《国内外信息安全标准》由会员分享,可在线阅读,更多相关《国内外信息安全标准(5页珍藏版)》请在金锄头文库上搜索。
1、国内外信息安全原则班级 1102301学号 姓名 杨直霖 信息安全原则是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性,先进性和符合性的技术规范和技术根据。因此,世界各国越来越注重信息安全产品认证原则的制修订工作。 国外信息安全原则发呈现状:CC原则(Comon Crteria for Inforation Tchnoly Scurit Ealuation)是信息技术安全性评估原则,用来评估信息系统和信息产品的安全性。C原则源于世界多种国家的信息安全准则规范,涉及欧洲ITSEC、美国TCSEC(桔皮书)、加拿大CPE以及美国的联邦准则(edera
2、l Criter)等,由6个国家(美国国家安全局和国家技术原则研究所、加拿大、英国、法国、德国、荷兰)共同提出制定。 国际上,诸多国家根据C原则实行信息技术产品的安全性评估与认证。1999年CCV2.1被转化为国际原则ISO/IEC14819Inrmatin technolgy-Securit echniu-Evalainrieri o I seuity,目前,最新版本I/IC1508采用了CC3.。 用于C评估的配套文档CEM原则(Cmmon Methology for Infration TecngSecurty valuation)提供了通用的评估措施,并且跟随原则版本的发展而更新。CM
3、原则重要描述了保护轮廓(PP-rotection file)、安全目的(-ecuriy Taret)和不同安全保证级产品的评估规定和评估措施。CE原则于成为国际原则ISO/C1045Infratio technoloy-SecrityehniuesMethodology for Iseuity evalation。 国内信息安全原则:为了加强信息安全原则化工作的组织协调力度,国标化管理委员会批准成立了全国信息安全原则化技术委员会(简称“信安标委会”编号为TC20)。在信安标委会的协调与管理下,国内已经制修订了几十个信息安全原则,为信息安全产品检测认证提供了技术基本。,国内将SOIE1408-1
4、9转化为国家推荐性原则GB/T13- (CCV2.)信息技术 安全技术信息技术安全性评估准则。目前,国内最新版本GBT1833-采用了IS0/508-即C V.。 国内信息安全原则借鉴了G/T18336构造框架和技术规定,涉及安全功能规定、安全保证规定和安全保证级的定义措施,以及原则的框架构造等。例如,BT026信息安全技术智能卡嵌入式软件安全技术规定(EAL4增强级)借用了PP的构造和内容规定,涉及安全环境、安全目的和安全规定(安全功能规定和安全保证规定)等内容,以及C原则预先定义的安全保证级别(AL4)。同步,结合国内信息安全产品产业的实际状况,国内信息安全原则还规定了产品功能规定和性能规
5、定,以及产品的测试措施。有些原则描述产品分级规定期,还考虑了产品功能规定与性能规定方面的影响因素。国外信息安全现状 信息化发展比较好的发达国家,特别是美国,非常注重国家信息安全的管理工作。美、俄、日等国家都已经或正在制定自己的信息安全发展战略和发展筹划,保证信息安全沿着对的的方向发展。美国信息安全管理的最高权力机构是美国国土安全局,分担信息安全管理和执行的机构有美国国家安全局、美国联邦调查局、美国国防部等,重要是根据相应的方针和政策结合自己部门的状况实行信息安全保障工作。初,美国出台了电脑空间安全筹划,旨在加强核心基本设施、计算机系统网络免受威胁的防御能力。月,日本信息技术战略本部及信息安全会
6、议拟定了信息安全指引方针。9月俄罗斯批准了国家信息安全设想,明确了保护信息安全的措施。 美、俄、日均以法律的形式规定和规范信息安全工作,对有效实行安全措施提供了有力保证。10月,美国的电子签名法案正式生效。1月日美参议院通过了互联网网络完备性及核心设备保护法案。日本于月发布了旨在对付黑客的信息网络安全可靠性基准的补充修改方案。9月,俄罗斯实行了有关网络信息安全的法律。 国际信息安全管理已步入原则化与系统化管理时代。在20世纪90年代之前,信息安全重要依托安全技术手段与不成体系的管理规章来实现。随着20世纪0年代IS9000质量管理体系原则的浮现及随后在全世界的推广应用,系统管理的思想在其她领域
7、也被借鉴与采用,信息安全管理也同样在20世纪90年代步入了原则化与系统化的管理时代。195年英国率先推出了BS779信息安全管理原则,该原则于被国际原则化组织承觉得国际原则ISO/IEC 7799。目前该原则已引起许多国家与地区的注重,在某些国家已经被推广与应用。组织贯彻实行该原则可以对信息安全风险进行安全系统的管理,从而实现组织信息安全。其她国家及组织也提出了诸多与信息安全管理有关的原则。国内信息安全现状 国内已初步建成了国家信息安全组织保障体系。国务院信息办专门成立了网络与信息安全领导小组,各省、市、自治州也设立了相应的管理机构。7月,国务院信息化领导小组通过了有关加强信息安全保障工作的意
8、见,同年月,中央办公厅、国务院办公厅转发了国家信息化领导小组有关加强信息安全保障工作的意见,把信息安全提到了增进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御,综合防备”的信息安全管理方针。月成立了国家计算机网络应急技术解决协调中心,专门负责收集、汇总、核算、发布权威性的应急解决信息。5月成立了中国信息安全产品测评认证中心和代表国家开展信息安全测评认证工作的职能机构,还建立了根据国家有关产品质量认证和信息安全管理的法律法规管理和运营国家信息安全测评认证体系。 制定和引进了一批重要的信息安全管理原则。发布了国标计算机信息系统安全保护级别划分准则(G 178-19
9、99)、信息系统安全级别保护基本规定等技术原则和信息安全技术 信息系统安全管理规定(/T 20269-)、信息安全技术信息系统安全工程管理规定(B/T 0282-)、信息系统安全级别保护基本规定等管理规范,并引进了国际上出名的ISO1799::信息安全管理实行准则、BS7799-::信息安全管理体系实行规范等信息安全管理原则。制定了一系列必需的信息安全管理的法律法规。从20世纪9年代初起,为配合信息安全管理的需要,国家有关部门、行业和地方政府相继制定了中华人民共和国计算机信息网络国际联网管理暂行规定、商用密码管理条例、互联网信息服务管理措施、计算机信息网络国际联网安全保护管理措施、电子签名法等
10、有关信息安全管理的法律法规文献。 信息安全风险评估工作已经开展。并成为信息安全管理的核心工作之一,由国家信息中心组织先后对四个地区(北京、广州、深圳和上海),十几种行业的50 多家单位进行了进一步细致的调查与研究,最后形成了信息安全风险评估调查报告、信息安全风险评估研究报告和有关加强信息安全风险评估工作的建议。制定了信息安全技术信息安全风险评估规范(GB/T29)。 国内信息安全管理尚存在许多的问题: 1)信息安全管理现状比较混乱,缺少一种国家层面上的整体方略,实际管理力度不够,政策执行和监督力度也不够。 2)具有国内特点的、动态的和涵盖组织机构、文献、控制措施、操作过程和程序及有关资源等要素的信息安全管理体系尚未建立起来。 )具有国内特点的信息安全风险评估原则体系尚有待完善,信息安全的需求难以拟定,缺少系统、全面的信息安全风险评估和评价体系以及全面、完善的信息安全保障体系。 4)信息安全意识缺少,普遍存在重产品、轻服务,重技术、轻管理的思想。 5)专项经费投入局限性,管理人才极度缺少,基本理论研究和核心技术单薄,严重依托国外。 6)技术创新不够,信息安全管理产品水平和质量不高。 7)缺少权威、统一、专门的组织、规划、管理和实行协调的立法管理机构,致使国内既有的某些信息安全管理方面的法律法规层次不高。执法主体不明确,多头管理,规则冲突,缺少可操作性,执行难度较大,有法难依。
