標(biāo)準(zhǔn)參考：常用的各項(xiàng)信息安全標(biāo)準(zhǔn)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

常用的各項(xiàng)信息安全標(biāo)準(zhǔn) 1

引言

在席卷全球的信息化浪潮中，我國(guó)的信息網(wǎng)絡(luò)建設(shè)也獲得了快速發(fā)展，從“政府上網(wǎng)辦公—電子政務(wù)”到“企業(yè)上網(wǎng)采購(gòu)—電子商務(wù)”，網(wǎng)絡(luò)已經(jīng)滲透到各行各業(yè)和人民的生活，網(wǎng)絡(luò)正逐步改變著人們的生產(chǎn)和生活方式，推動(dòng)著企業(yè)進(jìn)步和機(jī)制、體制的不斷改革。伴隨著國(guó)內(nèi)網(wǎng)絡(luò)建設(shè)高潮而來的計(jì)算機(jī)和網(wǎng)絡(luò)犯罪也不斷出現(xiàn)，網(wǎng)絡(luò)信息安全問題日益突顯出來，信息網(wǎng)絡(luò)的安全一旦遭受破壞，其影響或損失將十分巨大。

隨著人們對(duì)信息安全認(rèn)識(shí)的深入，信息安全標(biāo)準(zhǔn)逐漸成為信息安全領(lǐng)域中普遍應(yīng)用的標(biāo)準(zhǔn)。對(duì)廣大產(chǎn)品提供商來說，生產(chǎn)符合標(biāo)準(zhǔn)的信息安全產(chǎn)品、參與信息安全標(biāo)準(zhǔn)的制定、通過相關(guān)的信息安全方面的認(rèn)證，對(duì)于提高廠商形象、擴(kuò)大市場(chǎng)份額具有重要意義；對(duì)用戶而言，了解產(chǎn)品標(biāo)準(zhǔn)有助于選擇更好的安全產(chǎn)品，了解評(píng)測(cè)標(biāo)準(zhǔn)則可以科學(xué)地評(píng)估系統(tǒng)的安全性，了解安全管理標(biāo)準(zhǔn)則可以建立實(shí)施信息安全管理體系；對(duì)普通技術(shù)人員來講，了解信息安全標(biāo)準(zhǔn)的動(dòng)態(tài)可以站在信息安全產(chǎn)業(yè)的前沿，有助于把握信息安全產(chǎn)業(yè)整體的發(fā)展方向。

下面對(duì)常用的ISO15408/CC、ISO13335、SSE-CMM進(jìn)行介紹。

1.ISO15408

ISO/IECl5408—1999《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》(簡(jiǎn)稱CC)是國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種評(píng)估準(zhǔn)則的努力結(jié)果，是在美國(guó)和歐洲等國(guó)分別自行推出并實(shí)踐測(cè)評(píng)準(zhǔn)則及標(biāo)淮的基礎(chǔ)上，通過相互間的總結(jié)和互補(bǔ)發(fā)展起來的。

CC標(biāo)準(zhǔn)是第一個(gè)信息技術(shù)安全評(píng)價(jià)國(guó)際標(biāo)準(zhǔn)，它的發(fā)布對(duì)信息安全具有重要意義，是信息技術(shù)安全評(píng)價(jià)標(biāo)準(zhǔn)以及信息安全技術(shù)發(fā)展的一個(gè)重要里程碑。

CC定義了作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn)則，提出了目前國(guó)際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)，即把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求以及解決如何正確有效地實(shí)施這些功能的保證要求。功能和保證要求又以“類—子類—組件”的結(jié)構(gòu)表述，組件作為安全功能的最小構(gòu)件塊，可以用于“保護(hù)輪廓”、“安全目標(biāo)”和“包”的構(gòu)建，例如由保證組件構(gòu)成典型的包—“評(píng)估保證級(jí)”。另外，功能組件還是連接CC與傳統(tǒng)安全機(jī)制和服務(wù)的橋粱，以及解決CC同已有準(zhǔn)則如TCSEC、ITSEC的協(xié)調(diào)關(guān)系，如功能組件構(gòu)成TCSEC的各級(jí)要求。

CC分為3個(gè)部分：第1部分“簡(jiǎn)介和一般模型”，正文介紹了CC中的有關(guān)術(shù)語、基木概念和一般模型以及與評(píng)估有關(guān)的一些框架，附錄部分主要介紹“保護(hù)輪廓”和“安全目標(biāo)”的基本內(nèi)容；第2部分“安全功能要求”，按“類—子類—組件”的方式提出安全功能要求，每一個(gè)類除正文以外，還有對(duì)應(yīng)的提示性附錄作進(jìn)一步解釋；第3部分“安全保證要求”，定義了評(píng)估保證級(jí)別，介紹了“保護(hù)輪廓”和“安全目標(biāo)”的評(píng)估，并按“類—子類—組件”的方式提出安全保證要求。CC的三個(gè)部分相互依存，缺一不可。其中，第1部分是介紹CC的基本概念和基本原理，第2部分提出了技術(shù)要求，第3部分提出了非技術(shù)要求和對(duì)開發(fā)過程、工程過程的要求。這3部分的有機(jī)結(jié)合具體體現(xiàn)在“保護(hù)輪廓”和“安全目標(biāo)”中，“保護(hù)輪廓”和“安全目標(biāo)”的概念和原理由第1部分介紹?！氨Ｗo(hù)輪廓”和“安全目標(biāo)”中的安全功能要求和安全保證要求在第2、3部分選取，這些安全要求的完備性和一致性由第2、3部分來保證。

CC標(biāo)準(zhǔn)的核心思想有兩點(diǎn)：一是信息安全技術(shù)提供的安全功能本身和對(duì)信息安全技術(shù)的保證承諾之間獨(dú)立；二是安全工程的思想，即通過對(duì)信息安全產(chǎn)品的開發(fā)、評(píng)價(jià)、使用全過程的各個(gè)環(huán)節(jié)實(shí)施安全工程來確保產(chǎn)品的安全性。

CC標(biāo)準(zhǔn)強(qiáng)調(diào)在IT產(chǎn)品和系統(tǒng)的整個(gè)生命周期確保安全性，因此，CC標(biāo)準(zhǔn)可以同時(shí)面向消費(fèi)者、開發(fā)者、評(píng)價(jià)者3類用戶，同時(shí)支持他們的應(yīng)用。對(duì)應(yīng)3種不同的用戶，CC標(biāo)準(zhǔn)有3種主要應(yīng)用方式：定義安全需求、輔助安全產(chǎn)品開發(fā)、評(píng)價(jià)產(chǎn)品安全性。

圖1是ISO15408的安全模型。

2.ISO13335

ISO13335《IT安全管理方針》的主要目的是給出如何有效地實(shí)施IT安全管理的建議和指南，該標(biāo)準(zhǔn)目前分為5個(gè)部分。

第1部分：IT安全的概念和模型(ConceptsandmodelsforITSecurity），發(fā)布于1996年。該部分包括了對(duì)IT安全和安全管理的一些基本概念和模型的介紹。

第2部分：IT安全的管理和計(jì)劃(ManagingandplanningITSecurity），發(fā)布于1997年。這個(gè)部分建議性地描述了IT安全管理和計(jì)劃的方式和要點(diǎn)，包括：

●決定IT安全目標(biāo)、戰(zhàn)略和策略；

●決定組織IT安全需求；

●管理IT安全風(fēng)險(xiǎn)；

●計(jì)劃適當(dāng)IT安全防護(hù)措施的實(shí)施；

●開發(fā)安全教育計(jì)劃；

●策劃跟進(jìn)的程序，如監(jiān)控、復(fù)查和維護(hù)安全服務(wù)；

●開發(fā)事件處理計(jì)劃。

第3部分：IT安全的技術(shù)管理(TechniquesforthemanagementofITSecurity），發(fā)布于1998年。這個(gè)部分覆蓋了風(fēng)險(xiǎn)管理技術(shù)、IT安全計(jì)劃的開發(fā)以及實(shí)施和測(cè)試，還包括一些后續(xù)的制度審查、事件分析、IT安全教育程序等。

第4部分：防護(hù)的選擇(Selectionofsafeguards），發(fā)布于2000年。主要探討如何針對(duì)一個(gè)組織的特定環(huán)境和安全需求來選擇防護(hù)措施(不僅僅包括技術(shù)措施)。

第5部分：外部聯(lián)接的防護(hù)(Safeguardsforexternalconnections），發(fā)布于2001年。這部分主要描述了網(wǎng)絡(luò)安全的管理原則以及各組織如何建立框架以保護(hù)和管理信息技術(shù)體系的安全性。這一部分將有助于防止網(wǎng)絡(luò)攻擊，把使用IT系統(tǒng)和網(wǎng)絡(luò)的危險(xiǎn)性降到最低。

ISO13335具有以下特點(diǎn)：

（1）不同的信息安全概念在常見的很多信息安全文獻(xiàn)中，定義“信息安全”主要包括3個(gè)方面：機(jī)密性、完整性、可用性，而在ISO13335-1中給出了IT安全6個(gè)方面的含義：

●Confidentiality(保密性)—確保信息不被非授權(quán)的個(gè)人、實(shí)體或者過程獲得訪問；

●Integrity(完整性)—包含數(shù)據(jù)的完整性，即保證數(shù)據(jù)不被非法地改動(dòng)或銷毀；同樣還包含系統(tǒng)的完整性，即保證系統(tǒng)按照預(yù)定的功能運(yùn)行，不受有意或無意的非法操作所破壞；

●Availability(可用性)—保證授權(quán)實(shí)體在需要時(shí)可以正常地訪問和使用系統(tǒng)；

●Accountability(審計(jì)性)—確保一個(gè)實(shí)體的訪問可以被唯一的鑒別、跟蹤和記錄；

●Authenticity(認(rèn)證性)—確認(rèn)和識(shí)別一個(gè)主體或資源就是其所聲稱的，被認(rèn)證的可以是用戶、進(jìn)程、系統(tǒng)和信息等；

●Reliability(可靠性)—保證預(yù)期的行為和結(jié)果的一致性；

可以看出，ISO13335-1中對(duì)安全6個(gè)要點(diǎn)的闡述是對(duì)傳統(tǒng)3要點(diǎn)的更細(xì)致的定義，對(duì)信息安全工作有很重要的指導(dǎo)意義。在ISO13335-4中就針對(duì)6方面的安全需求分別列出了一系列的安全防護(hù)措施。

（2）以風(fēng)險(xiǎn)為核心的安全模型

在ISO13335中定義了如下幾個(gè)關(guān)鍵要素：

●Assets(資產(chǎn))—包括硬件、軟件、數(shù)據(jù)、服務(wù)、文檔、人員、企業(yè)形象等。

●Threats(威脅)—對(duì)系統(tǒng)、組織和資產(chǎn)等可能引起的不良影響。這些影響可能是由環(huán)境、人員、系統(tǒng)等造成的。

●Vulnerabilities(漏洞)—是存在于系統(tǒng)各方面的脆弱性。這些漏洞可能存在于組織結(jié)構(gòu)、業(yè)務(wù)流程、物理環(huán)境、人員管理、硬件、軟件或者信息本身。

●Impact(影響)—是不希望出現(xiàn)的一些事件。這些事件導(dǎo)致信息在保密性、完整性、可用性、審計(jì)性、認(rèn)證性、可靠性等方面的損失，并且造成信息資產(chǎn)的損失。

●Risk(風(fēng)險(xiǎn))—威脅信息系統(tǒng)的漏洞，引起的一些事件。對(duì)信息資產(chǎn)造成一些不良影響的可能性。整個(gè)安全管理實(shí)際上就是風(fēng)險(xiǎn)管理。

●Safeguards(防護(hù)措施)—是為了降低風(fēng)險(xiǎn)所采用的解決辦法。這些措施有些是在環(huán)境方面的，如：門禁系統(tǒng)、人員安全管理、防火措施、電源等；有些措施是技術(shù)方面的，如：防火墻、網(wǎng)絡(luò)監(jiān)控和分析、加密、數(shù)字簽名、防病毒、備份和恢復(fù)、訪問控制、PKI等。

●ResidualRisk(剩余風(fēng)險(xiǎn))—在經(jīng)過一系列安全控制和安全措施之后，信息安全的風(fēng)險(xiǎn)會(huì)降低，但是絕對(duì)不會(huì)完全消失，會(huì)存在一些剩余風(fēng)險(xiǎn)。對(duì)這些風(fēng)險(xiǎn)可能需要用其他方法處理，如：轉(zhuǎn)嫁或者承受。

●Constraints(約束）—是一些組織實(shí)施安全管理時(shí)所受到的環(huán)境影響，不能完全按照理想的方式執(zhí)行。這些約束可能來自組織結(jié)構(gòu)、財(cái)務(wù)能力、環(huán)境限制、人員素質(zhì)、時(shí)間、法律、技術(shù)、文化和社會(huì)等方面。