信息安全评估标准的研究和比较.doc

信息安全评估标准的研究和比较  摘 要 信息安全评估标准是对信息安全产品或系统进行安全水平测定、评估的一类标准，本文介绍了国内外现有的信息安全评估标准，并对这些标准的特点、应用方式、适用范围和实用价值进行了详细的比较、讨论；最后研究了安全评估标准中面临的问题及进一步完善方法。 关键词 信息安全 评估标准 TCSEC ITSEC CC BS7799/ISO7799 GB17859-1999 0 引言 进入21世纪，信息化对经济社会发展的影响更加深刻。全球信息化正在引发当今世界的深刻变革，重塑世界政治、经济、社会、文化和军事发展的新格局。信息资源日益成为重要生产要素、无形资产和社会财富。信息安全的重要性与日俱增，成为各国面临的共同挑战。在《2006－2020年国家信息化发展战略》中，“建设国家信息安全保障体系”已经做为我国信息化发展的9大战略重点之一【1】。 信息安全评估是指评估机构依据信息安全评估标准，采用一定的方法（方案）对信息安全产品或系统安全性进行评价【2】。信息安全评估标准是信息安全评估的行动指南。在信息安全管理领域里，由于标准众多，对于标准的争论从未停息过，有ISO/IEC的国际标准17799、13335；西方国家，有美国国家标准和技术委员会（NIST）的特别出版物系列、英国标准协会（BSI）的7799系列；在我国，有风险