信息安全等级保护标准化工作回顾与思考例析.ppt

信息安全等级保护标准化工作的回顾与思考 崔书昆 2013.6.21 前言 今年是我国第一个国家信息安全主管机构成立30周年。1983年，在我国刚刚进入改革开放、安全保密形势发生巨大变化、计算机安全问题初步显露的关键时刻，党中央、国务院审时度势，决定在公安部成立“计算机安全监察局”（第十一局），开启了我国继通信保密（安全）之后信息安全的新阶段新领域。 信息安全、信息安全等级保护，是一个巨大的系统工程 。30年的历程有诸多的内容值得研究。我想仅就其标准化问题一点，作个粗浅发言。 一、国际上关于标准、标准化的概念 标准 ISO/IEC二号指南的定义：为在一定范围内获得最佳秩序，对活动或其结果规定的共同的和重复使用的规则、指导原则或特性的文件。该文件经协商一致，并由一个公认机构批准。 ISO/IEC在该定义下注解称： 标准应以科学、技术和经验的综合成果为基础，并以促进最大社会效益为目的。 这个定义可从四方面理解： 1、标准是对标准制定对象进行统一描述的一种特殊文件。 2、制定标准是为了满足人类社会某种需要，取得最佳经济或社会效益。 3、标准产生是以科学、技术和经验的综合成果为基础，经有关方面协商一致，由一个权威机构发布施行。 4、标准随科技发展与实践经验积累而更新。 标准化 在ISO/IEC上述文件中对标准化所作定义是： 为在一定的范围内获得最佳秩序，而对实际的或潜在的问题制定共同的和重复使用的规则的活动。 在定义之后两条注释： 1、上述活动包括制定、发布及实施标准的过程。 2、标准化的显著好处是改进产品、过程和服务的适用性，防止贸易壁垒，并便利技术合作。 二、 信息安全等级保护标准化是国家的要求 （一）中华人民共和国国务院1994年2月18日147号令《中华人民共和国计算机信息系统安全保护条例》第二章第九条规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。 （二）2003年中共中央办公厅和国务院办公厅联合发布的[2003]中办27号文件中重申实行信息安全等级保护制度，同时强调技术标准的“基础性、规范性作用”。与27号文件相关的诸多文件中提出，信息系统安全、安全保护产品、安全事件处理均贯彻分类、分级原则。 , （三）中华人民共和国国务院2012年6月28日发布的《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》中再次 强调“落实信息安全等级保护制度，开展相应等级的安全建设和管理”，“加快法规制度和标准建设”，要求“中央财政加大投入,重点支持信息安全战略研究和标准制定....等重要基础性工作。” 三、我国信息安全等级保护标准基本形成体系 等级保护标准化工作起步于147号令之后。系统地制定国家信息安全标准，源于90 年代末执行1110 工程形成的一批信息安全标准。这批标准，为2002年4月全国信息安全标准化技术委员会成立之后全面开展信息安全标准研究制定工作，奠定了坚实的基础。在国家信息安全等级保护主管部门、信息安全标准化部门等的领导、指导下，经过近十年的共同努力，截止2012年底，全国信息安全标准化成立后，我国共发布新的信息安全标准110项，连同成立之前发布的有关标准，目前我国保有的信息安全标准共计151项，覆盖了信息安全的主要方面，信息安全等级保护标准基本形成体系，主要包括但不限于如下标准组： （一）信息安全等级保护基础标准　 1、GB17659-1999 计算机信息系统安全保护等级划分指南 2、GB/T20271-2006 信息系统通用安全技术要求 3、GB/T22239-2008 信息系统安全等级保护基本要求 4、GB/T22240-2008 信息系统安全等级保护定级指南 　 5、GB/T25058-2010 信息系统安全等级保护实施指南 6、GB/T 25069-2010 信息安全技术 术语 7、GB/T25070-2010 信息系统等级保护安全设计技术要求 　 8、GB/T28448-2012 信息系统安全等级保护测评要求 　 9、GB/T28449-2012 信息系统安全等级保护测评过程指南 10、GB/T 28458-2012 安全漏洞标识与描述规范