2007年发布的信息安全国家标准简介

　　下面是国家质监局和国家标准委于2007年发布的信息安全国家标准的简介。2007年以前发布的信息安全国家标准见计算机行业标准化网网站（网址：http:// www.nits.gov.cn/jhb ）“标准及简介”栏的《2007年以前发布的信息安全国家标准简介》。2008年还没有发布信息安全国家标准。

　　我国称为“信息安全” ，而国际标准化组织称其为“安全技术”。

GB/T 20945-2007　信息安全技术
信息系统安全审计产品技术要求和测试评价方法

　　该标准规定了信息系统安全审计产品技术要求（安全功能要求、自身安全要求、性能要求和保证要求）和对应的测评方法。

　　该标准将安全审计产品分为专用型和综合型。该标准对各类要求进行了详细规定，其中，安全功能要求包括审计踪迹、审计数据保护、安全管理、标识和和鉴别、产品升级、监管要求；自身安全要求包括自身审计数生成、审计代理安全、管理信息传输和系统部署安全；性能要求包括稳定性、资源占用、网络影响、吞吐量；保证要求包括配置管理、交付与运行、测试脆弱性分析保证。标准以附录的形式给出了安全审计流程和跟踪涵盖的事件采集、事件处理和事件响应阶段。

　　该标准适用于信息系统审计产品的开发、测评和应用。

　　该标准的目的是规范设计者如何设计和实现安全审计产品，并为安全审计产品的测试和应用提供技术支持和指导。

GB/T 20979-2007　信息安全技术　虹膜识别系统技术要求

　　该标准规定了用虹膜识别技术为身份鉴别提供支持的虹膜识别系统的技术要求。

　　该标准详细规定了虹膜识别系统应具有的功能，包括自包含的、图象采集与处理、用户标识、用户识别、防伪造、警告与报警功能；虹膜识别系统的基本要求，包括错误接受率和拒绝率、响应时间、适用范围、使用安全条件；三个级别的基本功能、基本性能、自身安全功能、自身安全保证要求。标准以附录的形式介绍了虹膜识别的基本原理，给出了虹膜识别系统功能和性能要素与分等级要求的对应关系，以及主、客体的访问操作关系。

　　该标准适用于按信息安全等级保护要求所进行的虹膜识别系统的设计与实现，对虹膜识别系统的测试、管理也可参照使用。

GB/T 20983-2007　信息安全技术
网上银行系统信息安全保障评估准则

　　该标准规定了网上银行系统的描述、安全环境、安全保证目的、安全保障要求，及网上银行系统信息安全保障目的和安全保障要求的符合性声明。

　　该标准对各类要求进行了详细规定，其中，系统描述包括网上银行系统描述、使命描述、系统概要和系统详细描述；安全环境包括假设、威胁、组织安全策略；安全保证目的包括安全保障的技术目标、管理目标和工程目标；特别详细规定了安全保障的各种要求，包括安全保障的技术要求、管理要求和工程要求。标准以附录的形式给出了网上银行系统信息安全保障符合性要求。

　　该标准适用于规范网上银行系统在网上交易过程中涉及信息安全的评估工作。

GB/T 20984-2007　信息安全技术　信息安全风险评估规范

　　该标准规定了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。

　　该标准详细规定了风险评估框架及流程，包括风险的要素关系、分析原理、实施流程；风险评估实施，包括评估准备、资产识别、威胁识别、脆弱性识别、安全措施确认、风险分析；信息系统生命周期各阶段的风险评估，包括规划、设计、实施、运行维护、废弃各阶段的风险评估；风险评估的工作形式，包括自评估和检查评估。标准以附录的形式给出了风险的计算方法和风险评估的工具。

　　该标准适用于规范组织开展的风险评估工作。

GB/Z 20985-2007　信息技术　安全技术
信息安全事件管理指南

　　该标准描述了信息安全事件的管理过程，提供了规划和制定信息安全事件管理策略和方案的指南，给出了管理信息安全事件和开展后续工作的相关过程和规程。

　　该标准详细规定了进行信息安全事件管理的背景，包括事件管理的目标和过程；信息安全事件管理方案的益处及需要应对的关键问题；规划和准备，包括信息安全的管理策略和管理方案、信息安全和风险管理策略、技术和其他支持、意识和培训；使用阶段，包括关键过程及信息安全事态和事件处理流程图、发现和报告、事态/事件评估和决策、响应；评审阶段，包括进一步的法律取证分析、经验教训、确定安全和方案的改进；改进阶段，包括安全风险分析和管理改进、改善安全状况、改进方案等。标准以附录的形式给出了信息安全事态和事件报告单示例、信息安全事件评估要点指南示例。

　　该标准可用于指导信息安全管理者，信息系统、服务和网络管理者对信息安全事件的管理。

　　该标准修改采用国际标准ISO/IEC TR18044：2004《信息技术 安全技术 信息安全事件管理指南》。

GB/Z 20986-2007　信息安全技术　信息安全事件分类分级指南

　　该标准为信息安全事件的分类分级提供指导，用于信息安全事件的防范与处置，为事前准备、事中应对、事后处理提供一个基础指南。

　　在该标准中，将信息安全事件分为七个基本类，即有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件、其他信息安全事件，每个基本类分别分为若干个子类，并对各个子类作了必要说明；根据信息系统的重要程度、系统的损失、社会的影响，将信息安全事件分为四个级，即特别重大事件、重大事件、较大事件、一般事件，并对每个级别列出了信息安全事件的若干情况。

　　该标准可供信息系统和基础信息传输网络的运营和使用单位以及信息安全主管部门参考使用。

GB/T 20987-2007　信息安全技术
网上证券交易系统　信息安全保障评估准则

　　该标准规定了网上证券交易系统的描述、安全环境、安全保障目的、安全保障要求及网上证券系统信息安全保障目的和安全保障要求的符合性声明。

　　该标准首先对网上证券交易系统进行了详细描述，并给出了信息系统的框架和参考模型；详细规定了安全环境，包括假设、威胁、组织安全策略；安全保障目的，包括安全保障的技术目标、管理目标、工程目标；安全保障要求，包括安全保障的技术要求、管理要求、工程要求。标准以附录的形式给出了网上证券系统信息安全保障的符合性声明，包括安全保障的目的和要求的符合性声明，并给出了安全保障的技术目标与技术要求、管理目标与管理要求、工程目标与工程要求的映射关系。

　　该标准适用于规范网上证券系统在交易过程中涉及信息安全的评估工作。

GB/T 20988-2007　信息安全技术　信息系统灾难恢复规范

　　该标准规定了信息系统灾难恢复应遵守的基本要求。

　　该标准详细规定了灾难恢复一般事项，包括灾难恢复的工作范围、组织机构、规划的管理、外部协作、审计和备案；灾难恢复需求的确定，包括风险分析、业务影响分析、确定灾难恢复目标；灾难恢复的制定，包括灾难恢复策略制定的要素、资源的获取方式、资源的要求；灾难恢复策略的实现，包括灾难备份系统技术方案的实现、灾难备份中心的选择和建设、运行维护管理能力和灾难恢复预案的实现。标准以附录的形式给出了灾难恢复能力的等级划分、灾难恢复预案框架。

　　该标准适用于信息系统灾难恢复的规划、审批、实施和管理。

GB/T 21028-2007　信息安全技术　服务器安全技术要求

　　该标准依据GB17859-1999《计算机信息系统安全保护等级划分准则》划分的五个安全保护等级，规定了服务器所需要的安全技术要求，以及每一个安全保护等级的不同安全技术要求。

　　该标准详细规定了服务器的安全功能要求和安全分等级要求。其中，服务器安全功能要求包括设备安全、运行安全和数据安全；服务器安全分等级要求包括五个安全保护等级各自涵盖的安全功能要求和安全保证（含服务器安全子系统的自身安全保护、设计和实现、管理）要求。标准还以附录的形式给出了服务器安全方面有关概念的说明。

　　该标准适用于按GB17859-1999的五个安全保护等级要求所进行的等级化服务器的设计、实现、选购和使用。按五个等级对服务器安全进行的测试和管理也可参照使用。

GB/T 21050-2007　信息安全技术
网络交换机安全技术要求（评估保证级3）
安全技术要求（EAL4增强级）

　　该标准依据GB/T 18336-2001《信息技术 安全技术 信息技术安全性评估准则》的要求，规定了网络交换机评估保证级（EAL）的EAL3级的安全技术要求，主要包括安全环境，以及网络交换机EAL3级的安全目的、安全功能要求和安全保证要求。

　　该标准首先介绍了什么是网络交换机，然后详细规定了网络交换机的安全环境，包括安全假设、威胁和组织策略等；安全目的，包括网络交换机EAL3级的安全目的、环境安全目的；安全要求，包括安全功能要求和安全保证要求。标准以附录的形式给出了安全环境与安全目的、安全要求与安全目的之间的关系及其合理性说明，还给出了安全功能要求的应用注释。

　　该标准适用于网络交换机的研制、开发、测试、评估和采购，使用对象主要是信息系统安全工程师、产品生产商、安全产品评估者

GB/T 21052-2007　信息安全技术　信息系统物理安全技术要求

　　该标准依据GB17859-1999《计算机信息系统安全保护等级划分准则》划分的五个安全保护等级，规定了信息系统物理安全的各种技术要求。

　　该标准详细规定了信息系统第一、二、三、四级的物理安全技术要求，包括上述各级的设备物理安全技术要求、环境物理安全技术要求、系统物理安全技术要求，以及各级别设备安全技术要求的具体项目。标准还以附录的形式给出了信息系统物理安全方面有关概念的说明。

　　该标准适用于按GB17859-1999的五个安全保护等级要求所进行的等级化的信息系统物理安全的设计和实现，对按GB17859-1999的安全保护等级的要求对信息系统物理安全测试、管理也可参照使用。

GB/T 21053-2007　信息安全技术
公钥基础设施　PKI系统安全等级保护技术要求

　　该标准参照GB17859-1999《计算机信息系统安全保护等级划分准则》的五个安全保护等级的划分，对PKI系统安全保护进行等级划分，规定了不同等级PKI系统所需要满足的评估内容。

　　该标准详细规定了PKI系统第一、二、三、四、五级的安全保护技术要求，包括上述各级的物理安全、角色与责任、访问控制、标识与鉴别、数据输入输出、密钥管理、轮廓管理、证书管理、配置管理、分发和操作、开发、指导性文档、生命周期支持、测试，以及审计、备份与恢复、脆弱性评定。标准以附录的形式给出了PKI系统安全要素各个要求级别的划分。

　　该标准适用于PKI的安全保护等级的评估，对于PKI系统安全功能的研制、开发、测试和产品采购亦可参照使用。

GB/T 21054-2007　信息安全技术
公钥基础设施　PKI系统安全等级保护评估准则

　　该标准依据GB/T 21054-2007《信息安全技术 公钥基础设施 PKI系统安全等级保护评估准则》的五个安全保护等级的划分，规定了不同等级PKI系统所需要安全技术要求。

　　该标准详细规定了PKI系统第一、二、三、四、五级的安全评阅内容，包括上述各级的物理安全、角色与责任、访问控制、标识与鉴别、数据输入输出、密钥管理、轮廓管理、证书管理，以及审计、备份与恢复。标准以附录的形式给出了PKI系统安全要素各个要求级别的划分。

　　该标准适用于PKI系统的设计和实现，对于PKI系统安全功能的研制、开发、测试和产品采购亦可参照使用。