下面是2006年发布的信息安全国家标准的简介。此前发布的信息安全国家标准见计算机行业标准化网网站(网址:http:// www.nits.gov.cn/jhb )“标准及简介”栏的《2005年发布的安全技术国家标准简介》和《安全技术国家标准简介》。2007年发布的信息安全国家标准简介即将在本标准化网网站上给出。 我国称为“信息安全” ,而国际标准化组织称其为“安全技术” 。
GB/T 20261-2006 信息技术 系统安全工程 能力成熟度模型
该标准规定了系统安全工程的一个过程参考模型。系统安全工程能力成熟度模型(简称SSE-CMM)关注的是信息技术安全领域内某个或若干个相关系统实现安全的需求,其主要内容描述了用来实现信息技术安全的过程,尤其是过程的成熟度。该标准的范围包括: ——涉及整个生存周期的安全产品或可信系统的系统安全工程活动; ——对产品开发商、安全系统开发和集成商、以及提供计算机安全服务和计算机安全工程组织的要求。 该标准详细给出了参考模型的体系结构,包括安全工程、安全工程过程综述、SSE-CMM体系结构描述、过程域与公共特征关系汇总表;各种安全基本惯例(含管理安全控制、评估影响等11种)。标准以附录的形式给出了五种能力等级的通用惯例、11种项目和组织的基本惯例,以及能力成熟度模型的各种概念。 该标准适用于从商业界到政府部门和学术界的各种类型和规模的安全工程组织。 该标准修改采用国际标准ISO/IEC 21827:2002《信息技术 系统安全工程 能力成熟度模型》。
GB/T 20269-2006 信息安全技术 信息系统安全管理要求
该标准依据GB17859-1999《计算机信息系统安全保护等级划分准则》划分的五个安全保护等级,规定了信息系统安全所需要的各个安全等级的管理要求。 该标准详细给出了信息系统安全管理要素及其强度,包括策略和制度、机构和人员管理、风险管理、环境和资源管理、运行和维护管理、业务连续性管理、监督和检查管理、生存周期管理;信息系统安全管理分等级的各种要求,它有利于对安全管理的实施、评估和检查。标准以附录的形式给出了安全管理要素及其强度与安全管理分等级要求的对应关系,还给出了安全管理概念的说明。 该标准适用于相关组织机构(部门)按等级化要求进行的信息系统安全的管理。
GB/T 20270-2006 信息安全技术 网络基础安全技术要求
该标准依据GB17859-1999《计算机信息系统安全保护等级划分准则》划分的五个安全保护等级,规定了各个安全等级的网络系统所需要的基础安全技术的要求。 该标准详细给出了网络安全的组成及它们的相互关系;网络安全功能的基本要求,包括身份鉴别、自主访问控制、标记、强制访问控制、数据流控制、安全审计、用户数据完整性、用户数据保密性、可信路径、抗抵赖、网络安全监控;网络安全功能分层分级要求;按GB17859-1999的五个安全保护等级,对每一个安全保护等级的安全功能技术要求和安全保证技术要求做了详细描述。标准还以附录的形式给出了标准中各概念的说明。 该标准适用于按等级化要求进行的网络系统的设计和实现,对按等级化要求进行的网络系统安全的测试和管理可参照使用。
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
该标准依据GB17859-1999《计算机信息系统安全保护等级划分准则》划分的五个安全保护等级,规定了信息系统安全所需要的安全技术的各个安全等级要求。 该标准主要从信息系统安全保护等级划分角度,说明为实现GB17859-1999中每一个安全保护等级的安全功能要求应采取的安全技术措施,以及各安全保护等级的安全功能在具体实现上的差异。 该标准首先对信息安全等级保护所涉及的安全功能技术要求和安全保证技术要求做了比较全面的描述,然后按GB17859-1999的五个安全保护等级,对每一个安全保护等级的安全功能技术要求和安全保证技术要求做了详细描述。标准以附录的形式给出了标准中各概念的说明,等级化信息系统安全设计的参考,以及安全技术要素与安全技术分等级要求之间的对应关系。 该标准适用于按等级化要求进行的安全信息系统的设计和实现,对按等级化要求进行的信息系统安全的测试和管理可参照使用。
GB/T 20272-2006 信息安全技术 操作系统安全技术要求
该标准依据GB17859-1999《计算机信息系统安全保护等级划分准则》划分的五个安全保护等级,规定了操作系统安全所需要的安全技术的各个安全等级的详细要求。标准还以附录的形式给出了标准中各概念的说明。 该标准适用于按等级化要求进行的安全操作系统的设计和实现,对按等级化要求进行的操作系统安全的测试和管理可参照使用。
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
该标准依据GB17859-1999《计算机信息系统安全保护等级划分准则》划分的五个安全保护等级,规定了数据库管理系统所需要的安全技术的各个安全等级的要求。 该标准详细给出了数据库管理系统安全功能的基本要求,包括身份鉴别、自主访问控制、标记、强制访问控制、数据流控制、安全审计、用户数据完整性、用户数据保密性、可信路径、推理控制;按GB17859-1999的五个安全保护等级,对每一个安全保护等级的安全功能技术要求和安全管理技术要求做了详细描述。标准还以附录的形式给出了标准中各概念的说明。 该标准适用于按等级化要求进行的安全数据库管理系统的设计和实现,对按等级化要求进行的数据库管理系统安全的测试和管理可参照使用。
GB/T 20274.1-2006 信息安全技术 信息系统安全保障评估框架 第一部分:简介和一般模型
该标准给出了信息系统安全保障的基本概念和模型,并建立了信息系统安全保障框架。 该标准详细给出了信息系统安全保障的一般模型,包括安全保障上下文、信息系统安全保障评估、信息系统保护轮廓和信息系统安全目标的生成、信息系统安全保障描述材料;信息系统安全保障评估和评估结果,包括信息系统保护轮廓和信息系统安全目标的要求、评估对象的要求、评估结果的声明等。标准以附录的形式给出了信息系统保护轮廓、信息系统安全目标规范、信息系统描述。 “信息系统安全保障评估框架”是GB/T 18336在信息系统领域的扩展和补充,它的目的是以信息技术安全性评估准则为基础,吸取信息技术安全性评估准则的科学方法和结构,将信息技术安全性评估准则从产品和产品系统扩展到信息技术系统,然后进一步同其他信息系统运行环境所涉及的安全管理和安全工程等领域的标准和规范进行结合、扩展和补充,形成覆盖信息系统全生命周期的、对信息系统安全保障能力进行评估的通用评估框架。 该标准适用于从事信息系统安全保障工作的所有相关方,包括设计开发者、工程实施者、评估者、认证者等。
GB/T 20275-2006 信息安全技术 入侵检测系统技术要求 和测试评价方法
该标准规定了入侵检测系统的技术要求和测评方法,技术要求包括产品功能要求、产品安全要求、产品保证要求,并提出了入侵检测系统的分级要求。 该标准首先对入侵检测系统的等级进行了划分,即分为三级,并以网络型或主机型入侵检测系统的等级进行了划分;然后,在标准中对入侵检测系统技术要求和入侵检测系统测评方法的各三个级别的产品功能要求、产品安全要求、产品保证要求分别进行了详细规定。 该标准适用于入侵检测系统的设计、开发、测试和评估。
GB/T 20276-2006 信息安全技术 智能卡嵌入式软件 安全技术要求(EAL4增强级)
该标准规定了GB/T 18336-2001《信息技术 安全技术 信息技术安全性评估准则》的评估保证级(EAL)的EAL4增强级的智能卡嵌入式软件进行安全保护所需要的安全技术要求。 该标准详细规定了智能卡嵌入式软件的安全环境、安全目的、安全要求、基本原理。它在GB/T 18336-2001中规定的EAL4级安全要求组件基础上,适当地增加和增强了部分安全要求组件,有效保证智能卡能够抵御中等强度攻击。 该标准仅给出了智能卡嵌入式软件应满足的安全技术要求,对智能卡嵌入式软件的具体技术实现方式、方法等不做描述。 该标准适用于智能卡嵌入式软件的研制、开发、测试、评估和产品的采购。
GB/T 20277-2006 信息安全技术 网络和终端设备隔离部件测试评价方法
该标准规定了网络端设备部件测试评价方法。 该标准详细规定了隔离部件分级的测试评价方法,包括物理断开隔离部件、单向隔离部件、协议隔离部件、网闸隔离部件的各种测试环境和测试评价方法。 该标准适用于按照GB/T 20279-2006《信息安全技术 网络和终端设备隔离部件安全技术要求》的安全等级保护要求所开发的隔离部件的测试和评价。
GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求
该标准规定了采用传输控制协议/网际协议(TCP/IP)的网络脆弱性扫描产品的技术要求,提出网络脆弱性扫描产品实现的安全目标及环境,给出产品基本功能、增强功能和安全保证要求。 该标准首先对网络脆弱性扫描产品进行了分级,即分为基本型和增强型。然后详细规定了扫描产品的使用要求;功能要求,包括基本型产品功能部件、自身安全、安全功能、管理、安装与操作控制、增强型产品功能部件、增强型产品扩展功能的各种要求;性能要求,包括速度、稳定性容错性、漏洞发现能力、误报率、漏报率;基本型和增强型的安全保证要求。标准以附录的形式给出了网络脆弱性扫描产品的基本介绍。 该标准适用于通过网络对系统和设备进行脆弱性扫描的安全产品的研制、生产和认证。 该标准不适用于专门对数据库系统进行脆弱性扫描的产品。
GB/T 20279-2006 信息安全技术 网络和终端设备隔离部件安全技术要求
该标准规定了对隔离部件进行安全保护等级划分所需要的详细技术要求,并给出了每一个安全保护等级的不同技术要求。 该标准首先给出了隔离部件的安全环境,包括物理方面、人员方面、连通性方面的环境;然后详细规定了隔离部件分级的安全技术要求,包括物理断开隔离部件的基本级和增强级、单向隔离部件的基本级和增强级、协议隔离部件的三个级、网闸隔离部件的三个级的各种安全技术要求。 该标准适用于按照GB/T 17859-1999《计算机信息系统 安全保护等级划分准则》的安全等级保护要求所进行的隔离部件的设计和实现。对隔离部件进行的测试、管理也可参照使用。 如不做特殊说明, 该标准中的安全技术要求,适用于各种类型的隔离产品,包括物理断开、单向隔离、协议隔离与网闸产品。
GB/T 20280-2006 信息安全技术 网络脆弱性扫描产品测试评价方法
该标准规定对采用传输控制协议/网际协议(TCP/IP)的网络脆弱性扫描产品的测试、评价方法。 该标准首先给出了网络脆弱性扫描产品的测试环境;然后详细规定了网络脆弱性扫描产品测试评价的各种方法和步骤,包括基本型网络脆弱性扫描产品的基本功能、性能要求、安全保证要求,增强型网络脆弱性扫描产品的基本功能及性能、增强功能、安全保证要求的各种测试评价方法和步骤。标准以附录的形式给出了产品厂商应向测试单位提供的必要资料和证据。 网络脆弱性扫描产品测评的内容,测评功能目标及测试环境,给出产品基本功能、增强功能和安全保证要求必须达到的具体目标。 该标准适用于对计算机信息系统进行人工或自动的网络脆弱性扫描的安全产品的评测、研发和应用。 该标准不适用于专门对数据库系统进行脆弱性扫描的产品。
GB/T 20281-2006 信息安全技术 防火墙技术要求和测试评价方法
该标准规定采用“传输控制协议/网际协议(TCP/IP)”的防火墙类信息安全产品的技术要求和测评方法。 该标准详细规定了防火墙的技术要求,包括要求的分类和安全等级、功能要求、性能要求、安全要求、保证要求;测评方法,包括功能测试、性能测试、安全性测试、保证要求测试。标准以附录的形式介绍了防火墙的一些基本概念。 该标准适用于采用“传输控制协议/网际协议(TCP/IP)”的防火墙类信息安全产品的研制、生产、测试和评估。
GB/T 20282-2006 信息安全技术 信息系统安全工程管理要求
该标准规定了信息系统安全等级保护工程的管理要求,是对信息系统安全工程中所涉及到的需求方(甲方)、实施方(乙方)与第三方工程实施的指导性文件,各方可以此为依据建立安全工程管理体系。 该标准首先给出了安全工程的目标,然后详细规定了安全管理的资格保证要求;组织保证要求;工程实施要求;项目实施要求;安全管理工程流程与安全工要求;依据GB17859-1999《计算机信息系统安全保护等级划分准则》划分的五个安全保护等级,规定了信息系统安全工程管理的不同要求。标准以附录的形式给出了安全工程要求与安全保护等级的对应关系,以及安全工程要求与安全工程流程的对应关系。 该标准适用于安全系统的机构和开发商的工程管理,集成商、安全服务的提供商和安全工程的组织方也可参照使用。
GB/Z 20283-2006 信息安全技术 保护轮廓和安全目标的产生指南
该标准描述保护轮廓(PP)与安全目标(ST)中的内容及其各部分内容之间的相互关系的详细指南。 该标准给出PP与ST文档内容的概述、示例目录清单和目标用户最关心的内容,陈述了PP与ST之间的关系,以及PP与ST的开发编写过程。 该标准给出编写指南,它用来指导PP与ST的描述部分的编写,内容涵盖PP与ST的引言、针对用户和使用者的评估对象(TOE)描述以及针对ST作者和TOE开发者的PP应用注释;给出了TOE安全环境的定义;规定了安全目的,选择IT安全要求组件,描述了GB/T 18336中定义的功能组件和保证组件的使用方法,以及非GB/T 18336定义的组件的使用方法;规定了 ST中TOE概要规范的编制方法和基本原理的编制方法;给出了复合TOE的PP与ST的编制方法,复合TOE是由两个或多个TOE组成;指导安全功能包和保证包的构成方法。标准以附录的形式给出了指南的核查表、防火墙PP与ST示例、数据库示例。 该标准适用于开发者、使用者、测评者等用来更规范地描述安全目标和安全要求。 该标准非等效采用国际标准ISO/IEC TR15446:2004《信息技术 安全技术 保护轮廓和安全目标产生指南》。
GB/T 20518-2006 信息安全技术 公钥基础设施 数字证书格式
该标准规定了中国数字证书的基本结构,并对数字证书中的各数据项内容进行了描述;规定了一些标准的证书扩展域,并对每个扩展域的结构进行了定义,特别是增加了一些专门面向国内应用的扩充项。 该标准详细规定了数字证书的各种格式,包括基本证书域的数据结构、TBSCertificate及其数据结构、各种证书扩展域及其数据结构;数字证书可支持的密码算法。标准以附录的形式给出了各种证书的结构、证书的结构实例、数字证书编码举例,以及算法举例。 该标准适用于国内数字证书认证机构、数字证书认证系统的开发商以及基于数字证书的安全应用开发商。 该标准主要根据IETF(互联网工程任务组)RFC 2459文件,并结合我国情况制定的。
GB/T 20519-2006 信息安全技术 公钥基础设施 特定权限管理中心技术规范
该标准规定了一套作为特定权限管理基础设施(PMI)的特定权限管理中心技术框架,并规定了相关服务的要求。 该标准详细规定了特定权限管理中心架构,包括权限管理中心架构的内容、各逻辑层结构的组成、权限管理中心的管理结构;系统相关协议,包括代理点与属性注册机构之间、属性注册机构与属性授权机构(AA)之间、属性授权机构与认证机构源之间的通信协议,以及密码服务支持协议;各种证书的发布模式;PMI/AA的安全实施,包括证书撤消安全、算法强度安全、身份标识安全、LDAP服务访问安全、属性安全;PMI应用模型。标准以附录的形式给出了属性证书格式、系统相关协议应用实例、基于角色的属性管理模式。 该标准适用于特定权限管理中心基础设施的设计、建设和检测;对于特殊需求的应用系统,可根据具体的业务需求和情况进行灵活配置。 该标准依据GB/T 20518-2006《信息安全技术 公钥基础设施 数字证书格式》,并结合我国相关规范制定的,它是GB/T 20518-2006的配套技术标准。
GB/T 20520-2006 信息安全技术 公钥基础设施 时间戳规范
该标准规定了时间戳系统部件的组成、时间戳的管理、时间戳的格式和时间戳系统安全管理等方面的要求。 该标准还详细规定了时间戳的产生和颁发,包括时间戳申请和颁发的方式和过程、产生方法;时间戳管理包括时间戳的保存、备份、检索、删除和销毁、查看和验证;时间戳的格式包括对时间戳机构的要求、密钥标识、时间的表示格式、申请和响应消息格式等;时间戳系统的安全包括物理安全和软件安全。 该标准适用于时间戳系统的设计和实现,时间戳系统的测试和采购亦可参考使用。
|