信息技术安全性评估_通用准则_系列标准在中国的应用.docx

InfosecSpotlights网域前沿信息技术安全性评估“通用准则”系列标准在中国的应用▉毕海英贾炜郭颖杨永生信息技术安全性评估系列标准主要包括《信息技术安全技术信息技术安全性评估准则》（GB/T18336）和《信息安全技术保护轮廓和安全目标的产生指南》（GB/Z20283）。GB/T18336为等同采用ISO/IEC15408。ISO/IEC15408是国际上普遍认可的信息安全技术的通用评估准则（简称CC，commoncriteria），是国际上对信息安全评估最完善、最权威的技术标准，已在信息安全领域得到了广泛认可。GB/T18336适用于信息技术（IT）产品的安全性测评，针对安全评估中的IT产品的安全功能及其保证措施提供了一套通用要求，并为IT产品的安全功能及其保证措施满足要求的情况定义了七个评估保证级别（EAL）。GB/Z20283描述了保护轮廓（PP）和安全目标（ST）中的内容及其各部分内容之间的相互关系，并在附录中给出了若干实例，为使用者编写PP和ST提供指导。作为国内最早依据GB/T18336开展分级测评的机构，中国信息安全测评中心目前依据GB/T18336共测评了国内外各类信息安全产品600余款。作为GB/T18336的辅助性指南文件，GB/Z20283在具体的测评工作中也得到了广泛的应用，发挥了很大的作用。本应用案例主要从标准实施目的、标准实施情况、标准应用情况及应用效果、经验总结等几个方面进行了介绍。成灵活科学的安全测评框架，针对安全评估中的IT产品的安全功能及其保证措施提供了一套通用要求，并以一种标准化的语言进行了描述。GB/T18336标准由于抽象层次较高，在具体操作中存在一定难度。GB/Z20283是GB/T18336的辅助性指南文件，描述了保护轮廓和安全目标中的内容及其各部分内容之间的相互关系，以及PP和ST的开发编写过程，为使用者编写PP和ST提供了指导。标准实施情况为建立我国信息技术产品安全评估体系，保障我国信息安全建设，在跟踪分析和了解国际标准的发展情况下，积极采纳国际上先进的标准，经过认真分析和研究，在充分考虑可读性和可操作性的前提下，制定了GB/T标准实施目的信息技术安全性评估系列标准遵循国际标准，为IT产品安全性的评估提供基础准则和实施方法，使各个独立的安全评估结果具有可比性，可为客户选择采办时提供技术依据，为我国信息化建设供应链安全提供保障。信息技术安全性评估系列标准为生产厂商在产品开发中提供技术支持，规范信息安全厂商研发和生产流程，帮助信息安全厂商提高产品安全性和技术能力，提升产品质量。GB/T18336作为一项通用的信息安全测评标准，使用保护轮廓和安全目标构100/2014.08CNITSECInfosecSpotlights18336和GB/Z20283等系列标准。1、标准制定与更新GB/T18336《信息技术安全技术信息技术安全性评估准则》为等同采用ISO/IEC15408。ISO/IEC15408是评估信息技术产品安全性的基础准则，是国际标准化组织统一现有多种评估准则努力的结果，已在信息安全领域得到了广泛认可。为建立我国信息技术产品安全评估体系，保障我国信息安全建设，1999年由国家质量技术监督局提出，国家信息安全测评机构、相关行业科研机构和国内名牌院校组织相关专家学者进行《信息技术安全技术信息技术安全性评估准则》的起草工作。标准起草期间，多次征求信息安全专家和最终用户的意见，积极听取信息安全厂商的建议，确保标准的科学性、准确性和实用性。标准起草组于2000年完成初稿，面向社会征求意见。根据相关意见和建议，标准起草组认真修改完善，于2001年3月作为国家标准发布，2001年12月开始实施，并在实际应用中取得良好的效果。随着信息技术的高速发展，原有标准已不能很好适应新技术和新产品的应用。根据ISO/IEC15408的发展情况，中国信息安全测评中心在充分征求信息安全专家、厂商和最终用户的意见基础上，对原标准进行修订，并于2008年6月作为国家标准发布，2008年11月开始实施。根据国家标准化管理委员会2012年下达的国家标准制修订计划，中国信息安全测评中心牵头负责对国家标准《信息技术安全技术信息技术安全性评估准则》进行第二次修订。目前，根据第3版ISO/IEC15408标准进行的修订工作已接近尾声，预计将于2014年作为国家标准发布实施。GB/Z20283-2006《信息技术安全技术保护轮廓和安全目标产生指南》为非等效采用ISO/IECTR15446:2004，由中国信息安全测评中心负责起草，根据GB/T1.1的要求对第1章至第3章的内容重新作了编排，对引用的GB/T18336-2001的章条编号进行了一致性处理，并删除了部分不适用的章节。2、标准实施2001年《信息技术安全技