1、第9章 信息系統(tǒng)安全評估9.1信息系統(tǒng)安全標準9.2信息系統(tǒng)安全評估標準9.3國際與國內(nèi)信息系統(tǒng)安全測評認證9.1信息系統(tǒng)安全標準9.1.1信息系統(tǒng)安全標準簡介9.1.2我國的信息系統(tǒng)安全標準9.1.1信息系統(tǒng)安全標準簡介信息系統(tǒng)安全標準是構(gòu)建國家信息安全保護體系必須具備的技術(shù)、管理規(guī)范。國家要盡快建立自主完善的標準體系，同時要加強標準的普及使用。特別是要在主機等主要設備的操作系統(tǒng)和數(shù)據(jù)庫安全技術(shù)、安全服務器技術(shù)和產(chǎn)品研發(fā)等方面實現(xiàn)迅速突破，為國家基礎信息系統(tǒng)及重要信息系統(tǒng)提供第二級以上信息安全等級保護產(chǎn)品。信息系統(tǒng)安全的標準化是一項艱巨、長期的基礎性工作。在我國，有關(guān)主管部門十分關(guān)注信息安全

2、標準化工作，在1984年7月組建了數(shù)據(jù)加密技術(shù)委員會，并于1997年8月改組成全國信息技術(shù)標準化委員會的信息安全技術(shù)分委員會，負責制定信息安全的國家標準，本著積極采用國際標準的原則，轉(zhuǎn)化了一批國際信息安全基礎技術(shù)標準。另外，公安部、安全部、國家保密局、國家密碼管理委員會等相繼制定、頒布了一批信息安全的行業(yè)標準，為推動信息安全技術(shù)在各行業(yè)的應用和普及發(fā)揮了積極的作用。9.1.2 我國的信息系統(tǒng)安全標準截至2002年初，我國正式頒布信息安全相關(guān)國家標準已達40多項，規(guī)定了信息安全的不同技術(shù)要求。下面分類列表說明。1.安全技術(shù)及安全機制相關(guān)國家標準（表9-1）表9-1 安全技術(shù)及安全機制相關(guān)國家標準

3、9.1.2 我國的信息系統(tǒng)安全標準3.信息安全評估相關(guān)國家標準（表9-3）表9-3 信息安全評估相關(guān)國家標準9.2 信息系統(tǒng)安全評估標準9.2.1安全評估標準及其發(fā)展9.2.2信息系統(tǒng)安全評估標準9.2.3信息系統(tǒng)安全評估標準所面臨的問題及改進建議9.2.1安全評估標準及其發(fā)展2.安全評估標準的發(fā)展在國際上，針對信息系統(tǒng)安全的等級防護和評估，先后制定了多個標準，其發(fā)展過程和關(guān)系見下圖（圖9-1）。但是，由于標準眾多，對于標準的爭論從未停息過。9.2.2 信息系統(tǒng)安全評估標準1.側(cè)重于對系統(tǒng)和產(chǎn)品的技術(shù)指標方面的標準 美國國防部于1985年公布可信的計算機系統(tǒng)安全評估標準（TCSEC，從橘皮書到

4、彩虹系列），是計算機系統(tǒng)信息安全評估的第一個正式標準。它把計算機系統(tǒng)的安全分為4類、7個級別，對用戶登錄、授權(quán)管理、訪問控制、審計跟蹤、隱蔽通道分析、可信通道建立、安全檢測、生命周期保障、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性要求。 法、英、荷、德歐洲四國90年代初聯(lián)合發(fā)布信息技術(shù)安全評估標準（ITSEC，歐洲百皮書），它提出了信息安全的機密性、完整性、可用性的安全屬性。ITSEC把可信計算機的概念提高到可信信息技術(shù)的高度上來認識，對國際信息安全的研究、實施產(chǎn)生了深刻的影響。9.2.2 信息系統(tǒng)安全評估標準2.偏重于安全管理方面的標準1995年，英國貿(mào)工部根據(jù)英國國內(nèi)企業(yè)對信息安全日益高漲的呼聲

5、，組織大企業(yè)的信息安全經(jīng)理們，制定了世界上第一個信息安全管理體系標準BS7799-1：1995信息安全管理實施規(guī)則，作為工商業(yè)和大、中、小型組織實施信息安全管理的指南。1998年，為了適應第三方認證的需要，英國又制定了第一個信息安全管理體系認證標準-BS7799-2：1998信息安全管理體系規(guī)范，作為對一個組織的全面或部分信息安全管理體系進行評審認證的依據(jù)標準。9.2.2 信息系統(tǒng)安全評估標準信息系統(tǒng)安全管理標準發(fā)展過程如圖9-2所示。9.2.2 信息系統(tǒng)安全評估標準3.我國目前的信息系統(tǒng)安全評估標準 我國2001年由中國信息安全產(chǎn)品測評認證中心牽頭，將ISO/IEC 15408轉(zhuǎn)化為國家標準

6、GB/T 18336-2001信息技術(shù)安全性評估準則，并直接應用于我國的信息安全測評認證工作。其中，基礎性等級劃分標準-GB178591999計算機信息系統(tǒng)安全保護等級劃分準則是其他標準的基礎，是信息系統(tǒng)安全等級保護實施指南，為等級保護的實施提供指導。標準體系的基本思想概括為（如圖9-3）：以信息安全的五個屬性為基本內(nèi)容，從實現(xiàn)信息安全的五個層面，按照信息安全五個等級的不同要求，分別對安全信息系統(tǒng)的構(gòu)建過程、測評過程和運行過程等三個過程進行控制和管理，實現(xiàn)對不同信息類別按不同要求進行分等級安全保護的總體目標。9.2.2 信息系統(tǒng)安全評估標準五個屬性是指: 機密性、完整性和可用性、可控性、責任可

7、追查性。五個層面是指：物理層面、網(wǎng)絡層面、系統(tǒng)層面、應用層面、管理層面。五個等級是指：用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結(jié)構(gòu)化保護級、訪問驗證保護級。以第一級為基礎，逐級增強保護能力。安全保護能力方面，第一級為基礎級，安全保護能力從第一級到第五級訪問驗證保護級，逐級增強。在安全登記保護標準方面，安全保護范圍從第一級到第五級逐漸縮小，級別越高，保護強度越高，保護的范圍越小，級別越低，保護的強度越低，保護范圍越大。9.2.2 信息系統(tǒng)安全評估標準三個過程控制是指：構(gòu)建過程控制、測評過程控制、執(zhí)行過程控制。9.2.3 信息系統(tǒng)安全評估標準比較分析1.側(cè)重于對系統(tǒng)和產(chǎn)品的技術(shù)指標方面的標

8、準TCSEC、ITSEC、CPCPEC、CC、ISO15408之間的比較 從圖9-1中可以看出，信息評估標準是經(jīng)歷了TCSEC、ITSEC、CPCPEC、CC、ISO15408五個發(fā)展階段，最初的TCSEC是針對孤立計算機系統(tǒng)提出的，該標準適用于軍隊，開始時應用在OS的評估上，TCSEC與ITSEC均是不涉及開放系統(tǒng)的安全標準，僅針對產(chǎn)品的安全保證要求來劃分等級并進行評測，并均為靜態(tài)模型，僅能反應靜態(tài)安全狀況，CPCPEC雖在兩者的基礎上有一定的發(fā)展，但也未能突破上述的局限性，F(xiàn)C對TCSEC做了補充和修改，但因其自身的缺陷一直沒有正式投入使用。CC與早期的評估標準相比，其優(yōu)勢體現(xiàn)在其結(jié)構(gòu)的開

9、放性、表達方式的通用性以及結(jié)構(gòu)和表達方式的內(nèi)在完備性和實用性等方面?？傮w來說，各標準適用范圍略有不同，各有優(yōu)劣。這里將對目前主要使用的標準：TCSEC、ITSEC、CC、ISO15408等進行簡要介紹和比較。如表9-7和表9-8所示。9.2.3 信息系統(tǒng)安全評估標準比較分析2.CC標準與BS 7799的異同點CC（即GB/T 18336:2001 idt ISO/IEC 15408:1999）和BS 7799標準的共同點表現(xiàn)在以下四個方面：（1）兩個標準所涉及的范圍從大的角度來說都是信息安全領域；（2）兩個標準對信息安全的定義相同，都是指對信息保密性、完整性和可用性的保護；（3）兩個標準對信息

10、安全風險的定義基本相同，都是從資產(chǎn)、威脅、薄弱點和影響來考察風險；（4）兩個標準都針對不同的風險提出了相應的控制目標和控制措施。9.2.4 信息系統(tǒng)安全評估標準所面臨的問題及改進建議1.建立多邊安全的安全功能 安全評估標準從一開始就偏重于僅對系統(tǒng)擁有者和操作者的保護，用戶的安全，特別是通信系統(tǒng)用戶的安全則沒有被考慮，因此提供雙邊或多邊安全的各種技術(shù)，就不能用當前標準來正確的描述。2.增強標準的可操作性 目前的信息安全評估標準只是制定了一個框架，明確了標準的主體，但是可操作性不強，具體的步驟需要大量文檔進行補充，而且評估結(jié)果最終是一個客觀參考性的結(jié)構(gòu)，對企業(yè)的實際指導意義不強。9.2.4 信息系

11、統(tǒng)安全評估標準所面臨的問題及改進建議3.加強國內(nèi)信息系統(tǒng)安全評估標準的研究 從溝通交流的角度說，最好全世界只有一個標準，從國家安全的角度說，最好所有的標準都和國外的不同，就像中國和俄羅斯之間的鐵路一樣，軌距是不同的。標準意味著開放，互通，弱點公開，如果你自豪的宣稱你的系統(tǒng)達到了CC EAL4安全級別，那就意味著你同時也具有EAL4級缺陷，采用EAL5分析方法就可以解決。9.3 國際與國內(nèi)信息系統(tǒng)安全測評認證9.3.1測評認證的概念9.3.2測評認證的標準與規(guī)范9.3.3測評認證的方法與流程9.3 國際與國內(nèi)信息系統(tǒng)安全測評認證信息系統(tǒng)安全測評認證制度是維護國家安全、加強信息安全保障體系建設的重

12、要手段。早期的信息系統(tǒng)安全標準主要是在產(chǎn)品和組件級上提出安全要求，各國的信息系統(tǒng)安全測評認證工作也曾一度圍繞產(chǎn)品而展開。隨著人們對信息系統(tǒng)安全的認識的深化，以及信息系統(tǒng)安全保障體系建設的開展和政府對信息安全宏觀管理的需要，系統(tǒng)級上的測評認證工作已經(jīng)在很多國家得到重視，與之相關(guān)的研究也在大力開展。但信息系統(tǒng)安全的評估、認證與認可是個復雜的問題。其復雜性不但有來源于信息系統(tǒng)安全本身，更來源于評估中涉及的角色、責任、流程以及行政管理問題。本節(jié)將簡要介紹國內(nèi)外信息系統(tǒng)安全測評認證情況，探討信息系統(tǒng)安全測評認證的方法、流程和標準。9.3.1 測評認證的概念1.什么是測評認證？測評認證是現(xiàn)代質(zhì)量認證制度的

13、重要內(nèi)容，其實質(zhì)是由一個中立的權(quán)威機構(gòu)，通過科學、規(guī)范、公正的測試和評估向消費者、購買者（即需方）證實生產(chǎn)者或供方所提供的產(chǎn)品和服務，符合公開、客觀和先進的標準。具體言之，測評認證的對象是產(chǎn)品或過程、服務；它的依據(jù)是國家標準、行業(yè)標準或認證機構(gòu)確認的技術(shù)規(guī)范；它的方法是對產(chǎn)品進行抽樣測試檢驗和對供方的質(zhì)量保證能力即質(zhì)量體系進行檢查評審，以及事后定期監(jiān)督；它的性質(zhì)是由具有檢驗技術(shù)能力和政府授權(quán)認證資格的權(quán)威機構(gòu)，按照嚴格程序進行的科學公正的評價活動；它的表示方式是頒發(fā)認證證書和認證標志。9.3.1 測評認證的概念3. 測評認證的產(chǎn)生國際上信息大國每年用于信息安全領域的預算開支都在10億美元以上。

14、中國的信息安全產(chǎn)業(yè)近10年以驚人的速度發(fā)展起來。2000年底與信息安全相關(guān)的注冊公司達1300多家，隨著中國信息化水平的全面提高，將擁有世界最大的信息安全市場。9.3.1 測評認證的概念4.測評認證的重要性就我國而言，如何吸取國外測評認證的先進經(jīng)驗，采用國外信息安全管理的通行辦法，建立起我國的信息安全測評認證制度和實施體系，就成為我國信息化發(fā)展的當務之急。信息安全測評認證體系的建立和運行，對我國國家信息化的各個方面都具有十分現(xiàn)實的意義。首先，對我國按國際慣例建立和實施有關(guān)信息產(chǎn)品、信息安全產(chǎn)品的市場準入制度、技術(shù)管理和信息系統(tǒng)運行控制制度等方面的決策，提供科學公正的技術(shù)依據(jù)。其次，對各方用戶采

15、購信息安全產(chǎn)品，設計、建設、使用和管理安全的信息系統(tǒng)提供權(quán)威公正的專業(yè)指導；第三，對信息安全產(chǎn)品的研究、開發(fā)、生產(chǎn)企業(yè)和提供其他信息安全服務的企業(yè)，進行嚴格規(guī)范與科學引導，提高其市場競爭能力和技術(shù)進步水平。9.3.2 測評認證的標準與規(guī)范2.國內(nèi)外測評認證標準在信息安全標準的體系性、詳盡性和先進性各方面都走在前面的是美國。美國國家安全局、美國國家標準技術(shù)局、美國聯(lián)邦政府、美國國防部、美國商務部等，都不斷推出自己的適用標準。這些標準，基本上左右了全球信息安全技術(shù)的走向。但是，由于信息安全產(chǎn)品和系統(tǒng)的安全性評價，事關(guān)國家主權(quán)和安全利益，通常，任何國家不會輕易相信由別的國家所作的評價結(jié)果，為保險起見

16、，總要通過自己的測試才認為可靠。因此沒有一個國家會把事關(guān)國家安全利益的信息安全產(chǎn)品和系統(tǒng)的安全可信性建立在別人的評價基礎上。而是在充分借鑒國際標準的前提下，制訂自己的測評認證標準。以美國誕生TCSEC為契機，世界其他先進國家也開始制定本國的信息技術(shù)安全評估標準。9.3.2 測評認證的標準與規(guī)范3測評認證工作體系（1）體系信息安全測評認證體系，由三個層次的組織和功能構(gòu)成，第一層次是國家信息安全測評認證管理委員會。這個管理委員會是一個跨部門的機構(gòu)。代表國家有關(guān)信息產(chǎn)業(yè)和信息安全主管部門以及信息安全產(chǎn)品的供方、需方，對中國國家信息安全測評認證中心運作的獨立性、測評認證活動的公正性、科學性和規(guī)范性進行

17、監(jiān)督管理。其主要職責是：制訂、修訂有關(guān)認證實施的方針、政策性文件；審批中國國家信息安全測評認證中心工作規(guī)劃；審查擬開展認證產(chǎn)品目錄并報經(jīng)國務院產(chǎn)品質(zhì)量監(jiān)督行政主管部門批準實施；審批因現(xiàn)行標準不能滿足認證需要時由認證中心設定的有關(guān)技術(shù)規(guī)范和補充技術(shù)要求；審批測評認證中心的外部檢驗機構(gòu)和審核機構(gòu)以及批準認證證書的撤消，受理有關(guān)投訴、申訴等。9.3.2 測評認證的標準與規(guī)范（2）中國國家信息安全測評認證中心1997年初，經(jīng)國務院信息化工作領導小組批準，國務院信息化工作領導小組辦公室立項籌建“中國互聯(lián)網(wǎng)絡安全產(chǎn)品測評認證中心”。1998年7月，中心建成并通過國家驗收。鄒家華副總經(jīng)理專門發(fā)來賀信。199

18、8年10月，經(jīng)國家質(zhì)量技術(shù)監(jiān)督局授權(quán)，成立“中國國家信息安全測評認證中心”。再經(jīng)過4個月的評審、整改和復查，通過“中國產(chǎn)品質(zhì)量認證機構(gòu)國家認可委員會”和“中國實驗室國家認可委員會”的認可。1999年2月，國家質(zhì)量技術(shù)監(jiān)督局批準了中國國家信息安全測評認證管理委員會的組成及其章程，批準了信息產(chǎn)品安全測評認證管理辦法、首批認證目錄和國家信息安全認證標志。自此，中國國家信息安全測評認證中心可正式對外開展信息安全測評認證工作。9.3.3測評認證的方法與流程1.美國的測評認證過程為了對聯(lián)邦政府行政部門中的資訊技術(shù)(Information Technology，簡稱IT)系統(tǒng)進行驗證和認證(Certification and Accreditation，簡稱C&A)，美國國家標準與技術(shù)研究院(National Institute of Standards and Technology，簡稱NIST)于1983年9月制定并頒布了第102號聯(lián)邦資訊處理標準(Federal Information Process Standard，簡稱FIPS 102)。FIPS 102中指出：信息系統(tǒng)的安全測評認證應經(jīng)過6個基本