【精品】国内外信息安全产品认证标准简介

格式：doc
大小：726.50 KB
文档页数：4

下载文档原格式

/ 4

网络信息安全认证

网络信息安全认证在当今数字化飞速发展的时代，网络已经如同空气和水一样，成为我们生活中不可或缺的一部分。

我们在网络上购物、社交、工作、学习，享受着前所未有的便利。

然而，与此同时，网络信息安全问题也日益凸显，成为了我们不得不面对的严峻挑战。

网络信息安全认证，作为保障网络信息安全的重要手段，正逐渐受到广泛的关注和重视。

网络信息安全认证是什么呢？简单来说，它是一种对网络系统、产品、服务或者人员在信息安全方面的能力和合规性进行评估和确认的过程。

通过一系列严格的标准和测试，证明其具备足够的安全保障措施，能够有效地保护用户的信息不被泄露、篡改或者滥用。

为什么网络信息安全认证如此重要呢？首先，对于企业来说，网络信息安全是其生存和发展的关键。

一旦企业的网络系统遭受攻击，导致客户信息泄露、业务中断或者声誉受损，其带来的损失将是不可估量的。

通过获得网络信息安全认证，企业可以向客户和合作伙伴证明自己具备可靠的安全保障能力，增强市场竞争力，赢得信任。

其次，对于个人用户而言，网络信息安全认证也至关重要。

我们在网络上的个人信息，如姓名、身份证号、银行卡号等，都可能成为黑客攻击的目标。

如果使用的网络服务或产品没有经过安全认证，我们的个人隐私和财产安全将面临巨大的风险。

网络信息安全认证的种类繁多，常见的有 ISO 27001 信息安全管理体系认证、CSA STAR 云安全认证、PCI DSS 支付卡行业数据安全标准认证等。

这些认证标准涵盖了不同的领域和方面，以满足各种网络环境和业务需求。

ISO 27001 信息安全管理体系认证是国际上广泛认可的标准之一。

它要求企业建立一套完整的信息安全管理体系，包括制定安全策略、进行风险评估、实施安全控制措施、监控和审查安全状况等。

通过ISO 27001 认证，企业能够展示其在信息安全管理方面的系统性和规范性。

CSA STAR 云安全认证则主要针对云计算服务提供商。

随着云计算的普及，越来越多的企业将数据和业务迁移到云端。

各国安全等级标志认证标准

各国安全等级认证标准本文整理了国际及国内常用的安全等级认证标志，及其对应安全认证含义及标准。

帮助大家整理学习安全等级认证相关知识。

一、国际常用安全等级认证标志1.CE标志（欧盟）CE标志是欧盟范围内市场认可的安全标志，是一种宣称产品符合欧盟各项条令，被所有制造商视为进入欧洲市场的必需品。

对于很多售卖欧盟的产品而言，CE各项标准的使用以及声明产品的符合性，是强制性的规定。

有了CE这个标志，出产的产品可以在欧盟任何一个国家流通。

CE标示必须标示在所生产的产品之上，或是在产品的外包装上。

但是有了CE标示，并不能免除国家执法单位对于未符合标示的产品实施制约行为。

以下产品适用于CE认证：玩具、机械、电子设备、电子设备、个人保护设备、压力设备、医疗设备、体外诊断、无线电和电信终端设备、简单的压力容器、燃气用具、升降机、休闲工艺、建筑产品；以下产品不需要CE标志：化学制品、制药、化妆品、食品。

CE标志logo：2.JIS标志（日本）JIS是日本工业标准（Japan Industrial Standards）的缩写，是日本标准中最重要、最权威的标准，由日本工业标准调查会（JISC）根据日本工业标准化法制定和审议，以推动日本工业标准化，工业产品形状、质量、性能、生产方法、测试方法等全国统一化。

据日本工业标准化法的规定，JIS认证对象除药品、农药、化学肥料、蚕丝、食品以及其他农林产品另有专门的标准或技术规格外，涉及到各个工业领域。

截至2007年7月底，共有现行JIS标准10124个。

产品制造商必须通过合规性评估，以获得符合性证书。

JIS标识涵盖的产品种类繁多，主要分为以下几类：土木工程和建筑业、机械工程、电子和电气工程、汽车工程、铁路工程、造船业、黑色金属材料和冶金、有色金属材料和冶金、化学工程、纺织工程、采矿业、纸浆和纸张、管理系统、陶瓷、家政用品、医疗设备和安全用具、飞机和航空业、信息处理、服务、其他。

JIS标志logo：标志分以下三种：工业产品用JIS标志加工技术用JIS标志特定面向用JIS标志3.BEAB标志（英国）英国市场上有BS认证和BEAB认证，都可对电子产品，医疗设备，等提供认证服务。

网络信息安全等级与标准

我国网络信息安全的相关政策法规
❖ 《中华人民共和国计算机信息网络国际联网管理暂行规定》 ❖ 《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》 ❖ 《中国互联网络域名注册暂行管理办法》 ❖ 《中国互联网络域名注册实施细则》 ❖ 《中华人民共和国计算机信息系统安全保护条例》 ❖ 《关于加强计算机信息系统国际联网备案管理的通告》 ❖ 《中华人民共和国电信条例》中华人民共和国国务院令(第291号) ❖ 《互联网信息服务管理办法》中华人民共和国国务院令(第292号) ❖ 《从事放开经营电信业务审批管理暂行办法》 ❖ 《电子出版物管理规定》 ❖ 《关于对与国际联网的计算机信息系统进行备案工作的通知》 ❖ 《计算机软件保护条例》 ❖ 《计算机信息网络国际联网出入口信道管理办法》
• 实施方法
❖ 在组织实施网络与信息安全系统时，应该将技术层面和管理层面良好配合。
❖ 在信息安全技术层面，应通过采用包括建设安全的主机系统和安全的网络系统，并配备适当的安全产品的方法来实现
❖ 而在管理层面，则可以通过构架ISMS来实现。
信息安全管理体系构建
❖ 定义信息安全策略 ❖ 定义NISMS的范围 ❖ 进行信息安全风险评估 ❖ 信息安全风险管理 ❖ 确定管制目标和选择管制措施 ❖ 准备信息安全适用性声明
A级)。
D级和A级暂时不分子级。每级包括它下级的所有
特性，从最简单的系统安全特性直到最高级的计算机
安全模型技术，不同计算机信息系统可以根据需要和
可能选用不同安全保密程度的不同标准。
网络信息安全等级与标准
1) D级 D级是最低的安全形式，整个计算机是不信任的，只为文件和用户提供安全保护。D级系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。拥有这个级别的操作系统就像一个门户大开的房子，任何人可以自由进出，是完全不可信的。对于硬件来说，是没有任何保护措施的，操作系统容易受到损害，没有系统访问限制和数据限制，任何人不需要任何账户就可以进入系统，不受任何限制就可以访问他人的数据文件。

信息安全产品认证体系

信息安全产品认证体系是一个由国家机关或行业协会制定的，旨在验证特定信息安全产品的功能、性能及相应标准要求的认证体系。

通常情况下，这些认证体系包含对厂商生产的信息安全产品进行测试、验证以及发布认证结果所必需的步骤。

例如，中国工业和信息化部开发的《中国电子数字加密标准》(CES)就是一套信息安全产品认证体系。

CES覆盖多领域（如金融、电子文件传递、数字版权保护、数字水印/时间戳服务）并提供不同形式的测试方法来验证不同应用场合使用的加密方法。

信息安全管理体系认证标准

信息安全管理体系认证标准概述：随着信息技术的不断进步和应用，信息安全问题日益突出。

为了保护组织和个人的信息安全，各行业都逐渐引入信息安全管理体系认证标准。

本文将就这一标准进行深入的探讨和分析，以帮助各行业更好地保护信息安全。

1. 背景及意义信息安全管理体系认证标准的引入是为了保护组织和个人的信息安全，确保信息的保密性、完整性和可用性。

信息安全管理体系认证标准包括适用范围、目的、定义和术语、管理责任、资源管理、信息资产管理、安全控制、安全漏洞管理等方面，旨在为组织提供一个全面的规范，帮助其建立和维护信息安全管理体系。

2. 标准内容2.1 适用范围信息安全管理体系认证标准适用于所有信息处理系统，包括但不限于计算机网络、通信设备、软件系统等。

2.2 目的信息安全管理体系认证的目的是为了确保组织内部和外部的信息资源得到有效的保护，防止信息泄露、篡改、破坏等安全问题的发生。

2.3 定义和术语信息安全管理体系认证标准定义了与信息安全相关的重要概念和术语，以便于各方对标准内容的理解和应用。

2.4 管理责任信息安全管理体系认证标准规定了组织内部管理层对信息安全的责任和义务，包括制定信息安全政策、明确资源分配和提供培训等。

2.5 资源管理信息安全管理体系认证标准要求组织对信息安全资源进行有效的管理和使用，确保其得到充分的保护和利用。

2.6 信息资产管理信息安全管理体系认证标准强调对信息资产的管理，包括信息的分类、标识、存储、传输、备份、恢复和销毁等，以确保信息的完整性和可用性。

2.7 安全控制信息安全管理体系认证标准要求组织建立一系列的安全控制措施，包括访问控制、加密技术、安全审计、安全监控等，以提高信息系统的安全性。

2.8 安全漏洞管理信息安全管理体系认证标准强调对安全漏洞的管理和修复，包括漏洞扫描、漏洞修复、漏洞报告等，以减少信息系统遭受攻击的风险。

3. 实施建议为了有效实施信息安全管理体系认证标准，组织可以采取以下建议：3.1 制定明确的信息安全政策，明确各级管理层对信息安全的责任和义务。

信息安全的安全认证

信息安全的安全认证信息安全已成为现代社会中不可忽视的重要问题。随着信息技术的快速发展，网络攻击、数据泄露及其他安全问题也随之增加。为了保护数据的安全性，信息安全的安全认证成为一项必要的措施。

一、信息安全的重要性随着数字化时代的到来，信息已经成为企业、组织和个人日常生活的重要组成部分。信息的安全性不仅涉及到个人隐私的保护，更关系到国家安全、企业的商业机密以及社会稳定。信息安全问题的出现可能导致金融损失、声誉受损和用户信任度下降等严重后果。

二、信息安全的挑战随着信息技术的迅猛发展，网络攻击手段也日益多样化和隐蔽化。黑客可以通过网络入侵、恶意软件、社工攻击等手段获取非法的信息。同时，传统的信息安全风险如信息丢失、外泄等问题也依然存在。面对这些挑战，如何保护信息的安全成为摆在企业和组织面前的一道难题。

三、信息安全的安全认证信息安全的安全认证是一种权威机构对组织内部信息安全管理体系进行评估和确认的过程。它通过审核和评估，为组织提供有效的方案和建议，帮助组织识别和解决潜在的信息安全风险。

（一）国际安全认证标准国际上常见的信息安全认证标准有ISO 27001、PCI DSS等。ISO 27001是信息安全管理体系的国际标准，为组织提供了一套全面、灵活的安全控制措施。而PCI DSS是面向处理信用卡交易的组织的认证标准，确保支付卡数据的安全性。

（二）国内安全认证标准国内的信息安全认证标准主要有GB/T 22080-2008、CMMI等。GB/T 22080-2008是我国颁布的信息安全管理体系要求标准，可应用于各类组织的信息安全管理。而CMMI（Capability Maturity Model Integration）是一个软件工程与组织改进的国际标准，旨在提高软件开发和服务供应组织的业务绩效。

四、信息安全的好处信息安全的安全认证不仅为组织提供了安全保障，更带来了其他诸多好处。

（一）提升用户信任度信息安全认证可以证明组织对用户数据的保护措施，提高用户对组织的信任度。这将有助于吸引更多用户和合作伙伴，促进组织的发展和壮大。

信息安全标准简介

信息安全标准简介信息安全在二十世纪九十年代步入了标准化与系统化的时代，国际上众多组织和国家根据以往的信息安全管理经验制定了一系列的信息安全标准。

本节对在信息安全领域有重大影响的标准予以介绍。

1.信息安全管理指南ISO组织从上个世纪九十年代初逐步开发出了信息安全管理指南系列标准（标准号：ISO/IEC TR 13335）。

当前，信息安全管理指南包含了五个标准：1)ISO/IEC TR 13335-1：信息安全概念与模型ISO/IEC TR 13335-1主要定义和描述了信息安全管理的基本概念，确立了常规意义上信息管理和信息安全管理之间的关系，提出了信息安全管理通用指南，并阐述了几个用于解释信息安全的模型。

相较于ISO/IEC 17799中对信息安全的定义，ISO/IEC TR 13335-1对信息安全的定义进行了扩充，引入了责任性、真实性、可靠性和不可否认性的定义。

ISO/IEC TR 13335-1中的另一个重要内容是对风险管理的模型和风险管理的内容进行了定义，这已成为当前信息安全工作的基石。

2)ISO/IEC TR 13335-2：信息安全管理与计划ISO/IEC TR 13335-2中对信息安全管理的过程和内容，以及这些内容间的相互关系进行了阐述。

这一标准将信息安全管理的重点引到了风险管理过程中，使得信息安全管理成为主要围绕风险管理展开的企业管理活动。

并且，ISO/IEC TR 13335-2中提出了风险管理的基本方法。

有关信息安全管理方法的内容参见1.1.3节中的介绍。

3)ISO/IEC TR 13335-3：信息安全技术管理ISO/IEC TR 13335-3对与信息安全技术相关的管理活动进行了详细的阐述，从策略的制定、风险管理到安全计划与执行都进行了说明，并且提出了详细的信息安全管理过程，使得信息安全管理成为一个动态和循环的过程，参见图三。

需要指出的是，ISO/IEC TR 13335-3中对风险管理的过程和步骤进行了详细的阐述，根据风险要素间的相互关系对评估的方法、实践提出了具体的要求和参考意见。

产品安全认证介绍(打印版)

05
产品安全认证挑战与对策
遵守不断变化的法规与标准
法规和标准的不断更新和变化，要求企业必须持续关注并适应这些变化，以确保产品符合相关要
求。
企业需要建立有效的法规跟踪和应对机制，及时获取最新法规和标准信息，并评估其对产品安全
性的影响。
企业需要加强与行业协会和专业机构的合作，以便及时了解法规和标准的变化，并参与相关讨论
品在全球市场上获得认可和接受。
区域认证机构（如：欧洲CE认证机构）
总结词
区域认证机构主要针对特定地区的产品安全法规和标准进行认证，帮助产品在区域内流通和销售。
VS
详细描述
以欧洲CE认证机构为例，该机构主要针对在欧洲市场上销售的产品提供安全认证服务。通过获得CE认证，产品可以满足欧洲联盟的相关法规和标准，从而在欧洲市场上自由流通和销售。CE认证涵盖了众多领域，包括机械、电子、医疗设备等。
提高全员安全意识与培训
企业需要建立完善的安全培训体系，对全体员工进行定期的安全培训和教育，提高员工的安全意识和技能水平。
企业需要加强安全文化的建设，通过各种形式的活动和宣传，营造全员关注产品安全的氛围。
企业需要建立有效的激励机制，鼓励员工积极参与产品安全管理和改进工作，提高员工的工作积极性和责任感。
降低产品责任风险
提高企业的合规意识
提高企业的风险管理能力
产品安全认证机构会要求企业遵守相关标准和规定，并对其产品进行全面检测和评估，从而提高企业的合规意识和责任感。
产品安全认证机构会要求企业建立完善的风险管理制度，提高企业的风险管理能力和应对突发事件的反应能力。
减少企业的法律风险
产品安全认证机构会对企业的产品进行全面检测和评估，及时发现并纠正潜在的安全风险，从而减少企业的法律风险和赔偿责任。

信息安全审核的标准

以下是一些常见的信息安全审核标准：
1. ISO/IEC 27001：这是国际标准化组织（ISO）和国际电工委员会（IEC）共同制定的信息安全管理系统（ISMS）标准，提供了建立、实施、维护和持续改进ISMS的指南和审核要求。

2. SOC 2：这是一种由美国信息系统审计和控制协会（AICPA）定义的标准，用于评估服务组织信息安全控制的有效性和合规性。

3. PCI DSS：这是一种由支付卡行业安全标准委员会（PCI SSC）制定的标准，旨在确保处理信用卡信息的组织采取必要的安全措施。

4. HIPAA：这是美国卫生保险可移植性与责任法案制定的医疗保健信息安全和隐私保护标准，适用于个人医疗信息的存储、传输和处理。

5. NIST Cybersecurity Framework：由美国国家标准与技术研究院（NIST）制定，提供了一套整体性的信息安全管理框架和最佳实践，以帮助组织评估和提升信息安全能力。

此外，还有其他一些地区、行业或特定要求的信息安全标准，如CIS Controls、GDPR等。

根据组织所在地区、所属行业和业务需要，选择适合的信息安全标准进行审核是非常重要的。

请注意，在进行信息安全审核时，还需要考虑法律、合规要求以及行业最佳实践。

信息安全标准

信息安全标准
信息安全标准是指为了保护信息系统和信息资产而制定的一系列规范、要求和指南。

这些标准可以帮助组织建立和实施信息安全管理体系，确保信息的保密性、完整性和可用性。

常见的信息安全标准包括：
1. ISO 27001：国际标准化组织（ISO）制定的信息安全管理体系的国际标准。

它提供了一套适用于所有类型和规模组织的框架，以建立、实施、监控和改进信息安全管理体系。

2. NIST SP 800-53：美国国家标准与技术研究院（NIST）发布
的信息系统安全和隐私保护的一套框架和控制措施。

它是美国联邦政府强制遵守的标准之一。

3. PCI DSS：为了保护信用卡持有者的账户信息而制定的安全
标准。

它规定了接受、存储、处理信用卡信息的组织必须采取的安全措施。

4. HIPAA：美国医疗健康保险可移植性与责任法案（HIPAA）制定的一套规定，用于保护个人健康信息的安全和隐私。

5. GDPR：欧洲通用数据保护条例（GDPR）是欧盟制定的数
据保护和隐私法规，适用于处理欧盟公民的个人数据。

这些标准通常包括安全政策、安全控制措施、风险评估和管理、
员工培训等方面的要求，用于帮助组织建立有效的信息安全管理体系和保护信息资产。

国外信息安全测评认证体系简介

国外信息安全测评认证体系简介1、信息安全度量基准1、1 信息安全测评认证标准的发展在信息技术方面美国一直处于领导地位，在有关信息安全测评认证方面美国也是发源地。

早在70年代美国就开展信息安全测评认证标准研究，并于1985年由美国国防部正式公布了可信计算机系统评估准则（TCSEC）即桔皮书，也就是大家公认的第一个计算机信息系统评估标准。

在随后的十年里，不同的国家都开始主动开发建立在TCSEC基础上的评估准则，这些准则更灵活、更适应了IT技术的发展。

可信计算机系统评估准则（TCSEC）开始主要是作为军用标准，后来延伸至民用。

其安全级别从高到低分为A、B、C、D四类，级下再分A1、B1、B2、B3、C1、C2、D等7级。

欧洲的信息技术安全性评估准则（ITSEC）1.2版于1991年由欧洲委员会在结合法国、德国、荷兰和英国的开发成果后公开发表。

ITSEC作为多国安全评估标准的综合产物，适用于军队、政府和商业部门。

它以超越TCSEC为目的，将安全概念分为功能与功能评估两部分。

加拿大计算机产品评估准则（CTCPEC）1.0版于1989年公布，专为政府需求而设计，1993年公布了3.0版。

作为ITSEC和TCSEC的结合，将安全分为功能性要求和保证性要求两部分。

美国信息技术安全联邦准则（FC）草案1.0版也在1993年公开发表，它是结合北美和欧洲有关评估准则概念的另一种标准。

在此标准中引入了“保护轮廓（PP）”这一重要概念，每个轮廓都包括功能部分、开发保证部分和评测部分。

其分级方式与TCSEC不同，充分吸取了ITSEC、CTCPEC中的优点，主要供美国政府用，民用和商用。

由于全球IT市场的发展，需要标准化的信息安全评估结果在一定程度上可以互相认可，以减少各国在此方面的一些不必要开支，从而推动全球信息化的发展。

国际标准化组织（ISO）从1990年开始着手编写通用的国际标准评估准则。

该任务首先分派给了第1联合技术委员会（JTC1）的第27分委员会（SC27）的第3工作小组（WG3）。

信息安全认证主要包括哪些内容

信息安全认证主要包括：ISO9001、ISO14001、OHSAS18001、ISO/TS16949、 TL9000等。

其中ISO9001是质量管理体系、ISO14001是环境管理体系、OHSAS18001是职业健康安全管理体系。

三体系标准均有对内部审核的要求,但规定不完全一致。

ISO9001质量管理体系标准要求按策划时间间隔;ISO14001环境管理体系标准要求按计划的时间间隔;OHSAS18001职业健康安全管理体系标准要求定期开展职业健康安全管理体系审核,因此应明确审核的周期。

质量体系要满足质量管理和对顾客满意的要求，环境管理体系要服从众多相关方的需求，特别是法规的要求，职业健康安全管理体系关注组织内部员工的人身权利；ISO9000标准是对顾客承诺，ISO14000标准是对政府、社会和众多相关方（包括股东、贷款方、保险公司等等）承诺；OHSAS18000是对员工及社会等相关方承诺。

一般组织在ISO18000职业安全卫生管理上，都存在着原有的组织机构、管理制度、资源等。

而按职业安全卫生管理体系标准建立的职业安全卫生管理体系，实际上是组织实施职业安全卫生管理，改善组织的职业安全卫生行为，达到持续改进目的的一种新的运行机制，它不能完全脱离组织的原有管理基础，而是在标准的框架内，充分结合组织的原有管理基础，进而形成一个结构化的管理体系。

以上就是今天分享的全部内容，感谢大家的阅读。

it 产品信息安全认证依据标准

it产品信息安全认证依据标准一、安全技术要求IT产品信息安全认证首先需要满足基本的安全技术要求。

这些要求包括但不限于以下几点：1.加密技术的使用：所有涉及敏感信息传输、存储和处理的IT产品应使用合适的加密技术，确保数据在传输过程中不被窃取或篡改。

2.访问控制机制：IT产品应具备健全的访问控制机制，只允许授权用户访问相应的数据和系统。

3.漏洞修复和风险管理：IT产品应具备漏洞修复和风险管理机制，能在发现漏洞后及时修复，并有效防范潜在的安全风险。

4.安全审计和监控：IT产品应具备安全审计和监控功能，能记录和监控系统活动，以便于事后查证和分析。

二、安全管理要求安全管理要求包括以下几个方面的内容：1.安全政策和管理规程：企业应制定和执行清晰的安全政策和管理规程，确保IT产品的安全性和合规性。

2.用户权限管理：企业应对用户权限进行严格管理，确保不同用户只能访问其所需的数据和系统，防止权限滥用。

3.安全培训和意识提升：企业应定期开展安全培训，提高员工的安全意识和技能，使其能够更好地保护系统和数据的安全。

4.安全事件响应：企业应建立完善的安全事件响应机制，能在发生安全事件时迅速做出响应，降低损失。

5.供应商管理：企业应对供应商进行严格管理，确保供应商提供的产品和服务符合安全要求。

三、安全保障要求安全保障要求包括以下几个方面的内容：1.安全测试和验证：IT产品在发布前应进行充分的安全测试和验证，确保其满足安全标准和用户需求。

2.安全漏洞修补计划：企业应制定安全漏洞修补计划，及时发现并修复系统中的漏洞。

3.系统恢复策略：企业应制定系统恢复策略，在系统发生故障或数据丢失时能够迅速恢复业务。

4.备份和容灾方案：企业应制定备份和容灾方案，确保数据的安全性和可用性。

5.物理安全措施：企业应采取物理安全措施，如门禁系统、监控设备等，防止未经授权的人员访问IT设施。

6.网络安全架构：企业应建立网络安全架构，包括防火墙、入侵检测/防御系统等，以保护网络安全。

信息安全产品认证证书

信息安全产品认证证书信息安全产品认证证书是指对信息安全产品进行认证评估，确认其符合特定标准和要求的证明文件。

信息安全产品认证证书的颁发，可以有效保障信息安全产品的质量和安全性，提升其在市场上的竞争力，也可以为用户提供可靠的选择参考。

首先，信息安全产品认证证书的颁发需要依据一定的标准和要求。

通常情况下，信息安全产品的认证会参考国家或行业相关的标准，如ISO 27001信息安全管理体系认证、CC认证（Common Criteria，通用标准认证）等。

这些标准和要求，通常包括产品的安全性能、可靠性、兼容性、安全管理能力等方面的评估指标，确保产品符合一定的安全标准。

其次，信息安全产品认证证书的颁发需要经过严格的评估和测试。

在申请认证时，产品供应商需要提交相关的产品资料和技术文档，接受认证机构的评估和测试。

评估和测试的内容通常包括对产品的功能性、安全性能、漏洞和弱点的检测，以及产品在特定环境下的稳定性和可靠性等方面的考察。

只有通过了这些评估和测试，产品才有资格获得认证证书。

此外，信息安全产品认证证书的颁发对于产品的市场竞争力和用户信任度具有重要意义。

获得了认证证书的产品，可以向用户展示其符合一定的安全标准和要求，增加用户对产品的信任度。

同时，认证证书也是产品在市场上的竞争利器，有助于产品在同类产品中脱颖而出，提升市场份额。

总的来说，信息安全产品认证证书的颁发是对信息安全产品质量和安全性的一种保障，也是产品在市场上竞争的一种优势。

产品供应商应当重视信息安全产品的认证工作，严格按照相关标准和要求进行产品的设计和开发，积极申请认证，提升产品的市场竞争力和用户信任度。

同时，用户在选择信息安全产品时，也应当重视产品的认证证书，选择具有认证证书的产品，以保障信息安全。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

竭力为客户提供满意的产品和服务
以人为本诚信务实勇于创新乐于奉献
国内外信息安全产品认证标准简介

信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、
使用、检测认证中的一致性、可靠性、可控性，先进性和符合性的技术规范和技
术依据。因此，世界各国越来越重视信息安全产品认证标准的制修订工作。
一、国外信息安全标准发展现状
l .CC标准的发展过程
CC标准(Common Criteria for Information Technology Security Evaluation)是信
息技术安全性评估标准，用来评估信息系统和信息产品的安全性。CC标准源于世
界多个国家的信息安全准则规范，包括欧洲ITSEC、美国TCSEC（桔皮书）、加
拿大CTCPEC以及美国的联邦准则(Federal Criteria)等，由6个国家（美国国家安
全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰）共同提
出制定。CC标准的发展过程见附图。

国际上，很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999
年CCV2.1被转化为国际标准ISO/IEC15408-1999《Information technology-Security
techniques-Evaluation criteria for IT security》，目前，最新版本ISO/IEC15408-2008
采用了CCV3.1。
用于CC评估的配套文档CEM标准(Common Methodology for Information
Technology Security Evaluation)提供了通用的评估方法，并且跟随CC标准版本的
发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标
竭力为客户提供满意的产品和服务
以人为本诚信务实勇于创新乐于奉献
(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于
2005年成为国际标准ISO/IEC18045《Information technology-Security
techniques-Methodology for ITsecurity evaluation》。
2. CC标准内容介绍
CC标准共分为三部分,主要内容包括信息技术安全性评估的一般模型和基本
框架，以及安全功能要求和安全保证要求，目的是建立一个各国都能接受的通用
的信息安全产品和系统的安全性评估准则。CC标准为不同国家或实验室的评估结
果提供了可比性。
CC标准的第一部分为简介和一般模型，描述了信息安全相关的基本概念和模
型，以及PP和ST的要求。PP是为一类产品或系统定义信息安全技术要求，包括
功要求和保证要求。ST则定义了一个既定评估对象(TOE-TarEet of aluation)的IT
安全要求，并规定了该TOE应提供的安全功能和保证措施，以满足所提出的安全
要求，ST是开发者、评估者和用户之间对TOE安全特性和评估范圈达成一致的
基础。第二部分和第三部分描述了安全功能要求和安全保证要求，功能要求是对
产品希望提供的安全功能或特征的描述；保证要求是功能要求能够得到满足的程
度。CC标准根据安全保证要求预先定义了7个安全保证级（EALl~EAL7)，安全
保证能力由低到高逐级增强。
CC标准由专门的开发组（CCDB)负责开发、维护、解释，根据检测认证工作
实践，CCDB也发布了很多技术支持文档作为检测认证的指导文件，其中有些文
件必须参照执行，例如《攻击潜力在智能卡产品中的应用》（CCDB-2009-03-001）
等。
3 CC认证概况
为了推进信息技术产品的安全性评估结果在国际间互认，减少重复检测认
证，美国、加拿大、法国、德国、英国、荷兰等国于1998年10月发起并签署了
CCRA（Common Criteria Recognition Arrangement)。截止到2011年12月，CCRA
成员国已发展到26个。
根据协定要求，各CCRA成员国之间对CCEALI—EAIA级的评估结果相互承
认。CCRA协定在一定程度上减少了信息安全产品的技术性贸易壁垒。
据CC官方网站公布的数据，截止到2011年11月，总共颁发了1614张认证
证书，注册了219个PP，获得授权的检测机构近60个。随着采用CC标准的国家
竭力为客户提供满意的产品和服务
以人为本诚信务实勇于创新乐于奉献
越来越多，产品获得CC认证证书将有助于进入多个国家的市场。
二、国内信息安全标准介绍
为了加强信息安全标准化工作的组织协调力度，国家标准化管理委员会批准
成立了全国信息安全标准化技术委员会(简称“信安标委会”编号为TC260)。在信
安标委会的协调与管理下，我国已经制修订了几十个信息安全标准，为信息安全
产品检测认证提供了技术基础。
2001年，我国将ISO/IEC15408-1999转化为国家推荐性标准GB/T18336-2001
(CC V2.1)《信息技术安全技术信息技术安全性评估准则》。目前，国内最新版本
GB/T18336-2008采用了IS0/IEC15408-2005．即CC V2.3。
我国信息安全标准借鉴了GB/T 18336结构框架和技术要求，包括安全功能要
求、安全保证要求和安全保证级的定义方法，以及标准的框架结构等。例如，
GB/T20276-2006《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》
借用了PP的结构和内容要求，包括安全环境、安全目的和安全要求（安全功能要
求和安全保证要求）等内容，以及CC标准预先定义的安全保证级别(EAL4)。同
时，结合国内信息安全产品产业的实际情况，我国信息安全标准还规定了产品功
能要求和性能要求，以及产品的测试方法。有些标准描述产品分级要求时，还考
虑了产品功能要求与性能要求方面的影响因素。
目前，我国已经根据现有信息安全标准开展了信息安全产品检测认证工作。
在信息安全产品认证认可制度建立后，中国信息安全认证中心已经颁发了近230
张中国国家信息安全产品认证证书，范围覆盖国内信息安全市场上的主要产品种
类。
三、小结
我国信息安全标准不仅借鉴了CC标准的技术特点，还结合了国内实际情况。
国内信息安全标准化工作水平还需要进一步提高，这就需要加大标准制修订的
投入力度，考虑标准化应用的实际需求，尽快建立覆盖全面的信息安全标准体系，
更好地服务于信息安全产业的发展，提升我国信息安全产品的安全技术水平和
市场竞争力。

《认证技术》2012年第2期作者：崔占华陈世翔
竭力为客户提供满意的产品和服务
以人为本诚信务实勇于创新乐于奉献