證工作的職能機(jī)構(gòu)，還建立了依據(jù)國家有關(guān)產(chǎn)品質(zhì)量認(rèn)證和信息安全管理的法律法規(guī)管理和運(yùn)行國家信息安全測評認(rèn)證體系。制定和引進(jìn)了一批重要的信息安全管理標(biāo)準(zhǔn)。發(fā)布了國家標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則( GB17895-1999) 、 信息系統(tǒng)安全等級保護(hù)基本要

10、求等技術(shù)標(biāo)準(zhǔn)和信息安全技術(shù)信息系統(tǒng)安全管理要求( GB/T 20269-2006) 、信息安全技術(shù)信息系統(tǒng)安全工程管理要求( GB/T 20282-2006 ) 、 信息系統(tǒng)安全等級保護(hù)基本要求等管理規(guī)范，并引進(jìn)了國際上著名的ISO17799:2000: 信息安全管理實(shí)施準(zhǔn)則、 BS7799-2:2000: 信息安全管理體系實(shí)施規(guī)范等信息安全管理標(biāo)準(zhǔn)。制定了一系列必需的信息安全管理的法律法規(guī)。從20 世紀(jì) 90 年代初起，為配合信息安全管理的需要，國家相關(guān)部門、行業(yè)和地方政府相繼制定了中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定、 商用密碼管理?xiàng)l例、 互聯(lián)網(wǎng)信息服務(wù)管理辦法、 計(jì)算機(jī)信息網(wǎng)

11、絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法、 電子簽名法等有關(guān)信息安全管理的法律法規(guī)文件。信息安全風(fēng)險(xiǎn)評估工作已經(jīng)開展。并成為信息安全管理的核心工作之一，由國家信息中心組織先后對四個(gè)地區(qū)( 北京、廣州、深圳和上海) ，十幾個(gè)行業(yè)的50多家單位進(jìn)行了深入細(xì)致的調(diào)查與研究，最終形成了信息安全風(fēng)險(xiǎn)評估調(diào)查報(bào)告 、 信息安全風(fēng)險(xiǎn)評估研究報(bào)告和 關(guān)于加強(qiáng)信息安全風(fēng)險(xiǎn)評估工作的建議制定了信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范（ GB/T 20984-2007 ） 。我國信息安全管理尚存在許多的問題：1 ）信息安全管理現(xiàn)狀比較混亂，缺乏一個(gè)國家層面上的整體策略，實(shí)際管理力度不夠，政策執(zhí)行和監(jiān)督力度也不夠。2 ）具有我國特點(diǎn)的、動(dòng)態(tài)的和涵蓋組織機(jī)構(gòu)、文件、控制措施、操作過程和程序及相關(guān)資源等要素的信息安全管理體系還未建立起來。3 ）具有我國特點(diǎn)的信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)體系還有待完善，信息安全的需求難以確定，缺乏系統(tǒng)、全面的信息安全風(fēng)險(xiǎn)評估和評價(jià)體系以及全面、完善的信息安全保障體系。4 ）信息安全意識缺乏，普遍存在重產(chǎn)品、輕