(一)国外安全测评标准
- 1983年,美国防部《可信计算机系统评估准则》(TCSEC)
- 1991年,欧洲《信息技术安全评估准则》(ITSEC)
- 1993年,加拿大《加拿大可信计算机产品评估准则》(CTCPEC)
- 1993年,美国《信息技术安全评估联邦准则》(FC)
- 1996年,六国七方(英国、加拿大、法国、德国、荷兰、美国国家安全局和美国技术标准研究所)提出《信息技术安全评价通用准则》(CC 1.0版)
- 1998年,六国七方CC 2.0版
- 1999年,ISO接受CC作为国际标准ISO/IEC 15408标准
- 1995年,英国制定《信息安全管理要求》,后演变成为国际信息安全管理标准ISO/IEC 27001,是国际上具有代表性的信息安全管理体系标准
(二)CC(Common Criteria)标准
提出了“保护轮廓”概念,将评估过程分为“功能”和“保证”两部分,是目前最全面的信息技术安全评估标准
(三)国内安全测评标准
(1)1999年,我国发布《计算机信息系统 安全保护等级划分准则》(GB17859-1999),将信息系统安全保护能力分为5个等级
等级 | 说明 | 描述 | |
1 | 第一级 (最低) | 用户自主保护级 | 为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏。 |
2 | 第二级 | 系统审计保护级 | 通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。 |
3 | 第三级 | 安全标记保护级 | 提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述,具有准确地标记输出信息的能力,并能消除通过测试发现的任何错误。 |
4 | 第四级 | 结构化保护级 | 将第三级中的自主和强制访问控制扩展到所有主体与客体,并考虑隐蔽通道。 |
5 | 第五级 (最高) | 访问验证保护级 | 支持安全管理员职能,扩充审计机制,当发生与安全相关的事件时发出信号,并提供系统恢复机制。具有很高的抗渗透能力。 |
(2)2001年,参考国际通用准则CC和国际标准ISO/IEC 15408,我国发布了《信息技术 安全技术 信息技术安全性评估准则》(GB/T 18336-2001)。分为三部分:
- 第1部分:简介和一般模型
- 第2部分:安全功能要求
- 第3部分:安全保证要求
(3)2008年,我国建立自成体系信息系统安全等级保护标准,国家网络安全职能部门相继颁发信息安全管理办法和标准规范
(四)国家级中心
- 中国信息安全测评中心
- 国家密码管理局商用密码检测中心
- 国家保密科技测评中心
- 公安部信息安全等级保护评估中心