正在报批的10项信息安全国家标准

　
　　2009年9月7日，全国信息安全标准化技术委员会对正在制定的10项信息安全国家标准报批稿进行公示。由于标准文本处于公示期间，因此，这些国家标准报批稿可能会作进一步的修改。

　　公示的10项国家标准如下：

　　信息安全技术　公钥基础设施　证书分级规范

　　本标准按照对证书的策略要求，将证书划分为四个应用级别和测试级共五个等级并说明了对各级别的技术要求，四个应用级别是：初级、基本级、中级、高级。其 中测试级规范的是用于交叉认证测试的证书，四个应用等级（初级、基本级、中级和高级）所规范的证书安全级别逐次增高。

　　本标准适用于交叉认证时证书策略的设计与实现。

　　信息安全技术　公钥基础设施　应用支撑平台技术框架

　　本标准规定了基于公钥基础设施的应用支撑平台的总体结构和技术要求。
本标准适用于信息安全工程建设中应用支撑平台的设计、建设、检测、运营及管理。应用支撑平台为网络应用系统提供安全技术支撑，为各系统的互联互通、信息 共享提供统一的安全技术保障。对于特定的应用支撑平台的建设，可根据具体的业务需求和应用环境，在达到该标准的基本要求的基础上，进行灵活扩展。不同厂商 生产的应用支撑平台产品之间的互联互通可通过配置符合国家标准的安全接口实现。

　　信息安全技术　服务器安全测评要求

　　本标准规定了服务器安全的测评要求，包括第一级、第二级、第三级和第四级服务器安全测评要求。本标准没有规定第五级服务器安全测评的具体内容要求。

　　本标准适用于测评机构从信息安全等级保护的角度对服务器安全进行的测评工作。信息系统的主管部门及运营使用单位、服务器软硬生产厂商也可参考使用。

　　信息安全技术　信息安全产品类别与代码

　　本标准规定了信息安全产品的主要类别与代码，包括物理安全类、主机及其计算环境安全类、网络安全类、边界安全类、应用安全类、数据安全类、安全管理与支持类及其他类八个方面。

　　本标准适用于国家信息安全等级保护建设与信息安全行业产品分类管理。

　　本标准不适用于仅提供密码算法支持的商用密码产品（如加密卡、加密机）。

　　信息安全技术　无线局域网接入系统安全技术要求（EAL2增强级）

　　本标准规定了对WLAN接入系统进行安全保护所需要的安全技术要求（EAL2增强级）。本标准详细描述了与WLAN接入系统安全相关的策略、假设、威 胁，定义了WLAN接入系统及其支撑环境的安全目标、安全功能要求和安全保证要求。定义了确保WLAN接入系统与WLAN客户端之间安全交互的支撑环境。

　　本标准适用于WLAN接入系统的研制、开发、测试、评估和产品采购。

　　信息安全技术　信息系统保护轮廓和信息系统安全目标编制指南
　 　
　　本指导性技术文件描述信息系统保护轮廓（ISPP）和信息系统安全目标（ISST）的编制过程，详细规定了ISPP和ISST的编制过程 、ISPP和ISST的描述、信息系统描述、安全保障需求、安全保障目的、安全保障要求、信息系统概要规范、ISPP声明、符合性声明。

　　本指导性技术文件为编写ISPP和ISST提供指导，并在附录中给出从GB/T 20274 中选取安全保障要求组件的列表，以供参考。

　　信息技术　安全技术　信息技术安全性评估方法

　　本标准规定了在采用GB/T 18336《信息技术 安全技术 信息技术安全性评估准则》所定义的准则和评估证据进行评估时，评估者应执行的最小行为集，是GB/T 18336的配套标准。详细规定了通用评估任务、保护轮廓评估、ASE 类：安全目标评估、EAL1评估、EAL2 评估、EAL3评估、EAL4评估、缺陷纠正子活动。

　　本标准提出的信息技术（IT）安全性评估方法仅限于对GB/T 18336 中所定义EAL1到EAL4的评估，不提供EAL5到EAL7及其它保证包的评估指南。

　　本标准的读者对象主要是采用GB/T 18336的评估者和确认评估者行为的认证者，以及评估发起者、开发者、PP/ST作者和其它对IT安全感兴趣的团体。

　　本标准等同采用国际标准ISO/IEC18045：2005《信息技术-安全技术-信息技术安全性评估方法》。

　　信息技术　安全技术　IT网络安全　第3部分：使用安全网关的网间通信安全保护

　　GB/T xxxxx的本部分综述各种安全网关技术、组件和各种类型的安全网关体系结构。它还提供安全网关的选择和配置指南。尽管个人防火墙使用类似的技术，但因为它不作为安全网关使用，所以它不在GB/T xxxxx的本部分的范围之内。

　　GB/T xxxxx的本部分的目标读者是技术和管理人员，例如IT管理者、系统管理员、网络管理员和IT安全人员。本部分提供的指南有助于用户正确地选择最能满足其安全要求的安全网关体系结构类型。

　　本部分等同采用国际标准ISO/IEC 18028-3：2005《使用安全网关的网间通信安全保护》。

　　信息技术　安全技术　IT网络安全　第 4 部分：远程接入的安全保护

　　GB/T xxxxx的本部分为安全使用远程接入（使用公共网络将一台计算机远程连接到另一台计算机或某个网络的方法及其IT安全含义）提供指南。本部分介绍不同类 型的远程接入以及使用的协议，讨论与远程接入相关的鉴别问题，并提供安全建立远程接入时的支持。详细规定了安全要求、远程访问连接类型、远程访问连接技 术、选择和配置指南。

　　本部分目的是帮助那些计划使用这种连接或者已经使用这种连接并且需要其安全建立及安全操作方式建议的网络管理员和技术员。

　　本部分等同采用国际标准ISO/IEC 18028-4：2005《远程接入的安全保护》。

　　信息技术　安全技术　IT网络安全　第 5 部分：使用虚拟专用网的跨网通信安全保护

　　GB/T xxxxx的本部分针对使用虚拟专用网（VPN）连接到互联网络以及将远程用户连接到网络上的安全方面提供详细导则。详细规定了虚拟专用网（VPN）综述 、VPN安全目标 、VPN安全要求、安全VPN选择指南、安全VPN实施指南。它是根据GB/Txxxxx.1中的网络管理导则而构建的。

　　本部分针对在使用VPN时负责选择和实施提供网络安全所必需的技术控制的人员，以及负责随后的VPN安全的网络监控人员。

　　GB/T xxxxx的本部分提供VPN综述，提出VPN的安全目标，并概括VPN的安全要求。它给出安全VPN的选择、实施以及VPN安全的网络监控的指南。它也提供有关VPN所使用的典型技术和协议的信息。

　　本部分等同采用国际标准ISO/IEC 18028-5：2006《使用虚拟专用网的跨网通信安全保护》。