信息技術(shù)安全評估準(zhǔn)則：源流、方法與實(shí)踐

　　《信息技術(shù)安全評估準(zhǔn)則：源流、方法與實(shí)踐》在概述信息技術(shù)（IT）安全評估準(zhǔn)則發(fā)展過程、基本概念及評估模型基礎(chǔ)上，對GB/T18336中預(yù)定義的安全功能和安全保障相關(guān)的類、族、組件和元素進(jìn)行了剖析，并按照IT產(chǎn)品安全開發(fā)周期這一思路分別論述了標(biāo)準(zhǔn)用戶如何采用保護(hù)輪廓（PP）結(jié)構(gòu)規(guī)范地表達(dá)IT產(chǎn)品消費(fèi)者的安全要求，IT產(chǎn)品開發(fā)者如何采用安全目標(biāo)（ST）結(jié)構(gòu)規(guī)范地描述IT產(chǎn)品的安全解決方案并準(zhǔn)備相應(yīng)的評估證據(jù)，在此基礎(chǔ)上還論述了IT產(chǎn)品安全評估的基本流程，以及評估者如何基于信息技術(shù)安全評估準(zhǔn)則采用合理的測試方法與技術(shù)對IT產(chǎn)品進(jìn)行安全評估。為了增加可讀性，《信息技術(shù)安全評估準(zhǔn)則：源流、方法與實(shí)踐》列舉了大量的實(shí)例以幫助讀者理解GB/T18336標(biāo)準(zhǔn)的應(yīng)用方法和技術(shù)?！缎畔⒓夹g(shù)安全評估準(zhǔn)則：源流、方法與實(shí)踐》結(jié)合了編者在制定、修訂GB/T18336及其相關(guān)國家標(biāo)準(zhǔn)和規(guī)范，以及從事IT產(chǎn)品安全測評時(shí)所獲得的經(jīng)驗(yàn)，闡述了GB/T18336不同用戶角色在標(biāo)準(zhǔn)應(yīng)用過程中的任務(wù)分工，給出了從事IT產(chǎn)品安全評估需要掌握的知識、方法和技術(shù)，對提升各類用戶理解和運(yùn)用GB/T18336標(biāo)準(zhǔn)有一定指導(dǎo)意義。信息技術(shù)安全評估準(zhǔn)則是世界公認(rèn)的信息安全領(lǐng)域的重要基礎(chǔ)性標(biāo)準(zhǔn)?！缎畔⒓夹g(shù)安全評估準(zhǔn)則：源流、方法與實(shí)踐》有助于高校網(wǎng)絡(luò)空間安全、軟件工程、信息系統(tǒng)等專業(yè)的本科生、研究生理解和掌握這一標(biāo)準(zhǔn)，可作為教材使用。

　　葉曉俊，男，清華大學(xué)教授。近五年作為負(fù)責(zé)人主持完成國家“核高基”科技重大計(jì)劃、國家發(fā)改委信息安全專項(xiàng)、總裝、總參等國家數(shù)據(jù)庫測試和安全測試相關(guān)項(xiàng)目。目前作為項(xiàng)目負(fù)責(zé)人正承擔(dān)國家網(wǎng)信辦《大數(shù)據(jù)服務(wù)安全能力要求》國家推薦標(biāo)準(zhǔn)的制定工作。 近五年制定了《關(guān)系數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》和《關(guān)系數(shù)據(jù)庫檢測規(guī)范》國家推薦性標(biāo)準(zhǔn)，并正在修訂《數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》和《數(shù)據(jù)庫管理系統(tǒng)安全評估準(zhǔn)則》兩項(xiàng)國家推薦性標(biāo)準(zhǔn)。 研發(fā)的數(shù)據(jù)庫功能自動化測試工具和性能基準(zhǔn)測試工具多次應(yīng)用在國家“863”計(jì)劃軟件重大專項(xiàng)和國家“核高基”科技重大專項(xiàng)的“以測代評”和“以測助評”等實(shí)際項(xiàng)目，獲得科技部、工信部、國內(nèi)權(quán)威測評機(jī)構(gòu)和相關(guān)領(lǐng)域?qū)＜业暮迷u；研發(fā)的主流數(shù)據(jù)庫安全特性檢查專用工具已經(jīng)裝配到“國家風(fēng)險(xiǎn)評估測控隊(duì)伍”的工具箱中，在國家重要信息系統(tǒng)、重大工程的安全評估中得到實(shí)際應(yīng)用驗(yàn)證。