|
|
|
网络安全测评是信息技术产品安全质量、信息系统安全运行的重要保障措施。网络信息技术发达的国家都重视网络安全测评基础工作的开展。美国是国际上对网络信息安全测评研究及工作开展的先行国家,美国国防部早在1983年就颁布了《可信计算机系统评估准则》(简称TCSEC,1985年再版)。1991年,欧洲发布了《信息技术安全评估准则》(简称ITSEC)。1993年,加拿大发布了《加拿大可信计算机产品评估准则》(简称CTCPEC)。1993年,美国发布了《信息技术安全评估联邦准则》(简称FC)。1996年,六国七方(英国、加拿大、法国、德国、荷兰、美国国家安全局和美国技术标准研究所)提出《信息技术安全评价通用准则》(The Common Criteria for Information Technology Security Evaluation,CC 1.0版);1998年,六国七方发布CC 2.0版。1999年,ISO接受CC作为国际标准ISO/IEC 15408标准,并正式颁布发行。CC标准提出了“保护轮廓”概念,将评估过程分为“功能”和“保证”两部分,是目前最全面的信息技术安全评估标准。
|
|
|
|
与此同时,网络信息安全管理国际标准化也在进一步推进。1995年,英国制定了《信息安全管理要求》,后续演变成为国际信息安全管理标准ISO/IEC 27001,是国际上具有代表性的信息安全管理体系标准,标准涉及的安全管理控制项目主要包括安全策略、安全组织、资产分类与控制、人员安全、物理与环境安全、通信与运作、访问控制、系统开发与维护、事故管理、业务持续运行、符合性。
|
|
|
|
国内网络信息安全测评标准工作也开始跟进。1999年,我国发布了《计算机信息系统安全保护等级划分准则》(GB 17859—1999)。GB 17859—1999从自主访问控制、强制访问控制、身份鉴别、数据完整性、客体重用、审计、标记、隐蔽通道分析、可信路径和可信恢复等方面,将计算机信息系统安全保护能力划分为5个等级:第一级是用户自主保护级;第二级是系统审计保护级;第三级是安全标记保护级;第四级是结构化保护级;第五级是访问验证保护级。计算机信息系统安全保护能力随着安全保护等级增大而逐渐增强,其中第五级是最高安全等级。2001年,参考国际通用准则CC和国际标准ISO/IEC 15408,我国发布了《信息技术安全技术信息技术安全性评估准则》(GB/T 18336—2001)。GB/T 18336—2001共分为三部分:《第1部分:简介和一般模型》《第2部分:安全功能要求》《第3部分:安全保证要求》。2008年,综合国外信息安全测评标准,我国建立了自成体系的信息系统安全等级保护标准,如《信息安全技术网络安全等级保护定级指南》《信息安全技术信息系统通用安全技术要求》《信息安全技术信息系统安全等级保护基本要求》。国家网络安全职能部门相继颁发了信息安全管理办法和标准规范,如《信息安全等级保护管理办法》(公通字〔2007〕43号)、《工业控制系统信息安全防护能力评估工作管理办法》(工信部信软〔2017〕188号)、《电子认证服务密码管理办法》(国家密码管理局公告第17号)、《计算机信息系统安全专用产品检测和销售许可证管理办法》(公安部令第32号)。国家设立了中国信息安全测评中心、国家密码管理局商用密码检测中心、国家保密科技测评中心、公安部信息安全等级保护评估中心。
|
|
|
