国内外信息安全标准.pdf

国内外信息安全标准

班级

学号1106840341

姓名杨直霖

信息安全标准是解决有关信息安全的产

品和系统在设计、研发、生产、建设、使用、检

测认证中的一致性、可靠性、可控性，先进性和

符合性的技术规范和技术依据。因此，世界各国

越来越重视信息安全产品认证标准的制修订工

作。

国外信息安全标准发展现状:CC标准

(CommonCriteriaforInformationTechnology

SecurityEvaluation)是信息技术安全性评估标

准，用来评估信息系统和信息产品的安全性。

CC标准源于世界多个国家的信息安全准则规

范，包括欧洲ITSEC、美国TCSEC（桔皮书）、

加拿大CTCPEC以及美国的联邦准则(Federal

Criteria)等，由6个国家（美国国家安全局和国

家技术标准研究所、加拿大、英国、法国、德国、

荷兰）共同提出制定。

国际上，很多国家根据CC标准实施信息技

术产品的安全性评估与认证。1999年CCV2.1

被转化为国际标准ISO/IEC15408-1999

《Informationtechnology-Security

techniques-EvaluationcriteriaforITsecurity》，

目前，最新版本ISO/IEC15408-2008采用了

用于CC评估的配套文档CEM标准

(CommonMethodologyforInformation

TechnologySecurityEvaluation)提供了通用的

评估方法，并且跟随CC标准版本的发展而更

新。CEM标准主要描述了保护轮廓

(PP-ProtectionProfile)、安全目标(ST-Security

Target)和不同安全保证级产品的评估要求和评

估方法。CEM标准于2005年成为国际标准

ISO/IEC18045《Informationtechnology-Security

techniques-MethodologyforITsecurity

evaluation》。

国内信息安全标准:为了加强信息安全标准

化工作的组织协调力度，国家标准化管理委员会

批准成立了全国信息安全标准化技术委员会(简

称“信安标委会”编号为TC260)。在信安标委

会的协调与管理下，我国已经制修订了几十个信

息安全标准，为信息安全产品检测认证提供了技

术基础。

2001年，我国将ISO/IEC15408-1999转

化为国家推荐性标准GB/T18336-2001(CCV2.1)

《信息技术安全技术信息技术安全性评估准

。目前，国内最新版本采

用了IS0/IEC15408-2005．即CCV2.3。

我国信息安全标准借鉴了GB/T18336结

构框架和技术要求，包括安全功能要求、安全保

证要求和安全保证级的定义方法，以及标准的框

架结构等。例如，GB/T20276-2006