信息安全国内测评认证标准

我国信息安全标准化工作，虽然起步较晚，但是发展较快，在国家质量技术监督局领导下，全国信息化标准委员会及其下属的信息安全分技术委员会在制订我国信息安全标准方面做了大量的工作，国标、国军标、行业标准对信息安全领域均有涉及。为适应我国信息化的迅猛发展，1997年国务院又拨出专款设立标准攻关项目，应急制订了分组过滤防火墙标准：防火墙系统安全技术要求；应用网关防火墙标准：网关安全技术要求；网络代理服务器和信息选择平台安全标准；鉴别机制标准；数字签名机制标准；安全电子交易标准第1部分：抗抵赖机制；网络安全服务标准：信息系统安全评价准则及测试规范；安全电子数据交换标准；安全电子商务标准第1部分：密钥管理框架；路由器安全技术要求；信息技术―n位块密码算法的操作方式；信息技术―开放系统互连―上层安全模型；信息技术―开放系统互连―网络层安全协议；信息技术―安全技术―实体鉴别第4部分：使用加密校验函数的机制等标准，它们成为我国信息安全测评认证的基础。随着我国信息安全测评认证制度的建立与推进，以及我国信息安全有关主管部门管理力度的加大，我国信息安全标准化工作将迎来更大的发展机遇。目前，信息系统安全性评价准则及测试规范；商用密码产品安全技术要求；信息安全服务评估准则；信息安全工程质量管理要求等标准即将出台。在国家质量技术监督局的领导和支持下，国家信息安全标准体系的框架已初步形成，将在该框架内以政府主管部门推动，产业界参与的模式，按急用先上的原则逐步推出我国信息安全技术发展和管理应用急需的相关标准。如：交换机安全技术要求、PBX安全技术要求、电子商务产品安全测评规范、电子商务认证中心（CA）安全评估要求等。测评认证工作体系信息安全测评认证体系，由三个层次的组织和功能构成，第一层次是国家信息安全测评认证管理委员会。管委会是一个跨部门的机构。代表国家有关信息产业和信息安全主管部门以及信息安全产品的供方、需方，对中国国家信息安全测评认证中心运作的独立性、测评认证活动的公正性、科学性和规范性进行监督管理。其主要职责是：制订、修订有关认证实施的方针、政策性文件；审批中国国家信息安全测评认证中心工作规划；审查拟开展认证产品目录并报经国务院产品质量监督行政主管部门批准实施；审批因现行标准不能满足认证需要时由认证中心设定的有关技术规范和补充技术要求；审批测评认证中心的外部检验机构和审核机构以及批准认证证书的撤消，受理有关投诉申诉等。第二层次是国家信息安全测评认证中心。-中心是由国家授权，依据有关标准和认证规范，根据特定的产品和信息系统的测试审核及评估结果，对相应产品，信息系统的安全性作出认证，并颁发证书的实体。第三层是若干个产品或信息系统的测评分支机构（实验室、分中心等），测评分支机构是经中心授权，国家认可，依据标准和测评规范，对有关产品和信息系统的安全性进行测试评估，向中心出据测评报告的技术组织。测评分支机构按不同区域、行业和技术专业设立。一个认证管委会，一个认证中心，若干个不同类型的测评分支机构共同构成国家信息安全测评认证的工作体系。