安全管理网站或app

信息安全标准是确保信息安全系统及信息安全产品在设计、 研发、 生产、 建设、 使用测评中解决其一致性、 可靠性、 先进性和符合性的技术规范、 技术支持。 研究信息安全标准是必要的，它对于信息安全计划的制定、 信息安全策略的实施以及信息安全产品的开发具有指导作用。 经典的信息安全标准包括TCSEC、 ITSEC、 CC标准等。

1. 国际通用标准

1996年，美、 加、 英、 法、 德、 荷6个国家在TCSEC、 ITSEC、 CTCPEC的基础上，提出了信息技术安全评价的通用标准 (The Common Criteriafor Information Technology Security EvaluationCC)。 CC综合了国际上已有的评测准则技术标准的精华，提出了信息安全的框架及基本原则。

CC全面考虑了与信息技术安全性相关的所有因素，以 “安全功能要求” 和 “安全保证要求” 的形式提出了这些因素。 其中特别突出了 “保护轮廓” (Protect Profile，PP) 的概念，每个轮廓都包括功能、 开发保证和评价三个部分。 强调将安全的功能和保障相分离，即把安全要求分为规范产品和系统安全行为的功能要求，以及如何正确有效地实施这些功能的保证要求。

CC定义了11个公认的安全功能类，即安全审计类、 通信类、 加密支持类、 用户数据保护类、 身份识别与鉴别类、 安全管理类、 隐私类、 安全功能件保护类、 资源使用类、 安全产品访问类和可信路径或通信类 也定义了7个公认的安全保障需求类，分别是配置管理、 分发和操作、 开发过程、 指导文献、 生命期的技术支持、 测试和脆弱性 还定义了7个安全确信度等级EAL1~EAL7。

与早期的评估标准相比，CC具有三大优势:

①开放的结构使得CC提出的安全功能要求和安全保证要求在具体的保护轮廓和安全目标中进一步细化和扩展，这样的结构更适合信息技术和信息安全的发展。

②CC使用通用的表达方式，易于用户、 开发者、 评估者之间相互沟通与理解。

③CC的结构和表达方式具有完备性和实用性的特点，通过保护轮廓和安全目标的编制体现出来。

但是CC也有其局限性。 它重点关注人为的威胁，并没有考虑其他的威胁，而且对于组织、 人员、 环境、 设备、 网络等方面的具体安全措施也没有涉及。

2. 我国的信息安全标准

相较于国外信息安全标准的研究，我国的相关研究工作起步较晚，但是发展迅速。 最初主要是采用国际标准的原则，根据我国国情转化了许多国际信息安全的基础技术标准。 2001年开始实施的 «计算机信息系统安全保护等级划分准则» 是我国自制的关于实施安全等级管理的重要基础性标准。 该项准则将信息安全分为以下五级。

①第一级: 用户自主保护级。 通过隔离用户与数据，对用户实施访问控制，保护用户和用户组的信息，避免其他用户对数据的非法读写和破坏。 这是最低保护级。

②第二级: 安全审计保护级。 除了具备自主保护能力外，第二级提高了自主访问控制能力。 通过登录规程、 审计安全性记录相关事件发生的日期、 时间、 用户事件类型等信息及隔离资源，使所有用户对自己的行为负责。

③第三级: 安全标记保护级。 第三级的计算机系统提供有关安全策略的模型，通过对访问者及访问对象标记安全级别，控制访问者的访问权限，实现对访问对象的强制保护。 这一级不仅要求具备准确的标记信息输出能力，还要求能够消除测试中发现的任何问题。

④第四级: 结构化保护级。 这一级要求将自主和强制访问控制扩展到所有主体和客体。结构化定义关键保护元素和非关键保护元素，其中关键保护元素直接控制访问者对访问对象的存取。 明确定义接口，加强鉴别机制，使系统具有相当的抗渗透能力。

⑤第五级: 访问验证保护级。 在具备第四级安全功能的基础上，第五级计算机信息系统还要满足访问监控器的需求。 通过访问，控制仲裁主体对客体的全部访问。 因此，要求信息系统在构造时要排除那些对实施安全策略来说不必要的代码，将系统的复杂度降到最低。 应能支持安全管理员的管理，当发生与安全相关的事件时，可以发出警报。 这是安全保护的最高级别。

目前我国已经颁布了适应各行各业的信息安全标准，涉及网络与信息系统安全、 信息内容安全、 信息安全系统与产品、 保密及密码管理、 计算机病毒与危害性程序防治等多个领域。 并且随着信息技术的发展，新技术在带来信息安全问题的同时，又为信息安全标准引入了新的内容。 如2007年发布的 «信息安全技术——虹膜识别系统技术要求»，对用于身份鉴别的虹膜识别系统的设计、 实现及管理过程建立了统一标准。