最新发布的15项信息安全国家标准

network

最新发布的15项信息安全国家标准

经国家标准化管理委员会批准，现有以下15项信息安全国家标准正式发布，这15项标准自2006年12月1日起实施，具体标准名称和国标编号如下



1. GB/T 20269-2006 信息安全技术 信息系统安全管理要求



本标准依据GB17859-1999的等级划分，对信息和信息系统的安全保护提出了分等级安全管理的要求，阐述了安全管理要素及其强度，并将管理要求落实到信息安全等级保护所规定的五个等级上，有利于对安全管理的实施、评估和检查。本标准适用于相关组织机构（部门）对信息系统实施等级保护所进行的安全管理。



2. GB/T 20270-2006 信息安全技术 网络基础安全技术要求



本标准依据GB17859-1999的五个安全保护等级，规定各个安全等级的网络系统所需要的基础安全技术的要求。本标准适用于按等级化要求进行的网络系统的设计和实现，对按等级化要求进行的网络系统安全的测试和管理可参照使用。



3. GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求



本标准主要从信息系统安全保护等级划分角度，说明为实现GB17859-1999中每一个安全保护等级的安全功能要求应采取的安全技术措施，以及各安全保护等级的安全功能在具体实现上的差异。本标准首先对信息安全等级保护所涉及的安全功能技术要求和安全保证技术要求做了比较全面的描述，然后按GB17859-1999的五个安全保护等级，对每一个安全保护等级的安全功能技术要求和安全保证技术要求做了详细描述。本标准适用于按等级化要求进行的安全信息系统的设计和实现，对按等级化要求进行的信息系统安全的测试和管理可参照使用。



4. GB/T 20272-2006 信息安全技术 操作系统安全技术要求



本标准依据GB17859-1999的五个安全保护等级的划分，根据操作系统在信息系统中的作用，规定操作系统安全所需要的安全技术的各个安全等级的要求。本标准适用于按等级化要求进行的安全操作系统的设计和实现，对按等级化要求进行的操作系统安全的测试和管理可参照使用。



5. GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求



本标准依据GB17859-1999的五个安全保护等级的划分，根据数据库管理系统在信息系统中的作用，规定数据库管理系统所需要的安全技术的各个安全等级的要求。本标准适用于按等级化要求进行的安全数据库管理系统的设计和实现，对按等级化要求进行的数据库管理系统安全的测试和管理可参照使用。



6. GB/T 20274.1-2006 信息安全技术 信息系统安全保障评估框架第一部分：



简介和一般模型 “信息系统安全保障评估框架”是GB/T 18336在信息系统领域的扩展和补充，它的目的是以信息技术安全性评估准则为基础，吸取信息技术安全性评估准则的科学方法和结构，将信息技术安全性评估准则从产品和产品系统扩展到信息技术系统，然后进一步同其他信息系统运行环境所涉及的安全管理和安全工程等领域的标准和规范进行结合、扩展和补充，形成覆盖信息系统全生命周期的、对信息系统安全保障能力进行评估的通用评估框架。



7. GB/T 20275-2006 信息安全技术 入侵检测系统技术要求和测试评价方法



本标准规定了入侵检测系统的技术要求和测评方法，技术要求包括产品功能要求、产品安全要求、产品保证要求，并提出了入侵检测系统的分级要求。除非明确指明属于网络型或主机型入侵检测系统，否则本标准中的所有条款均适用于两类系统。本标准适用于入侵检测系统的设计、开发、测试和评估。



8. GB/T 20276-2006 信息安全技术 智能卡嵌入式软件安全技术要求（EAL4增强级）



本标准依据《GB/T 18336-2001信息技术 安全技术 信息技术安全性评估准则》，使用 GB/T 18336中规定的保护轮廓的结构形式，制定了智能卡嵌入式软件的安全技术要求。本标准在GB/T 18336-2001中规定的EAL4级安全要求组件基础上，适当地增加和增强了部分安全要求组件，有效保证智能卡能够抵御中等强度攻击。本标准仅给出了智能卡嵌入式软件应满足的安全技术要求，对智能卡嵌入式软件的具体技术实现方式、方法等不做描述。本标准适用于智能卡嵌入式软件的研制、开发、测试、评估和产品的采购。



9. GB/T 20277-2006 信息安全技术 网络和终端设备隔离部件测试评价方法



本标准规定对评估隔离产品安全功能所能达到的安全保护等级的准则，并给出每一个评估准则的不同测试评估方法。本标准适用于按照《计算机信息系统安全保护等级划分准则》（以下简称《准则》）的安全等级保护要求所进行的隔离产品的测试和评估。如不做特殊说明, 本标准中的安全技术要求，适用于各种类型的隔离产品，包括物理断开、单向隔离、协议隔离与协议转换隔离。



10. GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求



本标准规定采用传输控制协议/网际协议（TCP/IP）的网络脆弱性扫描产品的技术要求，提出网络脆弱性扫描产品实现的安全目标及环境，给出产品基本功能、增强功能和安全保证要求。本标准适用于通过网络对系统和设备进行脆弱性扫描的安全产品的研制、生产和认证。本标准不适用于专门对数据库系统进行脆弱性扫描的产品。