APP下载

当代信息是否安全的标准研究

2009-11-04付蕴华

关键词:管理体系信息安全评估

付蕴华

摘要:信息是否安全的标准是对信息产品或系统进行安全测定的一类标准,本文介绍了国内外现有的信息安全评估标准,并对这些标准进行了详细的比较、讨论;最后研究了安全评估标准中面临的问题及进一步完善方法。

关键词:信息安全评估标准

0 引言

信息全球化成为显著的时代特征。今天,信息全球化已不再是一个停留在纸面上的名词或概念,它已经全面进入我们的生活,在各方面产生着影响,并成为一个显而易见的发展趋势,同时,它还引发了当今世界的深刻变革。信息资源日益成为重要生产要素、无形资产和社会财富。信息安全重要性与日俱增,成为各国面临的共同挑战。在《2006-2020年国家信息化发展战略》中,“建设国家信息安全保障体系”已经做为我国信息化发展的9大战略重点之一。信息安全评估是指评估机构依据信息安全评估标准,采用一定的方法对信息产品或系统安全性进行评价。信息安全评估标准是信息安全评估的行动指南。在信息安全管理领域里,由于标准众多,对于标准的争论从未停息过,有ISO/IEC的国际标准17799、13335;有美国国家标准和技术委员会(NIST)的特别出版物系列、英国标准协会(BSI)的7799系列;在我国,有风险管理、灾难恢复的国家政策。本文将对目前主要使用的标准:TCSEC ITSEC CC ISO15408 BS7799/ISO7799 GB17859-1999进行逐一介绍并进行比较。

1 安全评估标准介绍

国际上针对计算机安全的等级防护和评估制定了多个标准。

1.1 侧重于对系统和产品的技术指标方面的标准 美国国防部于1985年公布可信的计算机系统安全评估标准(TCSEC,从橘皮书到彩虹系列),是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级别,对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。法、英、荷、德欧洲四国90年代初联合发布信息技术安全评估标准(ITSEC,欧洲百皮书),它提出了信息安全的机密性、完整性、可用性的安全属性。ITSEC把可信计算机的概念提高到可信信息技术的高度上来认识,对国际信息安全的研究、实施产生了深刻的影响。信息技术安全评价的通用标准(CC)由六个国家(美、加、英、法、德、荷)于1996年联合提出的,并逐渐形成国际标准ISO15408。CC标准是第一个信息技术安全评价国际标准,它的发布对信息安全具有重要意义,是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。该标准定义了评价信息技术产品和系统安全性的基本准则,提出了目前国际上公认的表述信息技术安全性的结构,即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效地实施这些功能的保证要求。

1.2 偏重于安全管理方面的标准 1995年,英国贸工部根据英国国内企业对信息安全日益高涨的呼声,组织大企业的信息安全经理们,制定了世界上第一个信息安全管理体系标准BS7799-1:1995《信息安全管理实施规则》,作为工商业和大、中、小型组织实施信息安全管理的指南。1998年,为了适应第三方认证的需要,英国又制定了第一个信息安全管理体系认证标准——BS7799-2:1998《信息安全管理体系规范》,作为对一个组织的全面或部分信息安全管理体系进行评审认证的依据标准。1999年,鉴于计算机和信息处理技术,尤其是网络和通信领域应用的迅速发展,英国又对信息安全管理体系标准进行了修订。修订后的BS7799-1:1999和BS7799-2:1999分别取代了BS7799-1:1995和BS7799-2:1998。新修订的1999版标准进一步强调了组织在商务工作中所涉及的信息安全和信息安全责任。2000年12月,BS7799-1:1999已经被ISO/IEC正式采纳成为国际标准——ISO/IEC 17799:2000《信息技术——信息安全管理实施规则》,另外,BS7799-2:1999也于2005年底被ISO/IEC作为蓝本修订后成为可用于认证的ISO/IEC的《信息安全管理体系规范》。ISO/IEC 27001:2005《信息安全管理体系规范》。

1.3 我国目前的安全评估标准 我国2001年由中国信息安全产品测评认证中心牵头,将ISO/IEC 15408转化为国家标准——GB/T 18336-2001《信息技术安全性评估准则》,并直接应用于我国的信息安全测评认证工作。其中,基础性等级划分标准GB17859—1999计算机信息系统安全保护等级划分准则,是其他标准的基础;是信息系统安全等级保护实施指南,为等级保护的实施提供指导。标准体系的基本思想概括为:以信息安全的五个属性为基本内容,从实现信息安全的五个层面,按照信息安全五个等级的不同要求,分别对安全信息系统的构建过程、测评过程和运行过程进行控制和管理,实现对不同信息类别按不同要求进行分等级安全保护的总体目标。

2 安全评估标准比较分析

2.1 侧重于对系统和产品的技术指标方面的标准TCSEC、ITSEC、CPCPEC、CC、ISO15408之间的比较 信息评估标准是经历了TCSEC、ITSEC、CPCPEC、CC、ISO15408这5个发展阶段,最初的TCSEC是针对孤立计算机系统提出的,该标准适用于军队,开始时应用在OS的评估上,TCSEC与ITSEC均是不涉及开放系统的安全标准,仅针对产品的安全保证要求来划分等级并进行评测,并均为静态模型,仅能反应静态安全状况,CPCPEC虽在两者的基础上有一定的发展,但也未能突破上述的局限性,FC对TCSEC做了补充和修改,但因其自身的缺陷一直没有正式投入使用。CC与早期的评估标准相比,其优势体现在其结构的开放性、表达方式的通用性以及结构和表达方式的内在完备性和实用性等方面。总体来说,各标准适用范围略有不同,各有优劣。

2.2 CC标准与BS7799的异同点 CC和BS7799标准的共同点表现在以下四个方面:①两个标准所涉及的范围从大的角度来说都是信息安全领域;②两个标准对信息安全的定义相同,都是指对信息保密性、完整性和可用性的保护;③两个标准对信息安全风险的定义基本相同,都是从资产、威胁、薄弱点和影响来考察风险;④两个标准都针对不同的风险提出了相应的控制目标和控制措施。两个标准之间最主要的区别在于着眼点的不同,简单地说,这两个标准之间没有任何紧密联系,它们没有相同或类似的主题。CC侧重于对系统和产品的技术指标,旨在支持产品(最终是指已经在系统中安装了的产品,虽然目前指的是一般产品)中IT安全特征的技术性评估。ISO/IEC15408标准还有一个重要作用,即它可以用于描述用户对安全性的技术需求。BS7799则偏重于安全管理方面的要求。它不是一篇技术标准,而是管理标准。它处理的是对IT系统中非技术内容的检查。这些内容与人员、流程、物理安全以及一般意义上的安全管理有关。ISO/IEC17799的目的是“为信息安全管理提供建议,供那些在其机构中负有安全责任的人使用。它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素,并得以使跨机构的交易得到互信”。CC中虽对信息安全管理方面提出了一定的要求,但这些管理要求是孤立、相对静止的、不成体系的。同样,BS7799也涉及极小部分的技术指标,但仅限于管理上必须的技术指标。因此在这一方面两个标准对其重点强调部分可互相补充和借鉴,例如在按照BS7799建立体系时候,可以制定组织的信息产品和系统的采购策略,要求采购通过CC认证的产品。

猜你喜欢

管理体系信息安全评估
新建城区消防安全管理体系的完善措施
地铁资产管理体系运行评估研究
基于ERP系统构建协同化的电力物资供应链管理体系
信息安全不止单纯的技术问题
基于模糊综合评价法的信息安全风险评估模型
基于模糊综合评价法的信息安全风险评估模型
“珠江”荣获《知识产权管理体系认证证书》
地方立法后评估刍议
评估社会组织评估:元评估理论的探索性应用
360度绩效评估在事业单位绩效考核中的应用探析