版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、信息安全評(píng)估標(biāo)準(zhǔn)研究論文 摘要信息安全評(píng)估標(biāo)準(zhǔn)是對(duì)信息安全產(chǎn)品或系統(tǒng)進(jìn)行安全水平測(cè)定、評(píng)估的一類標(biāo)準(zhǔn),本文介紹了國(guó)內(nèi)外現(xiàn)有的信息安全評(píng)估標(biāo)準(zhǔn),并對(duì)這些標(biāo)準(zhǔn)的特點(diǎn)、應(yīng)用方式、適用范圍和實(shí)用價(jià)值進(jìn)行了詳細(xì)的比較、討論;最后研究了安全評(píng)估標(biāo)準(zhǔn)中面臨的問(wèn)題及進(jìn)一步完善方法。 關(guān)鍵詞信息安全評(píng)估標(biāo)準(zhǔn)TCSECITSECCCBS7799/ISO7799GB17859-1999 0引言 進(jìn)入21世紀(jì),信息化對(duì)經(jīng)濟(jì)社會(huì)發(fā)展的影響更加深刻。全球信息化正在引發(fā)當(dāng)今世界的深刻變革,重塑世界政治、經(jīng)濟(jì)、社會(huì)、文化和軍事發(fā)展的新格局。信息資源日益成為重要生產(chǎn)要素、無(wú)形資產(chǎn)和社會(huì)財(cái)富。信息安全的重要性與日俱增,成為各國(guó)面
2、臨的共同挑戰(zhàn)。在20062020年國(guó)家信息化發(fā)展戰(zhàn)略中,“建設(shè)國(guó)家信息安全保障體系”已經(jīng)做為我國(guó)信息化發(fā)展的9大戰(zhàn)略重點(diǎn)之一【1】。 信息安全評(píng)估是指評(píng)估機(jī)構(gòu)依據(jù)信息安全評(píng)估標(biāo)準(zhǔn),采用一定的方法(方案)對(duì)信息安全產(chǎn)品或系統(tǒng)安全性進(jìn)行評(píng)價(jià)【2】。信息安全評(píng)估標(biāo)準(zhǔn)是信息安全評(píng)估的行動(dòng)指南。在信息安全管理領(lǐng)域里,由于標(biāo)準(zhǔn)眾多,對(duì)于標(biāo)準(zhǔn)的爭(zhēng)論從未停息過(guò),有ISO/IEC的國(guó)際標(biāo)準(zhǔn)17799、13335;西方國(guó)家,有美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)委員會(huì)(NIST)的特別出版物系列、英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)的7799系列;在我國(guó),有風(fēng)險(xiǎn)管理、災(zāi)難恢復(fù)的國(guó)家政策。本文將對(duì)目前主要使用的標(biāo)準(zhǔn):TCSECITSECCCISO
3、15408BS7799/ISO7799GB17859-1999進(jìn)行逐一介紹并進(jìn)行比較。 1安全評(píng)估標(biāo)準(zhǔn)介紹 國(guó)際上針對(duì)計(jì)算機(jī)安全的等級(jí)防護(hù)和評(píng)估制定了多個(gè)標(biāo)準(zhǔn),其發(fā)展過(guò)程和關(guān)系見(jiàn)下圖: 1.1側(cè)重于對(duì)系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)方面的標(biāo)準(zhǔn) 美國(guó)國(guó)防部于1985年公布可信的計(jì)算機(jī)系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)(TCSEC,從橘皮書到彩虹系列),是計(jì)算機(jī)系統(tǒng)信息安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)。它把計(jì)算機(jī)系統(tǒng)的安全分為4類、7個(gè)級(jí)別,對(duì)用戶登錄、授權(quán)管理、訪問(wèn)控制、審計(jì)跟蹤、隱蔽通道分析、可信通道建立、安全檢測(cè)、生命周期保障、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性要求。 法、英、荷、德歐洲四國(guó)90年代初聯(lián)合發(fā)布信息技術(shù)安全評(píng)估標(biāo)
4、準(zhǔn)(ITSEC,歐洲百皮書),它提出了信息安全的機(jī)密性、完整性、可用性的安全屬性。ITSEC把可信計(jì)算機(jī)的概念提高到可信信息技術(shù)的高度上來(lái)認(rèn)識(shí),對(duì)國(guó)際信息安全的研究、實(shí)施產(chǎn)生了深刻的影響。 信息技術(shù)安全評(píng)價(jià)的通用標(biāo)準(zhǔn)(CC)由六個(gè)國(guó)家(美、加、英、法、德、荷)于1996年聯(lián)合提出的,并逐漸形成國(guó)際標(biāo)準(zhǔn)ISO15408。CC標(biāo)準(zhǔn)是第一個(gè)信息技術(shù)安全評(píng)價(jià)國(guó)際標(biāo)準(zhǔn),它的發(fā)布對(duì)信息安全具有重要意義,是信息技術(shù)安全評(píng)價(jià)標(biāo)準(zhǔn)以及信息安全技術(shù)發(fā)展的一個(gè)重要里程碑。該標(biāo)準(zhǔn)定義了評(píng)價(jià)信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準(zhǔn)則,提出了目前國(guó)際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu),即把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要
5、求以及解決如何正確有效地實(shí)施這些功能的保證要求。 1.2偏重于安全管理方面的標(biāo)準(zhǔn) 1995年,英國(guó)貿(mào)工部根據(jù)英國(guó)國(guó)內(nèi)企業(yè)對(duì)信息安全日益高漲的呼聲,組織大企業(yè)的信息安全經(jīng)理們,制定了世界上第一個(gè)信息安全管理體系標(biāo)準(zhǔn)BS7799-1:1995信息安全管理實(shí)施規(guī)則,作為工商業(yè)和大、中、小型組織實(shí)施信息安全管理的指南。 1998年,為了適應(yīng)第三方認(rèn)證的需要,英國(guó)又制定了第一個(gè)信息安全管理體系認(rèn)證標(biāo)準(zhǔn)-BS7799-2:1998信息安全管理體系規(guī)范,作為對(duì)一個(gè)組織的全面或部分信息安全管理體系進(jìn)行評(píng)審認(rèn)證的依據(jù)標(biāo)準(zhǔn)。 1999年,鑒于計(jì)算機(jī)和信息處理技術(shù),尤其是網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的迅速發(fā)展,英國(guó)又對(duì)信息安
6、全管理體系標(biāo)準(zhǔn)進(jìn)行了修訂。修訂后的BS7799-1:1999和BS7799-2:1999分別取代了BS7799-1:1995和BS7799-2:1998。新修訂的1999版標(biāo)準(zhǔn)進(jìn)一步強(qiáng)調(diào)了組織在商務(wù)工作中所涉及的信息安全和信息安全責(zé)任。 BS7799-1:1999和BS7799-2:1999是一對(duì)配套標(biāo)準(zhǔn),BS7799-1:1999為如何建立和實(shí)施符合BS7799-2:1999標(biāo)準(zhǔn)要求的信息安全管理體系提供了最佳的應(yīng)用建議。 2000年12月,BS7799-1:1999已經(jīng)被ISO/IEC正式采納成為國(guó)際標(biāo)準(zhǔn)-ISO/IEC17799:2000信息技術(shù)信息安全管理實(shí)施規(guī)則,另外,BS7799-
7、2:1999也于2005年底被ISO/IEC作為藍(lán)本修訂后成為可用于認(rèn)證的ISO/IEC的信息安全管理體系規(guī)范。ISO/IEC27001:2005信息安全管理體系規(guī)范。 1.3我國(guó)目前的安全評(píng)估標(biāo)準(zhǔn) 我國(guó)2001年由中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心牽頭,將ISO/IEC15408轉(zhuǎn)化為國(guó)家標(biāo)準(zhǔn)GB/T18336-2001信息技術(shù)安全性評(píng)估準(zhǔn)則,并直接應(yīng)用于我國(guó)的信息安全測(cè)評(píng)認(rèn)證工作。其中,基礎(chǔ)性等級(jí)劃分標(biāo)準(zhǔn)GB178591999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則,是其他標(biāo)準(zhǔn)的基礎(chǔ);是信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南,為等級(jí)保護(hù)的實(shí)施提供指導(dǎo)。 標(biāo)準(zhǔn)體系的基本思想概括為:以信息安全的五個(gè)屬性為基本內(nèi)容,
8、從實(shí)現(xiàn)信息安全的五個(gè)層面,按照信息安全五個(gè)等級(jí)的不同要求,分別對(duì)安全信息系統(tǒng)的構(gòu)建過(guò)程、測(cè)評(píng)過(guò)程和運(yùn)行過(guò)程進(jìn)行控制和管理,實(shí)現(xiàn)對(duì)不同信息類別按不同要求進(jìn)行分等級(jí)安全保護(hù)的總體目標(biāo)。 圖3信息安全等級(jí)保護(hù)基本思想圖4信息安全等級(jí)保護(hù)分級(jí)、分層及控制過(guò)程 2安全評(píng)估標(biāo)準(zhǔn)比較分析2.1側(cè)重于對(duì)系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)方面的標(biāo)準(zhǔn)TCSEC、ITSEC、CPCPEC、CC、ISO15408之間的比較 從圖1中可以看出,信息評(píng)估標(biāo)準(zhǔn)是經(jīng)歷了TCSEC、ITSEC、CPCPEC、CC、ISO15408這5個(gè)發(fā)展階段,最初的TCSEC是針對(duì)孤立計(jì)算機(jī)系統(tǒng)提出的,該標(biāo)準(zhǔn)適用于軍隊(duì),開(kāi)始時(shí)應(yīng)用在OS的評(píng)估上,TCSE
9、C與ITSEC均是不涉及開(kāi)放系統(tǒng)的安全標(biāo)準(zhǔn),僅針對(duì)產(chǎn)品的安全保證要求來(lái)劃分等級(jí)并進(jìn)行評(píng)測(cè),并均為靜態(tài)模型,僅能反應(yīng)靜態(tài)安全狀況,CPCPEC雖在兩者的基礎(chǔ)上有一定的發(fā)展,但也未能突破上述的局限性,F(xiàn)C對(duì)TCSEC做了補(bǔ)充和修改,但因其自身的缺陷一直沒(méi)有正式投入使用。CC與早期的評(píng)估標(biāo)準(zhǔn)相比,其優(yōu)勢(shì)體現(xiàn)在其結(jié)構(gòu)的開(kāi)放性、表達(dá)方式的通用性以及結(jié)構(gòu)和表達(dá)方式的內(nèi)在完備性和實(shí)用性等方面??傮w來(lái)說(shuō),各標(biāo)準(zhǔn)適用范圍略有不同,各有優(yōu)劣。 標(biāo)準(zhǔn)名稱公布時(shí)間標(biāo)準(zhǔn)區(qū)域使用范圍安全定義安全模型評(píng)估級(jí)別 TCSEC1985美國(guó)軍用標(biāo)準(zhǔn)、延至民用機(jī)密性靜態(tài)四類八個(gè)級(jí)別 ITSEC1991歐洲軍用、政府用和商用機(jī)密性、完
10、整性和可用性靜態(tài)評(píng)估級(jí)別E1-E6 CPCPEC1992北美政府機(jī)密性、完整性、可用性、可控性靜態(tài)評(píng)估級(jí)別05級(jí) CC1996北美和歐盟軍用、政府用和商用機(jī)密性、完整性和可用性、可控性、責(zé)任可追查性動(dòng)態(tài)評(píng)估級(jí)別EAL1-EAL7 ISO154081999國(guó)際軍用、政府用和商用機(jī)密性、完整性和可用性、可控性、責(zé)任可追查性動(dòng)態(tài)評(píng)估級(jí)別EAL1-EAL7 GB/T18336-20012001中國(guó)軍用、政府用和商用機(jī)密性、完整性和可用性、可控性、責(zé)任可追查性動(dòng)態(tài)5個(gè)保護(hù)等級(jí) 2.2CC標(biāo)準(zhǔn)與BS7799的異同點(diǎn) CC(即GB/T18336:2001idtISO/IEC15408:1999)和BS779
11、9標(biāo)準(zhǔn)的共同點(diǎn)表現(xiàn)在以下四個(gè)方面: 兩個(gè)標(biāo)準(zhǔn)所涉及的范圍從大的角度來(lái)說(shuō)都是信息安全領(lǐng)域; 兩個(gè)標(biāo)準(zhǔn)對(duì)信息安全的定義相同,都是指對(duì)信息保密性、完整性和可用性的保護(hù); 兩個(gè)標(biāo)準(zhǔn)對(duì)信息安全風(fēng)險(xiǎn)的定義基本相同,都是從資產(chǎn)、威脅、薄弱點(diǎn)和影響來(lái)考察風(fēng)險(xiǎn); 兩個(gè)標(biāo)準(zhǔn)都針對(duì)不同的風(fēng)險(xiǎn)提出了相應(yīng)的控制目標(biāo)和控制措施。 兩個(gè)標(biāo)準(zhǔn)之間最主要的區(qū)別在于著眼點(diǎn)的不同,簡(jiǎn)單地說(shuō),這兩個(gè)標(biāo)準(zhǔn)之間沒(méi)有任何緊密聯(lián)系,它們沒(méi)有相同或類似的主題。CC側(cè)重于對(duì)系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo),旨在支持產(chǎn)品(最終是指已經(jīng)在系統(tǒng)中安裝了的產(chǎn)品,雖然目前指的是一般產(chǎn)品)中IT安全特征的技術(shù)性評(píng)估。ISO/IEC15408標(biāo)準(zhǔn)還有一個(gè)重要作用,即它可
12、以用于描述用戶對(duì)安全性的技術(shù)需求。BS7799則偏重于安全管理方面的要求。它不是一篇技術(shù)標(biāo)準(zhǔn),而是管理標(biāo)準(zhǔn)。它處理的是對(duì)IT系統(tǒng)中非技術(shù)內(nèi)容的檢查。這些內(nèi)容與人員、流程、物理安全以及一般意義上的安全管理有關(guān)。ISO/IEC17799的目的是”為信息安全管理提供建議,供那些在其機(jī)構(gòu)中負(fù)有安全責(zé)任的人使用。它旨在為一個(gè)機(jī)構(gòu)提供用來(lái)制定安全標(biāo)準(zhǔn)、實(shí)施有效的安全管理時(shí)的通用要素,并得以使跨機(jī)構(gòu)的交易得到互信”。 CC中雖對(duì)信息安全管理方面提出了一定的要求,但這些管理要求是孤立、相對(duì)靜止的、不成體系的。同樣,BS7799也涉及極小部分的技術(shù)指標(biāo),但僅限于管理上必須的技術(shù)指標(biāo)。因此在這一方面兩個(gè)標(biāo)準(zhǔn)對(duì)其重
13、點(diǎn)強(qiáng)調(diào)部分可互相補(bǔ)充和借鑒,例如在按照BS7799建立體系時(shí)候,可以制定組織的信息產(chǎn)品和系統(tǒng)的采購(gòu)策略,要求采購(gòu)?fù)ㄟ^(guò)CC認(rèn)證的產(chǎn)品。 3安全評(píng)估標(biāo)準(zhǔn)中面臨的問(wèn)題及進(jìn)一步完善方法3.1建立多邊安全的安全功能 安全評(píng)估標(biāo)準(zhǔn)從一開(kāi)始就偏重于僅對(duì)系統(tǒng)擁有者和操作者的保護(hù),用戶的安全,特別是通信系統(tǒng)用戶的安全則沒(méi)有被考慮,因此提供雙邊或多邊安全的各種技術(shù),就不能用當(dāng)前標(biāo)準(zhǔn)來(lái)正確的描述。 3.2增強(qiáng)標(biāo)準(zhǔn)的可操作性 目前的信息安全評(píng)估標(biāo)準(zhǔn)只是制定了一個(gè)框架,明確了標(biāo)準(zhǔn)的主體,但是可操作性不強(qiáng),具體的步驟需要大量文檔進(jìn)行補(bǔ)充,而且評(píng)估結(jié)果最終是一個(gè)客觀參考性的結(jié)構(gòu),對(duì)企業(yè)的實(shí)際指導(dǎo)意義不強(qiáng)。 3.3加強(qiáng)國(guó)內(nèi)安
14、全標(biāo)準(zhǔn)的研究 從溝通交流的角度說(shuō),最好全世界只有一個(gè)標(biāo)準(zhǔn),從國(guó)家安全的角度說(shuō),最好所有的標(biāo)準(zhǔn)都和國(guó)外的不同,就像中國(guó)和俄羅斯之間的鐵路一樣,軌距是不同的。標(biāo)準(zhǔn)意味著開(kāi)放,互通,弱點(diǎn)公開(kāi),如果你自豪的宣稱你的系統(tǒng)達(dá)到了CCEAL4安全級(jí)別,那就意味著你同時(shí)也具有EAL4級(jí)缺陷,采用EAL5分析方法就可以解決。 目前國(guó)外的標(biāo)準(zhǔn)基本是由政府出資由有關(guān)的職能團(tuán)隊(duì)開(kāi)發(fā)而來(lái)的,從2006年在西班牙召開(kāi)的ISO/IECJTC1/SC27工作組會(huì)議上來(lái)看,我國(guó)目前在信息標(biāo)準(zhǔn)化的組織結(jié)構(gòu)、工作程序等基本運(yùn)作機(jī)制上于國(guó)際標(biāo)準(zhǔn)化組織保持了一致,但是目前我國(guó)在標(biāo)準(zhǔn)的制定及參與方面都有待于進(jìn)一步的加強(qiáng),我們的很多單位卻在盲目地摘抄7799/17799。只有積極參與國(guó)際標(biāo)準(zhǔn)制定,建立穩(wěn)定的國(guó)際標(biāo)準(zhǔn)跟蹤,研究隊(duì)伍,才能對(duì)國(guó)際信息安全發(fā)展形成全面的認(rèn)識(shí)、而踏踏實(shí)實(shí)做好基礎(chǔ)性理論研究,形成我們自己的看法,拿出我們自己的東西,才是我們更應(yīng)該做的。 4總結(jié) 本文從側(cè)重產(chǎn)品的技術(shù)指標(biāo)和側(cè)重安全管理這二方面介紹了國(guó)內(nèi)外現(xiàn)有的信息安全評(píng)估標(biāo)準(zhǔn),并對(duì)這些標(biāo)準(zhǔn)的特點(diǎn)、應(yīng)用方式、適用范圍和實(shí)用價(jià)值進(jìn)行了詳細(xì)的比較、討論;最后研究了安全評(píng)估標(biāo)準(zhǔn)中面臨的問(wèn)題及進(jìn)一步完善方法。 參考文獻(xiàn) 1陳星胡嘯國(guó)際信息安全標(biāo)準(zhǔn)熱點(diǎn)問(wèn)題與發(fā)展趨勢(shì)信息技術(shù)與標(biāo)準(zhǔn)化2003年
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 《骨腫瘤x線表現(xiàn)》課件
- 《城市工程改造倫理》課件
- 合伙開(kāi)臺(tái)球廳合同協(xié)議書
- 《顯像管電路-習(xí)題》課件
- 2025年淮安貨運(yùn)資格證考題
- 2025年寧德貨運(yùn)從業(yè)資格證模擬考試題
- 2025年成都貨運(yùn)從業(yè)資格證考題500道題
- 2025年南京貨運(yùn)從業(yè)資格試題答案解析
- 第七單元 語(yǔ)文園地七-人教部編版(含答案)
- 醫(yī)院建設(shè)變更協(xié)議
- 2024屆高考英語(yǔ)詞匯3500左右
- 剪刀式登高車安全技術(shù)交底
- 2024-2030年國(guó)內(nèi)環(huán)保垃圾桶行業(yè)市場(chǎng)發(fā)展分析及發(fā)展前景與投資機(jī)會(huì)研究報(bào)告
- 2023-2024學(xué)年云南省昆明市呈貢區(qū)九年級(jí)(上)期末物理試卷
- 兒科吸痰小講課
- 全國(guó)職業(yè)院校技能大賽高職組(社區(qū)服務(wù)實(shí)務(wù)賽項(xiàng))考試題及答案
- 資金支付管理辦法實(shí)施細(xì)則
- 《數(shù)學(xué)廣角-集合》說(shuō)課稿
- 國(guó)家突發(fā)公共衛(wèi)生事件應(yīng)急預(yù)案(2006年02月26日)
- 2024年+H1綜藝廣告大盤報(bào)告-66正式版
- 參觀河南省博物院
評(píng)論
0/150
提交評(píng)論