信息技术安全性评估通用准则系列标准在中国的应用.docx

信息技术安全性评估通用准则系列标准在中国的应用.docx

  1. 1、本文档共9页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息技术安全性评估通用准则系列标准在中国的应用

Infosec Spotlights网域前沿信息技术安全性评估“通用准则”系列标准在中国的应用▉毕海英 贾炜 郭颖 杨永生信息技术安全性评估系列标准主要包括《信息技术 安全技术 信息技术安全性评估准则》(GB/T 18336)和《信息安全技术 保护轮廓和安全目标的产 生指南》(GB/Z 20283)。GB/T 18336 为等同采用 ISO/IEC 15408。ISO/IEC15408 是国际上普遍认可的信息安全技术的通用评估准则(简称 CC,common criteria),是国际上对信息安全评估最完善、最权威的技术标准,已在信息安 全领域得到了广泛认可。GB/T 18336 适用于信息技术(IT)产品的安全性测 评,针对安全评估中的 IT 产品的安全功能及其保证措施提供了一套通用要求, 并为 IT 产品的安全功能及其保证措施满足要求的情况定义了七个评估保证级 别(EAL)。GB/Z 20283 描述了保护轮廓(PP)和安全目标(ST)中的内容 及其各部分内容之间的相互关系,并在附录中给出了若干实例,为使用者编写 PP 和 ST 提供指导。作为国内最早依据 GB/T 18336 开展分级测评的机构,中 国信息安全测评中心目前依据 GB/T 18336 共测评了国内外各类信息安全产品600 余款。作为 GB/T 18336 的辅助性指南文件,GB/Z 20283 在具体的测评工 作中也得到了广泛的应用,发挥了很大的作用。本应用案例主要从标准实施目 的、标准实施情况、标准应用情况及应用效果、经验总结等几个方面进行了介绍。成灵活科学的安全测评框架,针对安全评估中的 IT 产品的 安全功能及其保证措施提供了 一套通用要求,并以一种标准 化的语言进行了描述。GB/T18336标准由于抽象层次较高, 在具体操作中存在一定难度。 GB/Z 20283 是 GB/T 18336 的 辅助性指南文件,描述了保护 轮廓和安全目标中的内容及其 各部分内容之间的相互关系, 以及 PP 和 ST 的开发编写过程, 为使用者编写 PP 和 ST 提供了 指导。标准实施情况为建立我国信息技术产 品安全评估体系,保障我国 信息安全建设,在跟踪分析 和了解国际标准的发展情况 下,积极采纳国际上先进的 标准,经过认真分析和研究, 在充分考虑可读性和可操作 性的前提 下,制定了 GB/T标准实施目的信息技术安全性评估系列标准遵循国际标准,为 IT 产品安全性的评估提 供基础准则和实施方法,使各个独立的安全评估结果具有可比性,可为客户选 择采办时提供技术依据,为我国信息化建设供应链安全提供保障。信息技术安全性评估系列标准为生产厂商在产品开发中提供技术支持,规 范信息安全厂商研发和生产流程,帮助信息安全厂商提高产品安全性和技术能 力,提升产品质量。GB/T 18336 作为一项通用的信息安全测评标准,使用保护轮廓和安全目标构100 / 2014.08CNITSECInfosec Spotlights18336 和 GB/Z 20283 等系列标准。1、标准制定与更新GB/T 18336《信息技术 安全技术 信息技术安全性评估准 则》为等同采用 ISO/IEC 15408。ISO/IEC 15408 是评估信息技 术产品安全性的基础准则,是国际标准化组织统一现有多种评 估准则努力的结果,已在信息安全领域得到了广泛认可。为建 立我国信息技术产品安全评估体系,保障我国信息安全建设,1999 年由国家质量技术监督局提出,国家信息安全测评机构、 相关行业科研机构和国内名牌院校组织相关专家学者进行《信 息技术 安全技术 信息技术安全性评估准则》的起草工作。标 准起草期间,多次征求信息安全专家和最终用户的意见,积极 听取信息安全厂商的建议,确保标准的科学性、准确性和实用 性。标准起草组于 2000 年完成初稿,面向社会征求意见。根 据相关意见和建议,标准起草组认真修改完善,于 2001 年 3 月作为国家标准发布,2001 年 12 月开始实施,并在实际应用 中取得良好的效果。随着信息技术的高速发展,原有标准已不能很好适应新技 术和新产品的应用。根据 ISO/IEC 15408 的发展情况,中国信 息安全测评中心在充分征求信息安全专家、厂商和最终用户的 意见基础上,对原标准进行修订,并于 2008 年 6 月作为国家 标准发布,2008 年 11 月开始实施。根据国家标准化管理委员会 2012 年下达的国家标准制修 订计划,中国信息安全测评中心牵头负责对国家标准《信息技 术 安全技术 信息技术安全性评估准则》进行第二次修订。目前, 根据第 3 版 ISO/IEC 15408 标准进行的修订工作已接近尾声, 预计将于 2014 年作为国家标准发布实

文档评论(0)

xjj2017 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档