當代信息是否安全的標準研究

摘要:信息是否安全的標準是對信息產品或系統進行安全測定的一類標準，本文介紹了國內外現有的信息安全評估標準，并對這些標準進行了詳細的比較、討論;最后研究了安全評估標準中面臨的問題及進一步完善方法。

關鍵詞:信息安全評估標準

0 引言

信息全球化成為顯著的時代特征。今天，信息全球化已不再是一個停留在紙面上的名詞或概念，它已經全面進入我們的生活，在各方面產生著影響，并成為一個顯而易見的發展趨勢，同時，它還引發了當今世界的深刻變革。信息資源日益成為重要生產要素、無形資產和社會財富。信息安全重要性與日俱增，成為各國面臨的共同挑戰。在《2006-2020年國家信息化發展戰略》中，“建設國家信息安全保障體系”已經做為我國信息化發展的9大戰略重點之一。信息安全評估是指評估機構依據信息安全評估標準，采用一定的方法對信息產品或系統安全性進行評價。信息安全評估標準是信息安全評估的行動指南。在信息安全管理領域里，由于標準眾多，對于標準的爭論從未停息過，有ISO/IEC的國際標準17799、13335;有美國國家標準和技術委員會(NIST)的特別出版物系列、英國標準協會(BSI)的7799系列;在我國，有風險管理、災難恢復的國家政策。本文將對目前主要使用的標準:TCSEC ITSEC CC ISO15408 BS7799/ISO7799 GB17859-1999進行逐一介紹并進行比較。

1 安全評估標準介紹

國際上針對計算機安全的等級防護和評估制定了多個標準。

1.1 側重于對系統和產品的技術指標方面的標準 美國國防部于1985年公布可信的計算機系統安全評估標準(TCSEC，從橘皮書到彩虹系列)，是計算機系統信息安全評估的第一個正式標準。它把計算機系統的安全分為4類、7個級別，對用戶登錄、授權管理、訪問控制、審計跟蹤、隱蔽通道分析、可信通道建立、安全檢測、生命周期保障、文檔寫作、用戶指南等內容提出了規范性要求。法、英、荷、德歐洲四國90年代初聯合發布信息技術安全評估標準(ITSEC，歐洲百皮書)，它提出了信息安全的機密性、完整性、可用性的安全屬性。ITSEC把可信計算機的概念提高到可信信息技術的高度上來認識，對國際信息安全的研究、實施產生了深刻的影響。信息技術安全評價的通用標準(CC)由六個國家(美、加、英、法、德、荷)于1996年聯合提出的，并逐漸形成國際標準ISO15408。CC標準是第一個信息技術安全評價國際標準，它的發布對信息安全具有重要意義，是信息技術安全評價標準以及信息安全技術發展的一個重要里程碑。該標準定義了評價信息技術產品和系統安全性的基本準則，提出了目前國際上公認的表述信息技術安全性的結構，即把安全要求分為規范產品和系統安全行為的功能要求以及解決如何正確有效地實施這些功能的保證要求。

1.2 偏重于安全管理方面的標準 1995年，英國貿工部根據英國國內企業對信息安全日益高漲的呼聲，組織大企業的信息安全經理們，制定了世界上第一個信息安全管理體系標準BS7799-1:1995《信息安全管理實施規則》，作為工商業和大、中、小型組織實施信息安全管理的指南。1998年，為了適應第三方認證的需要，英國又制定了第一個信息安全管理體系認證標準——BS7799-2:1998《信息安全管理體系規范》，作為對一個組織的全面或部分信息安全管理體系進行評審認證的依據標準。1999年，鑒于計算機和信息處理技術，尤其是網絡和通信領域應用的迅速發展，英國又對信息安全管理體系標準進行了修訂。修訂后的BS7799-1:1999和BS7799-2:1999分別取代了BS7799-1:1995和BS7799-2:1998。新修訂的1999版標準進一步強調了組織在商務工作中所涉及的信息安全和信息安全責任。2000年12月，BS7799-1:1999已經被ISO/IEC正式采納成為國際標準——ISO/IEC 17799:2000《信息技術——信息安全管理實施規則》，另外，BS7799-2:1999也于2005年底被ISO/IEC作為藍本修訂后成為可用于認證的ISO/IEC的《信息安全管理體系規范》。ISO/IEC 27001:2005《信息安全管理體系規范》。

1.3 我國目前的安全評估標準 我國2001年由中國信息安全產品測評認證中心牽頭，將ISO/IEC 15408轉化為國家標準——GB/T 18336-2001《信息技術安全性評估準則》，并直接應用于我國的信息安全測評認證工作。其中，基礎性等級劃分標準GB17859—1999計算機信息系統安全保護等級劃分準則，是其他標準的基礎;是信息系統安全等級保護實施指南，為等級保護的實施提供指導。標準體系的基本思想概括為:以信息安全的五個屬性為基本內容，從實現信息安全的五個層面，按照信息安全五個等級的不同要求，分別對安全信息系統的構建過程、測評過程和運行過程進行控制和管理，實現對不同信息類別按不同要求進行分等級安全保護的總體目標。

2 安全評估標準比較分析

2.1 側重于對系統和產品的技術指標方面的標準TCSEC、ITSEC、CPCPEC、CC、ISO15408之間的比較 信息評估標準是經歷了TCSEC、ITSEC、CPCPEC、CC、ISO15408這5個發展階段，最初的TCSEC是針對孤立計算機系統提出的，該標準適用于軍隊，開始時應用在OS的評估上，TCSEC與ITSEC均是不涉及開放系統的安全標準，僅針對產品的安全保證要求來劃分等級并進行評測，并均為靜態模型，僅能反應靜態安全狀況，CPCPEC雖在兩者的基礎上有一定的發展，但也未能突破上述的局限性，FC對TCSEC做了補充和修改，但因其自身的缺陷一直沒有正式投入使用。CC與早期的評估標準相比，其優勢體現在其結構的開放性、表達方式的通用性以及結構和表達方式的內在完備性和實用性等方面。總體來說，各標準適用范圍略有不同，各有優劣。

2.2 CC標準與BS7799的異同點 CC和BS7799標準的共同點表現在以下四個方面:①兩個標準所涉及的范圍從大的角度來說都是信息安全領域;②兩個標準對信息安全的定義相同，都是指對信息保密性、完整性和可用性的保護;③兩個標準對信息安全風險的定義基本相同，都是從資產、威脅、薄弱點和影響來考察風險;④兩個標準都針對不同的風險提出了相應的控制目標和控制措施。兩個標準之間最主要的區別在于著眼點的不同，簡單地說，這兩個標準之間沒有任何緊密聯系，它們沒有相同或類似的主題。CC側重于對系統和產品的技術指標，旨在支持產品(最終是指已經在系統中安裝了的產品，雖然目前指的是一般產品)中IT安全特征的技術性評估。ISO/IEC15408標準還有一個重要作用，即它可以用于描述用戶對安全性的技術需求。BS7799則偏重于安全管理方面的要求。它不是一篇技術標準，而是管理標準。它處理的是對IT系統中非技術內容的檢查。這些內容與人員、流程、物理安全以及一般意義上的安全管理有關。ISO/IEC17799的目的是“為信息安全管理提供建議，供那些在其機構中負有安全責任的人使用。它旨在為一個機構提供用來制定安全標準、實施有效的安全管理時的通用要素，并得以使跨機構的交易得到互信”。CC中雖對信息安全管理方面提出了一定的要求，但這些管理要求是孤立、相對靜止的、不成體系的。同樣，BS7799也涉及極小部分的技術指標，但僅限于管理上必須的技術指標。因此在這一方面兩個標準對其重點強調部分可互相補充和借鑒，例如在按照BS7799建立體系時候，可以制定組織的信息產品和系統的采購策略，要求采購通過CC認證的產品。

3 安全評估標準中面臨的問題及進一步完善方法

3.1 建立多邊安全的安全功能 安全評估標準從一開始就偏重于僅對系統擁有者和操作者的保護，用戶的安全，特別是通信系統用戶的安全則沒有被考慮，因此提供雙邊或多邊安全的各種技術，就不能用當前標準來正確的描述。

3.2 增強標準的可操作性 目前的信息安全評估標準只是制定了一個框架，明確了標準的主體，但是可操作性不強，具體的步驟需要大量文檔進行補充，而且評估結果最終是一個客觀參考性的結構，對企業的實際指導意義不強。

3.3 加強國內安全標準的研究 從溝通交流的角度說，最好全世界只有一個標準，從國家安全的角度說，最好所有的標準都和國外的不同，就像中國和俄羅斯之間的鐵路一樣，軌距是不同的。標準意味著開放，互通，弱點公開，如果你自豪的宣稱你的系統達到了CCEAL4安全級別，那就意味著你同時也具有EAL4級缺陷，采用EAL5分析方法就可以解決。目前國外的標準基本是由政府出資由有關的職能團隊開發而來的，從2006年在西班牙召開的ISO/IECJTC1/SC27工作組會議上來看，我國目前在信息標準化的組織結構、工作程序等基本運作機制上于國際標準化組織保持了一致，但是目前我國在標準的制定及參與方面都有待于進一步的加強，我們的很多單位盲目地摘抄7799/17799。只有積極參與國際標準制定，建立穩定的國際標準跟蹤，研究隊伍，才能對國際信息安全發展形成全面的認識、而踏踏實實做好基礎性理論研究，形成我們自己的看法，拿出我們自己的東西，才是我們更應該做的。

4 總結

本文從產品的技術指標和安全管理這二方面介紹了國內外現有的信息安全評估標準，并對這些標準進行了詳細的比較、討論;最后研究了安全評估標準中面臨的問題及進一步完善方法。

參考文獻:

[1]陳星 胡嘯 國際信息安全標準熱點問題與發展趨勢 《信息技術與標準化》 2003年12期

[2]李守鵬，吳希唐.信息安全評估中的重要概念 《計算機安全》2000年.

[3]中國信息安全產品測試認證中心 國家標準GB/T 18336-2001介紹http://www.itsec.gov.cn.

[4]ISO17799(BS7799).

[5]ITSEC (the information technology security evaluation criteria version 1.2)1991.