信息安全評估

1、信息安全評估信息安全評估基本問題信息安全評估就是從風(fēng)險管理角度，運用科學(xué)的方法和手段， 系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅以及存在的脆弱性，評估安 全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防 護對策和整改措施。并為防范和化解信息安全風(fēng)險，或者將風(fēng)險控制 在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)和信息安全提供科學(xué)依 據(jù)。信息安全評估作為信息安全保障工作的基礎(chǔ)性工作和重要環(huán) 節(jié)，應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程。在網(wǎng)絡(luò)與信息系統(tǒng) 的設(shè)計、驗收及運行維護階段均應(yīng)當進行信息安全風(fēng)險評估。信息安全風(fēng)險評估是信息系統(tǒng)安全工程的重要組成部分，是建 立信息系統(tǒng)安全體系的基礎(chǔ)和前提。信息

2、安全評估標準簡述安全評估需要目標及良好定義的評估標準和方法，目前已有若 干個國際上認可的該類標準和方法。美國是最早進行IT安全評估標 準開發(fā)工作的國家，如今這項工作已經(jīng)成為一項世界性的工作。為提高我國計算機信息系統(tǒng)安全保護水平，1999年國家質(zhì)量技 術(shù)監(jiān)督局參照美國的TCSEC及TNI發(fā)布了國家標準GB17859-1999計 算機信息安全保護等級劃分準則，它是建立安全等級保護制度、實 施安全等級管理的重要基礎(chǔ)性標準。該標準是我國計算機信息系統(tǒng)保 護等級系列標準的第一部分，其他數(shù)十個相關(guān)標準的制定工作還在緊 張進行。自從CC1.0版公布后，我國相關(guān)部門就一直密切關(guān)注著它的 發(fā)展情況，并對該版本做

3、了大量的研究工作。2001年，國家質(zhì)量技 術(shù)監(jiān)督局正式頒布了援引CC的國家標準GB/T18336-2001信息技術(shù) 安全技術(shù)信息技術(shù)安全性評估準則下面介紹幾種國際上認可的信息系統(tǒng)安全評估標準。（1）可信計算機系統(tǒng)評估準則（TCSEC）1983年美國國防部首次公布了可信計算機系統(tǒng)評估準則（TCSEC）用于對操作系統(tǒng)的評估，這是IT歷史上的第一個安全評估 標準，1985年公布了第二版。TCSEC為業(yè)界所熟知的名字是“橘皮 書”。為了針對網(wǎng)絡(luò)、安全系統(tǒng)和數(shù)據(jù)庫具體情況來應(yīng)用橘皮書準則， 美國國防部計算機安全評估中心又制定并出版了三個解釋性檔：可 信網(wǎng)絡(luò)解釋、計算機安全子系統(tǒng)解釋和可信數(shù)據(jù)庫解釋，這

4、三個解釋性檔和橘皮書被合稱為美國計算機系統(tǒng)安全評估標準彩虹 系列。（2）信息技術(shù)安全性評估準則（ITSEC）信息技術(shù)安全性評估準則（ITSEC）是英國、德國、法國和荷 蘭四個歐洲國家安全評估標準的統(tǒng)一與擴展，由歐共體委員會（CEC） 在1990年首度公布。ITSEC的目標在于成為國家認證機構(gòu)所進行的 認證活動的一致基準，并使評估結(jié)果相互承認。自1991年7月起， ITSEC一直被實際應(yīng)用在歐洲國家的評估和認證方案中。（3）可信網(wǎng)絡(luò)解釋（TNI）美國國防部計算機安全評估中心在完成TCSEC的基礎(chǔ)上，又組 織專門的研究組對可信網(wǎng)絡(luò)安全評估進行研究，并于1987年發(fā)布了 以TCSEC為基礎(chǔ)的可信網(wǎng)絡(luò)解釋，即TNI。TN1 包括兩部分（Parti 和 PartII）及三個附錄（APPENDIXA、B、C）0TNI 第一部分提供了在網(wǎng)絡(luò)作為一個單一系統(tǒng)進行評估時TCSEC中各個 等級（從1類八類）的解釋。第二部分以附加安全服務(wù)的形式提出 了在網(wǎng)絡(luò)互聯(lián)時出現(xiàn)的一些附加要求，這些要求主要是針對完整性、 可用性和保密性的。TNI的附錄A是第一部分的擴展，主要是關(guān)于網(wǎng) 絡(luò)