1、随着信息技术的日益发展,各界对信息系统的依赖性也逐步增加,其中大量的数据处理、业务流程与日常应用的信息系统紧密相关。安全有效运行信息系统是信息安全保障体系建设的重要目标之一。国家近些年制定了一批基础关键的信息系统安全相关的国家标准,但这些国家标准的形成来源于不同方面应用领域的需求,其中不乏有不同的方法和理念,迫切需要建立信息安全关键标准验证机制,以提高标准可用性,使标准化工作能够满足新时期经济发展的需要。本文对信息系统安全标准之间的关系进行了梳理,对信息系统安全系列标准的一致性进行了分析验证,很好的推动了信息系统安全标准的完善与体系框架的形成。本文的主要工作成果包括:1)通过调研信息系统安全系
2、列标准的关键要素,依据信息安全标准验证理论与方法,审核信息系统安全标准体系,对信息系统安全国家标准进行了比较完整详细的一致性研究与验证。本文对标准验证实例化的研究,对提高国家技术标准编制的质量具有十分重要的意义。2)提出了信息系统安全标准的体系框架,并对信息系统安全标准进行了分类。本文通过梳理现有的信息系统安全标准,理清信息系统系列安全标准之间相互关系和标准的应用状态,结合国家信息安全标准体系的情况,提出了信息系统安全标准的体系框架。3)通过对现有信息系统安全标准列表,包括已颁布的国家标准以及正在制定的国家标准进行分析与评价,给出了标准之间的关系集,从而为更加深入的信息系统安全标准一致性验证与
3、研究提供基础。4)通过分析信息系统安全系列国家标准中的要素,找出标准中一致和不一致的元素,针对各项标准的安全等级划分以及等级划分所描述的规范要素内容进行比对分析,验证了现有的信息系统安全技术标准的一致性。5)信息系统安全标准不一致性主要体现在:a)在物理安全的规定方面,GB/T21052-2007只规定1-4级的要求,而GB/T20271-2006规定的是1-5级的要求。b) GB/T22239-2008对网络安全提出了要求,而GB/T20271-2006未对网络安全提出要求,GB/T22239-2008对应用安全提出了要求,而GB/T20271-2006未对应用安全提出要求。c)管理要求类标准中,GB/T22239-2008只规定1-4级的要求,而GB/T20269-2006规定的是1-5级的要求。d) GB/T20269-2006和GB/T22081-2008之间的要求不一致体现在,GB/T22081-2008通过管理方法控制风险点,覆盖面较广,而GB/T20269-2006选择了GB/T22081-2008范畴中的其中一个子集。