1.1.1 信息安全测评综述

信息安全测评是实现信息安全保障的有效措施，对信息安全保障体系、信息产品/系统安全工程设计以及各类信息安全技术的发展演进有着重要的引导规范作用，很多国家和地区的政府与信息安全行业均已经认识到它的重要性。

美国国防部于1979年颁布了编号为5200.28M的军标，它为计算机安全定义了4种模式，规定在各种模式下计算机安全的保护要求和控制手段。在美国的带动下，1990年前后，英国、德国、法国、荷兰、加拿大等国也陆续建立了计算机安全的测评制度并制定相关的标准或规范。当前，很多国家和地区均建立了信息安全测评机构，为信息安全厂商和用户提供测评服务。

我国于20世纪90年代也开始了信息安全的测评工作。1994年2月，国务院发布了《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令）。为了落实国务院第147号令，1997年6月和12月，公安部分别发布了《计算机信息系统安全专用产品检测和销售许可证管理办法》（公安部第32号令）和《计算机信息网络国际联网安全保护管理办法》（公安部第33号令）。1998年7月，成立了公安部计算机信息系统安全产品质量监督检验中心，并通过国家质量技术监督局的计量认证［（98）量认（国）字（L1800）号］和公安部审查认可，成为国家法定的测评机构。1999年，我国发布了国家标准《计算机信息系统安全保护等级划分准则》（GB 17859—1999）。1999年2月，国家质量技术监督局正式批准了国家信息安全测评认证管理委员会章程及测评认证管理办法。2001年5月，成立了中国信息安全产品测评认证中心（现已更名为中国信息安全测评中心），该中心是专门从事信息技术安全测试和风险评估的权威职能机构。2003年7月，成立了公安部信息安全等级保护评估中心，它是国家信息安全主管部门为建立信息安全等级保护制度、构建国家信息安全保障体系而专门批准成立的专业技术支撑机构，负责全国信息安全等级测评体系和技术支撑体系建设的技术管理及技术指导。2001年，我国根据CC（信息技术安全性评估通用准则）颁布了国家标准《信息技术 安全技术 信息技术安全性评估准则》（GB/T 18336—2001），并于2008年和2015年对其进行了版本更新，当前版本为《信息技术 安全技术 信息技术安全评估准则》（GB/T 18336—2015）。当前，已经有大量信息安全产品/系统通过了以上机构的检验认证，信息安全测评已经逐渐成为一项专门的技术领域。