標準參考：常用的各項信息安全標準

申請免費試用、咨詢電話：400-8352-114

常用的各項信息安全標準 1

引言

在席卷全球的信息化浪潮中，我國的信息網(wǎng)絡建設也獲得了快速發(fā)展，從“政府上網(wǎng)辦公—電子政務”到“企業(yè)上網(wǎng)采購—電子商務”，網(wǎng)絡已經(jīng)滲透到各行各業(yè)和人民的生活，網(wǎng)絡正逐步改變著人們的生產(chǎn)和生活方式，推動著企業(yè)進步和機制、體制的不斷改革。伴隨著國內(nèi)網(wǎng)絡建設高潮而來的計算機和網(wǎng)絡犯罪也不斷出現(xiàn)，網(wǎng)絡信息安全問題日益突顯出來，信息網(wǎng)絡的安全一旦遭受破壞，其影響或損失將十分巨大。

隨著人們對信息安全認識的深入，信息安全標準逐漸成為信息安全領域中普遍應用的標準。對廣大產(chǎn)品提供商來說，生產(chǎn)符合標準的信息安全產(chǎn)品、參與信息安全標準的制定、通過相關的信息安全方面的認證，對于提高廠商形象、擴大市場份額具有重要意義；對用戶而言，了解產(chǎn)品標準有助于選擇更好的安全產(chǎn)品，了解評測標準則可以科學地評估系統(tǒng)的安全性，了解安全管理標準則可以建立實施信息安全管理體系；對普通技術人員來講，了解信息安全標準的動態(tài)可以站在信息安全產(chǎn)業(yè)的前沿，有助于把握信息安全產(chǎn)業(yè)整體的發(fā)展方向。

下面對常用的ISO15408/CC、ISO13335、SSE-CMM進行介紹。

1.ISO15408

ISO/IECl5408—1999《信息技術安全技術信息技術安全性評估準則》(簡稱CC)是國際標準化組織統(tǒng)一現(xiàn)有多種評估準則的努力結(jié)果，是在美國和歐洲等國分別自行推出并實踐測評準則及標淮的基礎上，通過相互間的總結(jié)和互補發(fā)展起來的。

CC標準是第一個信息技術安全評價國際標準，它的發(fā)布對信息安全具有重要意義，是信息技術安全評價標準以及信息安全技術發(fā)展的一個重要里程碑。

CC定義了作為評估信息技術產(chǎn)品和系統(tǒng)安全性的基礎準則，提出了目前國際上公認的表述信息技術安全性的結(jié)構，即把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求以及解決如何正確有效地實施這些功能的保證要求。功能和保證要求又以“類—子類—組件”的結(jié)構表述，組件作為安全功能的最小構件塊，可以用于“保護輪廓”、“安全目標”和“包”的構建，例如由保證組件構成典型的包—“評估保證級”。另外，功能組件還是連接CC與傳統(tǒng)安全機制和服務的橋粱，以及解決CC同已有準則如TCSEC、ITSEC的協(xié)調(diào)關系，如功能組件構成TCSEC的各級要求。

CC分為3個部分：第1部分“簡介和一般模型”，正文介紹了CC中的有關術語、基木概念和一般模型以及與評估有關的一些框架，附錄部分主要介紹“保護輪廓”和“安全目標”的基本內(nèi)容；第2部分“安全功能要求”，按“類—子類—組件”的方式提出安全功能要求，每一個類除正文以外，還有對應的提示性附錄作進一步解釋；第3部分“安全保證要求”，定義了評估保證級別，介紹了“保護輪廓”和“安全目標”的評估，并按“類—子類—組件”的方式提出安全保證要求。CC的三個部分相互依存，缺一不可。其中，第1部分是介紹CC的基本概念和基本原理，第2部分提出了技術要求，第3部分提出了非技術要求和對開發(fā)過程、工程過程的要求。這3部分的有機結(jié)合具體體現(xiàn)在“保護輪廓”和“安全目標”中，“保護輪廓”和“安全目標”的概念和原理由第1部分介紹。“保護輪廓”和“安全目標”中的安全功能要求和安全保證要求在第2、3部分選取，這些安全要求的完備性和一致性由第2、3部分來保證。

CC標準的核心思想有兩點：一是信息安全技術提供的安全功能本身和對信息安全技術的保證承諾之間獨立；二是安全工程的思想，即通過對信息安全產(chǎn)品的開發(fā)、評價、使用全過程的各個環(huán)節(jié)實施安全工程來確保產(chǎn)品的安全性。

CC標準強調(diào)在IT產(chǎn)品和系統(tǒng)的整個生命周期確保安全性，因此，CC標準可以同時面向消費者、開發(fā)者、評價者3類用戶，同時支持他們的應用。對應3種不同的用戶，CC標準有3種主要應用方式：定義安全需求、輔助安全產(chǎn)品開發(fā)、評價產(chǎn)品安全性。

圖1是ISO15408的安全模型。

2.ISO13335

ISO13335《IT安全管理方針》的主要目的是給出如何有效地實施IT安全管理的建議和指南，該標準目前分為5個部分。

第1部分：IT安全的概念和模型(ConceptsandmodelsforITSecurity），發(fā)布于1996年。該部分包括了對IT安全和安全管理的一些基本概念和模型的介紹。

第2部分：IT安全的管理和計劃(ManagingandplanningITSecurity），發(fā)布于1997年。這個部分建議性地描述了IT安全管理和計劃的方式和要點，包括：

●決定IT安全目標、戰(zhàn)略和策略；

●決定組織IT安全需求；

●管理IT安全風險；

●計劃適當IT安全防護措施的實施；

●開發(fā)安全教育計劃；

●策劃跟進的程序，如監(jiān)控、復查和維護安全服務；

●開發(fā)事件處理計劃。

第3部分：IT安全的技術管理(TechniquesforthemanagementofITSecurity），發(fā)布于1998年。這個部分覆蓋了風險管理技術、IT安全計劃的開發(fā)以及實施和測試，還包括一些后續(xù)的制度審查、事件分析、IT安全教育程序等。

第4部分：防護的選擇(Selectionofsafeguards），發(fā)布于2000年。主要探討如何針對一個組織的特定環(huán)境和安全需求來選擇防護措施(不僅僅包括技術措施)。

第5部分：外部聯(lián)接的防護(Safeguardsforexternalconnections），發(fā)布于2001年。這部分主要描述了網(wǎng)絡安全的管理原則以及各組織如何建立框架以保護和管理信息技術體系的安全性。這一部分將有助于防止網(wǎng)絡攻擊，把使用IT系統(tǒng)和網(wǎng)絡的危險性降到最低。

ISO13335具有以下特點：

（1）不同的信息安全概念在常見的很多信息安全文獻中，定義“信息安全”主要包括3個方面：機密性、完整性、可用性，而在ISO13335-1中給出了IT安全6個方面的含義：

●Confidentiality(保密性)—確保信息不被非授權的個人、實體或者過程獲得訪問；

●Integrity(完整性)—包含數(shù)據(jù)的完整性，即保證數(shù)據(jù)不被非法地改動或銷毀；同樣還包含系統(tǒng)的完整性，即保證系統(tǒng)按照預定的功能運行，不受有意或無意的非法操作所破壞；

●Availability(可用性)—保證授權實體在需要時可以正常地訪問和使用系統(tǒng)；

●Accountability(審計性)—確保一個實體的訪問可以被唯一的鑒別、跟蹤和記錄；

●Authenticity(認證性)—確認和識別一個主體或資源就是其所聲稱的，被認證的可以是用戶、進程、系統(tǒng)和信息等；

●Reliability(可靠性)—保證預期的行為和結(jié)果的一致性；

可以看出，ISO13335-1中對安全6個要點的闡述是對傳統(tǒng)3要點的更細致的定義，對信息安全工作有很重要的指導意義。在ISO13335-4中就針對6方面的安全需求分別列出了一系列的安全防護措施。

（2）以風險為核心的安全模型

在ISO13335中定義了如下幾個關鍵要素：

●Assets(資產(chǎn))—包括硬件、軟件、數(shù)據(jù)、服務、文檔、人員、企業(yè)形象等。

●Threats(威脅)—對系統(tǒng)、組織和資產(chǎn)等可能引起的不良影響。這些影響可能是由環(huán)境、人員、系統(tǒng)等造成的。

●Vulnerabilities(漏洞)—是存在于系統(tǒng)各方面的脆弱性。這些漏洞可能存在于組織結(jié)構、業(yè)務流程、物理環(huán)境、人員管理、硬件、軟件或者信息本身。

●Impact(影響)—是不希望出現(xiàn)的一些事件。這些事件導致信息在保密性、完整性、可用性、審計性、認證性、可靠性等方面的損失，并且造成信息資產(chǎn)的損失。

●Risk(風險)—威脅信息系統(tǒng)的漏洞，引起的一些事件。對信息資產(chǎn)造成一些不良影響的可能性。整個安全管理實際上就是風險管理。

●Safeguards(防護措施)—是為了降低風險所采用的解決辦法。這些措施有些是在環(huán)境方面的，如：門禁系統(tǒng)、人員安全管理、防火措施、電源等；有些措施是技術方面的，如：防火墻、網(wǎng)絡監(jiān)控和分析、加密、數(shù)字簽名、防病毒、備份和恢復、訪問控制、PKI等。

●ResidualRisk(剩余風險)—在經(jīng)過一系列安全控制和安全措施之后，信息安全的風險會降低，但是絕對不會完全消失，會存在一些剩余風險。對這些風險可能需要用其他方法處理，如：轉(zhuǎn)嫁或者承受。

●Constraints(約束）—是一些組織實施安全管理時所受到的環(huán)境影響，不能完全按照理想的方式執(zhí)行。這些約束可能來自組織結(jié)構、財務能力、環(huán)境限制、人員素質(zhì)、時間、法律、技術、文化和社會等方面。