《上网行为管理系统安全评价规范》.docVIP

PAGE PAGE 1 《上网行为管理系统安全评价规范》 编制说明 （一）制定上网行为管理系统安全评价规范的必要性； 随着对互联网访问行为的管理要求与风险风范意识的日益提升，上网行为管理系统的使用已成为在互联网应用中的重要安全管理组成部分，开展上网行为管理系统安全评价规范研究工作，是互联网应用领域中针对上网行为管理体系建设过程中的一项重要内容。上网行为管理系统安全评价规范可以为用户选择上网行为管理系统提供合理依据，也可以用于上网行为管理系统的设计、生产、测试、评估及认证。 （二）与相关法律法规以及国家有关规定的关系； 本认证技术规范的制定符合国家现行法律法规的规定。 （三）与现行标准的关系，包括存在的差异及理由； 目前没有专门针对上网行为管理系统的国家标准和行业标准，可供参考的国家标准主要是GB/T18336-2001《信息技术 安全技术 信息技术安全性评估准则》。该标准是一个针对信息技术安全性的通用评估准则，没有具体针对数上网行为管理系统的安全技术要求。本技术规范根据GB/T18336-2001提出的框架和通用安全要求，针对上网行为管理系统特点，提出了具体的安全技术要求。 （四）参与制定认证技术规范的各方的情况； 中国信息安全认证中心是经中央编制委员会批准，于2006年11月正式成立的正局级事业单位，隶属于国家质检总局，由国家认证认可监督管理委员会管理。中国信息安全认证中心是由国务院信息化工作办公室、国家认证认可监督管理委员会、公安部、国家安全部、信息产业部、国家保密局、国家密码局、国家质检总局等八部委授权，依据国家信息安全管理的法律法规、《认证认可条例》和相关技术标准，对信息安全产品实施强制认证，并负责相关标准、技术规范、认证实施规则的制订和牵头工作。此外，还同时开展信息安全有关的管理体系认证，以及人员培训、技术研发等工作。 上海市信息安全测评认证中心（简称上海测评中心）成立于2000年1月，是经上海市人民政府批准成立的专门从事信息技术产品、信息系统安全测评的第三方专业机构，是国内最早开展信息安全测评的机构之一。上海测评中心隶属于上海市经济和信息化委员会，是具有独立法人资格的事业单位。 作为上海市的重要信息安全基础设施，上海测评中心创建了“一个平台、资源共享、多方授权、服务各方”的测评模式，是最早通过中国合格评定国家认可委员会（CNAS）的检测实验室认可（L0754）及检查机构认可（IB0039）的机构之一，是国家认监委对13种信息安全产品强制性认证的全国首批七家指定检测实验室之一，并获得了国家保密局涉密信息系统安全保密测评中心等部门的业务授权。同时，上海测评中心是依据上海市人民政府58号令《上海市公共信息系统安全测评管理办法》，由上海市经济和信息化委指定的本地唯一一家公共管理信息系统安全测评机构；是上海市公安局指定的本地信息系统等级保护测评机构；是上海市密码管理局指定的本地商用密码系统安全检测机构。 经过多年的探索和实践，上海测评中心在测评理论、测评标准、测评方法、测评技术等方面不断创新，形成了以信息技术产品安全测评、信息系统安全测评和信息安全评估服务为核心的技术能力。 （五）制定原则、确定主要内容的依据和验证情况； 制定原则 为使技术规范能够满足科学、规范地开展认证工作的需要，客观反映我国上网行为管理系统的技术水平，并引导技术发展，保证产品安全功能符合要求，以及良好的可用性，在技术规范制定过程中，主要遵循了如下几个原则： 要符合国家的有关政策法规要求； 要与已颁布实施的相关标准相协调； 要充分考虑我国上网行为管理系统生产企业的发展水平； 要基本覆盖目前市场上主要的上网行为管理系统类型； 要适度考虑目前处于发展成熟过程中的技术，保持一定的前瞻性。 确定主要内容的依据 主要内容的确定基于如下几个方面： 以GB/T18336-2001《信息技术 安全技术 信息技术安全性评估准则》为框架和指南。根据该标准提出的安全要求，分析上网行为管理系统的具体特点，形成有针对性的安全技术要求； 研究、分析了市场上主要的上网行为管理系统的技术特点、发展趋势，以及应用案例。在此基础上，对提出的安全技术要求进行了验证、细化和补充。 验证情况 通过组织专家和厂商研讨会，对技术规范的科学性、可行性等进行了多次论证、研讨，并根据专家、厂商意见进行了多次修订、完善。 （六）制定过程，包括重大分歧意见的处理经过和依据、征求和处理意见的经过； 2011年3月成立技术规范起草小组； 2011年5-8月起草组组织技术专家研讨会，对国内上网行为管理系统进行分析，并依据GB/T18336-2001《信息技术 安全技术 信息技术安全性评估准则》等标准，于2011年10月，确定了上网行为管理的安全技术要求和评测方法。 2012年3月完成“上网行为管理系统安全评价