信息安全评估标准的研究和比较.doc

信息安全评估标准的研究和比较  摘 要 信息安全评估标准是对信息安全产品或系统进行安全水平测定、评估的一类标准，本文介绍了国内外现有的信息安全评估标准，并对这些标准的特点、应用方式、适用范围和实用价值进行了详细的比较、讨论；最后研究了安全评估标准中面临的问题及进一步完善方法。 关键词 信息安全 评估标准 TCSEC ITSEC CC BS7799/ISO7799 GB17859-1999 0 引言 进入21世纪，信息化对经济社会发展的影响更加深刻。全球信息化正在引发当今世界的深刻变革，重塑世界政治、经济、社会、文化和军事发展的新格局。信息资源日益成为重要生产要素、无形资产和社会财富。信息安全的重要性与日俱增，成为各国面临的共同挑战。在《2006－2020年国家信息化发展战略》中，“建设国家信息安全保障体系”已经做为我国信息化发展的9大战略重点之一【1】。 信息安全评估是指评估机构依据信息安全评估标准，采用一定的方法（方案）对信息安全产品或系统安全性进行评价【2】。信息安全评估标准是信息安全评估的行动指南。在信息安全管理领域里，由于标准众多，对于标准的争论从未停息过，有ISO/IEC的国际标准17799、13335；西方国家，有美国国家标准和技术委员会（NIST）的特别出版物系列、英国标准协会（BSI）的7799系列；在我国，有风险管理、灾难恢复的国家政策。本文将对目前主要使用的标准：TCSEC ITSEC CC ISO15408 BS7799/ISO7799 GB17859-1999进行逐一介绍并进行比较。 1 安全评估标准介绍 国际上针对计算机安全的等级防护和评估制定了多个标准，其发展过程和关系见下图： 图 1 1.1 侧重于对系统和产品的技术指标方面的标准 美国国防部于1985年公布可信的计算机系统安全评估标准（TCSEC，从橘皮书到彩虹系列），是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级别，对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。 法、英、荷、德欧洲四国90年代初联合发布信息技术安全评估标准（ITSEC，欧洲百皮书），它提出了信息安全的机密性、完整性、可用性的安全属性。ITSEC把可信计算机的概念提高到可信信息技术的高度上来认识，对国际信息安全的研究、实施产生了深刻的影响。 信息技术安全评价的通用标准（CC）由六个国家（美、加、英、法、德、荷）于1996年联合提出的，并逐渐形成国际标准ISO15408。CC标准是第一个信息技术安全评价国际标准，它的发布对信息安全具有重要意义，是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。该标准定义了评价信息技术产品和系统安全性的基本准则，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效地实施这些功能的保证要求。 1.2 偏重于安全管理方面的标准 图2 1995年，英国贸工部根据英国国内企业对信息安全日益高涨的呼声，组织大企业的信息安全经理们，制定了世界上第一个信息安全管理体系标准BS7799-1：1995《信息安全管理实施规则》，作为工商业和大、中、小型组织实施信息安全管理的指南。 1998年，为了适应第三方认证的需要，英国又制定了第一个信息安全管理体系认证标准-- BS7799-2：1998《信息安全管理体系规范》，作为对一个组织的全面或部分信息安全管理体系进行评审认证的依据标准。 1999年，鉴于计算机和信息处理技术，尤其是网络和通信领域应用的迅速发展，英国又对信息安全管理体系标准进行了修订。修订后的BS7799-1：1999和BS7799-2：1999分别取代了BS7799-1：1995和BS7799-2：1998。新修订的1999版标准进一步强调了组织在商务工作中所涉及的信息安全和信息安全责任。 BS7799-1：1999和BS7799-2：1999是一对配套标准，BS7799-1：1999为如何建立和实施符合BS7799-2：1999标准要求的信息安全管理体系提供了最佳的应用建议。 2000年12月，BS7799-1：1999已经被ISO/IEC正式采纳成为国际标准 -- ISO/IEC 17799：2000《信息技术 — 信息安全管理实施规则》，另外，BS7799-2：1999也于2005年底被ISO/IEC作为蓝本修订后成为可用于认证的ISO/IEC的《信息安全管理体系规范》。ISO/IEC 27001:2005《信息安全管理体系规范》。 1.3 我国目前的安全评估