国内外信息安全标准

国内外信息安全标准 班级11062301 学号1106840341 姓名杨直霖 信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性,先进性和符合性的技术和技术依据。因此,世界各国越来越重视信息安全产品认证标准的制修订工作。 国外信息安全标准发展现状:CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准,用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范,包括欧洲ITSEC、美国TCSEC(桔皮书)、加拿大CTCPEC以及美国的联邦准则(Federal Criteria)等,由6个国家(美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰)共同提出制定。 国际上,很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年CCV2.1被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》,目前,最新版本ISO/IEC15408-2008采用了CCV3.1。 用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法,并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。 国内信息安全标准:为了加强信息安全标准化工作的组织协调力度,国家标准化管理委员会批准成立了全国信息安全标准化技术委员会(简称“信安标委会”编号为TC260)。在信安标委会的协调与管理下,我国已经制修订了几十个信息安全标准,为信息安全产品检测认证提供了技术基础。 2001年,我国将ISO/IEC15408-1999转化为国家推荐性标准GB/T18336-2001 (CC V2.1)《信息技术安全技术信息技术安全性评估准则》。目前,国内最新版本GB/T18336-2008采用了IS0/IEC15408-2005.即CC V2.3。 我国信息安全标准借鉴了GB/T 18336结构框架和技术要求,包括安全功能要求、安全保证要求和安全保证级的定义方法,以及标准的框架结构等。例如,GB/T20276-2006《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》借用了PP的结构和内容要求,包括安全环境、安全目的和安全要求(安全功能要求和安全保证要求)等内容,以及CC标准预先定义的安全保证级别(EAL4)。同时,结合国内信息安全产品产业的实际情况,我国信息安全标准还规定了产品功能要求和性能要求,以及产品的测试方法。有些标准描述产品分级要求时,还考虑了产品功能要求与性能要求方面的影响因素。 国外信息安全现状 信息化发展比较好的发达国家,特别是美国,非常重视国家信息安全的管理工作。美、俄、日等国家都已经或正在制订自己的信息安全发展战略和发展,确保信息安全沿着正确的方向发展。美国信息安全管理的最高权力机构是美国国土安全局,分担信息安全管理和执行的机构有美国国家安全局、美国联邦调查局、美国国防部等,主要是根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。2000年初,美国出台了电脑空间安全计划,旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月,日本信息技术战略本部及信息安全会议拟定了信息安全指导方针。2000年9月俄罗斯批准了《国家信息安全构想》,明确了保护信息安全的措施。 美、俄、日均以法律的形式规定和规范信息安全工作,对有效实施安全措施提供了有力保证。2000年10月,美国的电子签名法案正式生效。2000年10月日美参议院通过了《互联网网络完备性及关键设备保护法案》。日本于2000年6月公布了旨在对付黑客的《信息网 络安全可靠性基准》的补充修改。2000年9月,俄罗斯实施了关于网络信息安全的法律。 国际信息安全管理已步入标准化与系统化管理时代。在20世纪90年代之前,信息安全主要依靠安全技术手段与不成体系的管理规章来实现。随着20世纪80年代ISO9000质量管理体系标准的出现及随后在全世界的推广应用,系统管理的思想在其他领域也被借鉴与采用,信息安全管理也同样在20世纪90年代步入了标准化与系统化的管理时代。1995年英国率先推出了BS7799信息安全管理标准,该标准于2000年被国际标准化组织认可为国际标准ISO/IEC 17799。现在该标准已引起许多国家与地区的重视,在一些国家已经被推广与应用。组织贯彻实施该标准可以对信息安全风险进行安全系统的管理,从而实现组织信息安全。其他国家及组织也提出了很多与信息安全管理相关的标准。 国内信息安全现状 我国已初步建成了国家信息安全组织保障体系。国务院信息办专门成立了网络与信息安全领导小组,各省、市、自治州也设立了相应的管理机构。2003年7月,国务院信息化领导小组通过了《关于加强信息安全保障工作的意见》,同年9月,中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》,把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御,综合防范”的信息安全管理方针。2003年7月成立了国家计算机网络应急技术处理协调中心,专门负责收集、汇总、核实、发布权威性的应急处理信息。2001年5月成立了中国信息安全产品测评认证中心和代表国家开展信息安全测评认证工作的职能机构,还建立了依据国家有关产品质量认证和信息安全管理的法律法规管理和运行国家信息安全测评认证体系。 制定和引进了一批重要的信息安全管理标准。发布了国家标准《计算机信息系统安全保护等级划分准则》(GB 17895-1999)、《信息系统安全等级保护基本要求》等技术标准和《信息安全技术信息系统安全管理要求》(GB/T 20269-2006)、《信息安全技术信息系统安全工程管理要求》(GB/T 20282-2006)、《信息系统安全等级保护基本要求》等管理规范,并引进了国际上著名的《ISO17799:2000:信息安全管理实施准则》、《BS7799-2:2000:信息安全管理体系实施规范》等信息安全管理标准。 制定了一系列必需的信息安全管理的法律法规。从20世纪90年代初起,为配合信息安全管理的需要,国家相关部门、行业和地方政府相继制定了《中华人民共和国计算机信息网络国际联网管理暂行规定》、《商用密码管理条例》、《互联网信息服务#管理办法#》、《计算机信息网络国际联网安全保护管理办法》、《电子签名法》等有关信息安全管理的法律法规文件。 信息安全风险评估工作已经开展。并成为信息安全管理的核心工作之一,由国家信息中心组织先后对四个地区(北京、广州、深圳和上海),十几个行业的50 多家单位进行了深入细致的调查与研究,最终形成了《信息安全风险评估调查报告》、《信息安全风险评估研究报告》和《关于加强信息安全风险评估工作的建议》。制定了《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)。 我国信息安全管理尚存在许多的问: 1)信息安全管理现状比较混乱,缺乏一个国家层面上的整体策略,实际管理力度不够,政策执行和监督力度也不够。 2)具有我国特点的、动态的和涵盖组织机构、文件、控制措施、操作过程和程序及相关资源等要素的信息安全管理体系还未建立起来。 3)具有我国特点的信息安全风险评估标准体系还有待完善,信息安全的需求难以确定, 缺乏系统、全面的信息安全风险评估和体系以及全面、完善的信息安全保障体系。 4)信息安全意识缺乏,普遍存在重产品、轻服务,重技术、轻管理的思想。 5)专项经费投入不足,管理人才极度缺乏,基础理论研究和关键技术薄弱,严重依靠国外。 6)技术创新不够,信息安全管理产品水平和质量不高。 7)缺乏权威、统一、专门的组织、规划、管理和实施协调的立法管理机构,致使我国现有的一些信息安全管理方面的法律法规层次不高。执法主体不明确,多头管理,规则冲突,缺乏可操作性,执行难度较大,有法难依。