信息系统安全与评测策略研究.pdf

广 东 水 利 电力 职 业 技 术 学 院 学 报 第4 卷第2 期 Journal of Guangdong Technical College of Water Vol .4 No . 2 2006 年 6 月 Resources and Electric Engineering Jun . 2006 信息系统安全 与评测策略研 究 陆 川’，杨劲涛z ( .广东水利电力职业技术学院，广东 广州 5 0635;2 .广东工业大学计算机学院，广东 广州 5 0090) 摘 要:详细分析信息系统安全的问题域，研究如何对信息安全进行评测，据此提 出系统安全评测工程 的模式、过程和评测的基本策略，同时简要论述 ISS测评的未来研究方向。 关键词:信息系统;安全;评测;研究 中图分类号M09: 文献标识码:A 文章编号: 672 一284 (2006)02 一0052 一。 随着计算机网络技术的发展，随着 电子商务、电子政务 等网上事务处理的 日益普及 ，信息系统安全( ISS) 的内涵在不 断丰富、外延在逐渐延伸 ，它也越来越引起社会的关注。当 前，对ISS 的第三方评测认证方兴未艾，国内已出现了多家评 测认证中心。然而他们大都仅对安全技术产品( 如防火墙) 提供评测认证 ，较少对 ISS作综合的、整体的评测。本文试图 对 ISS与评测认证模式进行探讨，提出适用于评测工程的策 略 。 对 ISS 及评测认证 的一般观点 人们对 ISS 的认识是在不断发展的。早期系统 自身的隐 患、故障和缺陷是ISS 的主要危害者; 随后通讯必威体育官网网址成为 ISS 图 信息系统安全(ISS) 的体系结构 的研究重点;计算机病毒出现后人们直接感受到病毒的危 害，ISS又几乎与防病毒划了等号;九十年代后随着网络技术 . 硬件和软件系统的安全 的迅速发展，防黑客入侵渐渐 占据了ISS 的重要地位。如果 从系统测评的角度出发，上述内容实际上都是当前测评认证 . . 硬件系统 硬件体系的安全是 ISS 的基础和最基本保障，绝对不可 中所要特别重视的问题 。 轻视。硬件设备可能出现的故障可以分成四类!’〕:物理损 90 年代 ，欧洲四国(英 、法、德、荷) 提出了信息技术安全 坏 、电磁泄漏 、通信网络的硬件故障及系统环境的安全。它 评价准则(ITSEC) ，其中提到了ISS 除了要关注信息的必威体育官网网址性 包括:设备使用寿命到期、断电故障、通信偶发性阻断导致的 外还要关注信息的完整性和可用性，即信息保障。ISS要求 数据丢失、电磁干扰 、意外事故 、自然灾害、人员活动等等因 在可靠性 、可控性 、可用性、完整性和必威体育官网网址性五个方面得到确 素。硬件方面的安全一般具备可管理的基础。关于这点，本 认 ，可归为两大类:一是系统 自身的健壮性要足够 ，为信息的 文不作展开 。 可靠性 、可控性 、可用性提供支撑 ，即不能因系统 内在缺陷、 隐患而造成信息方面的泄露、损失、变异和破坏;二是系统抵 . .2 软件系统 软件系统可划分为支持软件系统、应用软件系统和免疫 抗外部侵害的能力要强，如抗干扰、反病毒、抗人侵等能力， 主要是在面临危害时，能确保信息的完整性 、