国外信息安全测评认证体系情况汇编.docVIP

秘密 国外信息安全测评认证体系 情况汇编 国家安全部 2000.9 目 录 前 言 ３ 美国的信息安全测评认证体系 ５ 英国的信息安全测评认证体系 ２６ 澳大利亚的信息安全测评认证体系 ３９ 加拿大的信息安全测评认证体系 ４５ 德国的信息安全测评认证体系 ４９ 法国的信息安全测评认证体系 ５５ 荷兰的信息安全测评认证情况 ６０ 西班牙信息安全测评认证体系 ６１ 以色列的信息安全测评认证情况介绍 ６３ 韩国的信息安全测评认证体系 ６５ 日本的信息安全测评认证情况介绍 ６７ 前 言 信息技术和网络空间，给社会的经济、科技、文化、教育和管理等各个方面注入了新的活力。人们在享受信息化带来的众多好处的同时，也面临着日益突出的信息安全问题。信息安全产品和信息系统固有的敏感性和特殊性，直接影响着国家的安全利益和经济利益。政府部门、社会用户、生产厂商和执法机关对信息技术的“安全”、“可信”的要求十分迫切，安全性测评与认证成为信息化时代的客观需求。各国政府纷纷采取颁布标准，实行测评认证制度的方式，对信息安全产品的研制、生产、销售、使用和进出口实行严格有效的控制。 美国从70年代就开始了信息安全测评认证工作，1989年由其国家安全局（NSA）与国家标准局（NIST）联合实施国家信息安全认证。英国、德国、法国、澳大利亚、加拿大、荷兰等国家也由国家安全部门或情报主管机构主管信息安全认证工作。先后建立起国家信息安全测评认证体系。芬兰、瑞典、西班牙、挪威、意大利、比利时等欧洲国家和日本、韩国等亚洲国家纷纷仿效，积极开展信息安全测评认证工作。 国外的信息安全测评认证体系由三部分组成：1）一个测评认证管理协调组织，一般由该国的情报安全机关和技术监督及标准化主管部门联合组织与管理；2）一个测评认证实体，通常是直属情报安全机关的职能部门，代表国家实行权威公正的认证；3）多个技术检测机构，这些检测机构为具有技术能力和工程经验的企业、公司或研究机关，其能力需达到各国国家实验室认可准则的要求。 国外情报安全机关承担测评认证工作的原因主要有以下几点：1）信息安全是全球化带来的国际性问题，事关一国的国家主权、安全和经济利益；2）信息安全技术和产品直接影响到技术侦察、情报获取和目标监控；3）技术标准和技术壁垒日益成为国际斗争的用力武器；4）信息技术是影响未来综合国力的高技术，需要实行有效控制；5）情报安全机关不是产业主管部门、也不是应用管理部门，可以做到客观和公正。 由于信息安全直接涉及国家利益、安全和主权，各国政府对信息产品、信息系统安全性的测评认证要比其他产品更为严格。信息安全认证成为信息化时代国家测评认证工作的新领域。首先，在市场准入上，发达国家为严格进出口控制，通过颁布有关法律、法规和技术标准，推行安全认证制度，以控制国外进口产品和国内出口产品的安全性能。其次，对国内使用的产品，实行强制性认证，凡未通过强制性认证的安全产品一律不得出厂、销售和使用。第三，对信息技术和信息安全技术中的核心技术，由政府直接控制，如密码技术和密码产品，多数发达国家都严加控制，即使政府允许出口的密码产品，其关键技术仍控制在政府手中。第四，在国家信息安全各主管部门的支持和指导下由标准化和质量技术监督主管部门授权并依托专业的职能机构提供技术支持，形成政府行政管理与技术支持相结合、相依赖的管理体制。 本汇编汇集了西方主要国家和日本、韩国等亚洲国家信息安全测评认证体系的基本情况。供有关部门的领导参考。 美国的信息安全测评认证体系 简介 美国在信息技术方面一直处于世界领先地位，而且是信息安全测评认证的发源地。早在70年代，美国政府就意识到信息安全关系到国家安全和国家利益，随即展开了信息安全测评认证标准的研究工作，并于1985年由国防部（DOD）正式公布了可信计算机系统评估准则（TCSEC），即桔皮书，也就是国际公认的第一个计算机信息系统评估标准。评估目标也仅限于政府部门和军队系统的计算机系统。 进入90年代以后，随着互联网的蓬勃发展，以计算机系统为基础的IT产品也出现了空前的繁荣景象。IT产品不仅在政府部门、组织及各行各业得到广泛应用，而且伸入到社会生活的方方面面。从个人隐私到国家秘密，从电子商务到国防安全，人们开始广泛关注这些IT产品本身的安全性问题。1997年美国关键基础设施保护委员会的成立和相关法令的出台，使这一问题的更加成为政府和公众关注的焦点。 为了帮助消费者选择合适可用的IT产品，保护国家的关键基础设施，同时为本国IT产品的制造商提供更加广阔的商业机会，美国国家标准和技术研究所（NIST）和国家安全局（NSA）于1997年共同组建了国家信息保证联盟（NIAP），并确立了信息技术通用准则评估和认证体系（CCEVS）。NIAP专门负责基于通用准则（CC）信息安全评估和认证，研