1、第13章安全标准及模型 第13章 安全标准及模型 13.1安全标准概况安全标准概况 13.2信息安全风险评估标准信息安全风险评估标准 13.3信息安全模型信息安全模型 13.4能力成熟模型能力成熟模型 第13章安全标准及模型 13.1安全标准概况安全标准概况13.1.1国际安全标准组织国际安全标准组织国际性的标准化组织主要有国际标准化组织(ISO)、国际电器技术委员会(IEC)及国际电信联盟(ITU)所属的电信标准化组织(ITUTS)。ISO是一个总体标准化组织,IEC在电工与电子技术领域里相当于ISO的位置,ITUTS是一个联合缔约组织。这些组织在安全需求服务分析指导、安全技术机制开发、安全
2、评估标准等方面制定了一些标准草案,但尚未正式执行。另外,还有众多标准化组织也制定了一些安全标准,如IETF(theInternetEngineeringTaskForce)就有如下功能组:认证防火墙测试组(AFT)、公共认证技术组(CAT)、域名安全组(DNSSEC)、IP安全协议组(IPSEC)、一次性口令认证组(OTP)、公开密钥结构组(PKIX)、安全界面组(SECSH)、简单公开密钥结构组(SPKI)、传输层安全组(TLS)和Web安全组(WTS)等,它们都制定了有关的标准。第13章安全标准及模型 13.1.2国际安全标准概况国际安全标准概况1.ISO的有关安全标准的有关安全标准ISO
3、和IEC制定了一系列有关信息和网络安全的标准,其中包括安全算法、安全机制、安全协议、安全管理和网络安全等方面。下面列出一些有代表性的安全标准。1)安全算法标准ISO/IEC101181:单向散列函数部分1通用模型。ISO/IEC101182:单向散列函数部分2使用n位块密码算法的单向散列函数。ISO/IEC101183:单向散列函数部分3专用的单向散列函数。第13章安全标准及模型 2)安全机制标准ISO/IEC10116:n位块密码算法的操作模式(加密机制)。ISO/IEC9798197985:实体认证的通用模型和使用各种认证算法的认证机制(实体认证机制)。ISO/IEC9797:使用加密检查
4、功能的数据完整性机制(完整性机制)。ISO/IEC148881148883:数字签名的通用模型、基于身份的机制和基于证书的机制(数字签名机制)。ISO/IEC138881138883:不可否认的通用模型、基于对称和非对称的密码算法的机制(不可否认机制)。第13章安全标准及模型 3)安全协议标准ISO/IEC95948:认证框架,定义了各种强制性的认证机制和框架结构。4)安全管理标准ISO/IEC117701117703:密钥管理框架、使用对称和非对称的密码算法的密钥管理机制。5)网络安全标准ISO/IEC74982:OSI安全结构,定义了基于OSI层次结构的安全机制和安全服务。ISO/IEC1
5、01811101817:OSI安全框架、实体认证框架、访问控制框架、不可否认性框架、完整性框架、机密性结构和安全审计框架等。第13章安全标准及模型 6)安全评估标准ISO/IEC15408:信息技术安全评估通用准则(CC),为相互独立的机构对相同信息安全产品的评估提供了可比性。第13章安全标准及模型 表表13.1.1ISO和和ISO/IEC通用密码技术标准通用密码技术标准 I S O 号号 主主 题题 有有 关关 标标 准准 及及 算算 法法 8372 64 bit 密码的工作模式 FIPS 81,ANSI X3.106 9796 可恢复消息的签字(例 RSA)ANSI X9.31 9797
6、数据完整性机制(MAC)ISO 8731-1,ISO 9807,ANSI X9.9,ANSI 9.19 9798-1 实体认证:引论 9798-2 实体认证:采用对称密钥加密 9798-3 实体认证:采用公钥技术 9798-4 实体认证:采用密钥控制的单向函数 9798-5 实体认证:采用零知识技术 9979 密码算法的注册 10116 n-bit 密码的工作模式 10118-1 杂凑函数:引论 10118-2 杂凑函数:采用分组密码 Matyas-Meyer-Oseas 及 MDC-2 算法 10118-3 杂凑函数:采用定制的算法 SHA-I.RIPEMD-128,RIPEMD-166 1
7、0118-4 杂凑函数:采用模算术 MASH-1,MASH-2 11770-1 密钥管理:引论 11770-2 密钥管理:对称技术 Kerberos,Otway-Rel 协议 11770-3 密钥管理:非对称技术 Diffie-Hellman 协议 ISO/IEC 9798 13888-1 不可否认性:引论 13888-2 不可否认性:对称技术 13888-3 不可否认性:非对称技术 14888-1 有附件的签字:引论 ANSI X9.30-1 ISO/IEC 9796 14888-2 有附件的签字:基于身份的机制 14888-3 有附件的签字:基于证书的机制 DSA,EIGamal Schv
8、lorr,RSA 等签字 第13章安全标准及模型 表表13.1.2ISO和和ISO/IEC的安全结构和安全框架标准的安全结构和安全框架标准 第13章安全标准及模型 2.ITU的有关网络安全标准的有关网络安全标准ITU针对数据通信网的安全问题制定了有关网络安全标准,它与ISO安全标准是相对应的。例如:ITUX.800:安全结构,与ISO74982相对应。ITUX.509:认证框架,与ISO95948相对应。ITUX.816:安全框架,与ISO10181相对应。第13章安全标准及模型 3.IETF的有关网络安全标准的有关网络安全标准Internet研究和发展共同体(InternetResearch
9、andDevelopmentCommunity)正式公布的文件称做应征意见稿(RFC,RequestforComments),其中一部分被规定为共同体内Internet标准的候选。例如:IETFRFC1825:IP协议安全结构。IETFRFC2401RFC2412:IP安全协议。IETFRFC2246:传输层安全协议。IETFRFC2632和IETFRFC2633:有关安全电子邮件协议(S/MIME)。IETFRFC2659RFC2660:有关安全HTTP协议(SHTTP)。IETFRFC2559:InternetX.509公钥基础结构操作协议。第13章安全标准及模型 表表13.1.3Inte
10、rnetRFC 第13章安全标准及模型 4.IEEE的有关局域网安全标准的有关局域网安全标准IEEE针对局域网安全问题制定了有关互操作局域网的安全规范,并将其作为IEEE802.10标准。该标准包括数据安全交换、密钥管理以及网络安全管理等规范。IEEE还制定了有关公钥密码算法的标准(IEEEP1363)。第13章安全标准及模型 13.1.3各国安全标准概况各国安全标准概况1.信息安全技术标准信息安全技术标准信息安全技术标准主要指数据加密、数字签名以及实体认证等标准。美国国家标准与技术协会(NIST,NationalInstituteStandardandTechnology,原美国国家标准局)
11、、美国国家标准协会(ANSI)、美国国防部(DoD)和美国国家安全局(NSA)都从不同角度制定了有关信息安全的标准。NIST在信息处理标准(FIPS)中公布的有关信息安全的标准为美国联邦政府标准,供美国联邦政府各个部门使用。标准号以FIPS为标志头,主要有数据加密、数据认证、密钥管理、数字签名以及实体认证等标准。第13章安全标准及模型 表表13.1.4美国美国FIPS公布的有关标准公布的有关标准 FIPS 号号 主主 题题 有有 关关 标标 准准 FIPS 46-2 数据加密标准(DES)ANSI X3.92 FIPS 74 使用 DES指南 FIPS 81 DES 工作模式 ANSI X 3
12、.106 FIPS 112 通行字使用 FIPS 113 数据认证(CBCMAC)ISO/IEC 9797 FIPS 114-1 密码模块安全性要求 FIPS 171 采用 X9.17 的密钥管理 FIPS 180-1 安全杂凑标准(SHA-1)FIPS 185 密钥托管(Clipper 和 SKIPJACK)FIPS 186 数字签名标准(DSA)FIPS 180,FIPS 180-1 FIPS JJJ 实体认证(非对称)ISO/IEC 9798-3 第13章安全标准及模型 表表13.1.5 ANSI 的加密标准和银行业务安全标准的加密标准和银行业务安全标准 第13章安全标准及模型 表13.
13、1.6ISO制定的银行业务安全标准(W批发,R零售)第13章安全标准及模型 2.系统安全评价标准系统安全评价标准信息安全产品不同于其他信息产品,必须经过权威认证机构的评估和认证后才能进入市场,被用户所使用。权威认证机构在评估和认证安全产品时必须遵循被广泛认可的评估标准或准则,以实现产品评估的公正性和一致性。因此,一个能被广泛接受的评估标准是极为重要的。20世纪70年代后期,美国国防部首先意识到了这个问题,并提出了一组计算机系统评估标准。这组标准包含20多个文件,每个文件使用不同颜色的封皮,因此称为“彩虹系列”。其中,最核心的是“可信计算机系统评估准则(TCSEC)”,按其封皮颜色被称之为“橙皮
14、书”。第13章安全标准及模型 TCSEC主要提供一种度量标准,用于评估处理敏感信息的计算机系统的可信度和安全性。TCSEC主要有两部分:第一部分描述了划分计算机系统安全等级的标准,这种划分是建立在人们对敏感信息保护所持有的全部信心的基础上的;第二部分描述了该标准开发的基本目标、基本原理以及美国政府的政策等。TCSEC定义了4个安全等级:A、B、C和D。A级表示计算机系统提供了最强的安全性,D级表示计算机系统提供了最弱的安全性。B级划分成B1、B2和B3三个子类,C级划分成C1和C2两个子类。这样,总共划分为7个安全等级。(1)D级(最小保护):所有系统都能满足的最低安全级,不具备更高级的安全特
15、性。(2)C级(自主保护):提供自主接入控制(DAC)和目标重用,支持识别、认证和审计。C级划分成C1和C2两个子类。第13章安全标准及模型 C1级(自主访问保护):通过将用户和数据相分离来满足自主保护的要求,它将各种控制集为一体,对每个实体独立地提供DAC、识别和认证。C2级(受控访问保护):比C1级控制更加严格,要求对用户也要实施DAC、识别、认证和审计,并要求目标重用。第13章安全标准及模型(3)B级(受控保护):利用受控接入控制(MAC)和数据敏感标记实现多级安全性,并提供一些保证要求。B级划分成B1、B2和B3三个子类。B1级(带有标记的保护):系统必须对主要数据结构加敏感度标记,必
16、须给出有关安全策略模型、数据标记以及对主体和客体的强制访问控制的非正规表述。B2级(结构化保护):基于一种形式化的安全策略模型,B1级系统中所采用的自主访问控制和强制访问控制都被扩展到B2级系统中的所有主体和客体。B2级特别强调了隐蔽通道的概念,必须构造可信任计算机库(TCB),强化认证机制,提供严格的配置管理控制的能力。第13章安全标准及模型 B3级(安全域):所有主体对客体的访问必须通过TCB中介,并且必须是防篡改的。B3级要求系统必须提供安全管理功能、安全审计机制和可信任系统恢复程序。第13章安全标准及模型(4)A级(可验证保护):采用可验证的形式化安全策略模型。A1级是最高的安全级,功
17、能上等价于B3级。A级要求对安全策略模型进行形式化验证,并且形式化验证要贯穿于整个系统开发过程。为了将TCSEC中确立的原则应用于网络环境中,DoD对TCSEC进行了增补,公布了可信任网络注释TNI(红皮书)。红皮书有两个主要部分:第一部分对橙皮书的相应部分进行了扩充,建立了网络系统安全等级的划分标准;第二部分描述了网络环境中的一些特有业务,如认证、不可否认以及网络安全管理等。因此,红皮书是局域网和广域网环境中网络系统和产品安全等级划分的基础。第13章安全标准及模型 美国的橙皮书公布后,欧洲各国相继提出了各自的信息安全评价标准,如德国的信息安全标准ZSIEC、英国的商用安全产品分级标准(绿皮书
18、)、法国的信息安全标准SCSSI、加拿大的可信计算机产品评估准则CTCPEC以及欧共体的信息技术安全评估准则ITSEC等。德国的信息安全标准ZSIEC(绿皮书)是由德国信息安全局制定的。在ZSIEC中,定义了信息安全政策所需的8种基本安全功能。与TCSEC不同的是,ZSIEC在基本安全功能中增加了对系统可用性(不间断服务)和数据完整性的要求。在评定级别方面,ZSIEC规定了10个功能级别(F1F10)和7个质量级别(Q1Q7)。其中,F1F5大致与TCSEC的C1B3相对应,Q1Q7近似对应于TCSEC的信任度级别DA1。第13章安全标准及模型 英国的商用安全产品分级标准(绿皮书)是由英国国防
19、部和商业部共同制定的。英国标准主要定义一种规范的产品功能说明语言,使用这种语言描述的产品,其安全功能可以由评审人员用规范方法加以验证。英国标准定义了6个信任度级别L1L6,大致对应于TCSEC的C1A1或德国绿皮书的Q1Q6。同时,英国政府还建立了一个商用许可评定体制,以促进该标准的商业化应用。加拿大、澳大利亚和法国也制定了本国的标准。第13章安全标准及模型 由于各国对信息安全产品等级划分和评定存在着认识上的差异,因此这些标准之间存在较严重的兼容性问题。在一个国家获得某一安全级别评定和认证的信息安全产品在另一个国家得不到承认,需要重新评定和认证,影响了产品进入市场的时间和商机。为了协调欧共体国
20、家的安全产品评价标准,在欧共体各成员国的支持下,英、德、法、荷四国联合制定了信息技术安全评估准则(ITSEC),作为欧共体成员国的共同标准。ITSEC保留了德国标准中10个功能级别和8个质量级别(改成有效性级别E0E7)的内容,同时吸取了英国标准中功能描述语言的思想。安全产品(系统)的评定是由TCSEC式的政府行为转变为由市场驱使的行业行为,首先由厂商提出其安全产品(系统)的评价目标和所期望的级别,然后由评定人员通过对产品的测评来确定是否同意厂商对产品安全功能的描述,以及是否给予厂商所要求的有效性级别。ITSEC比美国橙皮书宽松一些,目的在于提供一种统一的安全系统评价方法,以满足各种产品、应用
21、和环境的需要。第13章安全标准及模型 在ITSEC的推动下,美国于1992年制定了TCSEC的更新计划,由国家标准局和国家安全局合作制定了一个新标准,即“组合的联邦标准”(FC,CombinedFederalcriteria)。FC仿照ITSEC的思路将功能要求和信任度要求分割开,定义了保护框架(PP,ProtectionProfile)和安全目标(ST,SecurityTarget)。用户负责书写保护框架,详细说明其系统的保护需求。产品厂商提出产品的安全目标,描述产品的安全功能和信任度,并与用户的保护框架相对比,以证明该产品是否满足用户的需要。在FC的架构中,安全目标便成为评价的基础,安全目
22、标必须用具体的语言和有力的论据来说明保护框架中的抽象描述是怎样逐条地在所评价的产品中得到满足的。然而,在FC草案问世后不久,美国政府便宣布停止草案的修改工作,转而与加拿大及欧共体国家一起联合制定了共同的标准,即信息技术安全评估通用准则(theCommonCriteriaforInformationTechnologySecurityEvaluation),简称为CC。第13章安全标准及模型 13.2信息安全风险评估标准信息安全风险评估标准 13.2.1国外信息安全风险评估标准国外信息安全风险评估标准1.国外风险评估标准发展与简介国外风险评估标准发展与简介从20世纪80年代开始,世界各国相继制定
23、了多个信息安全评估标准,主要有:桔皮书(TCSEC)1985、英国安全标准1989、德国标准、法国标准、ITSEC1991、加拿大标准1993、联邦标准草案FC1993、通用评估准则CC1993、澳大利亚标准AS/NZS43601995、英国BS77991995、国际ISO/IEC系列标准、美国NIST2000和德国BMP2001等。国外信息安全风险评估标准的演变历程如图13.2.1所示。第13章安全标准及模型 图13.2.1国际标准体系的发展 第13章安全标准及模型 1)可信计算机系统评估准则(TCSEC)1985年美国国防部首次公布了可信计算机系统评估准则,简称TCSEC(TrustedC
24、omputerSystemEvaluationCriteria),也称桔皮书。TCSEC是信息技术安全评估的第一个正式标准。此标准作为军用标准,提出了美国在军用信息技术安全方面的要求。TCSEC对用户登录、授权管理、访问控制、访问追踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性的要求。TCSEC将计算机系统的安全等级划分为D、C、B、A四类,每类下面又分为多个级别。D类安全等级只包括D1一个安全级别,D1的安全等级最低,只为文件和用户提供安全保护。C类安全等级分为C1和C2两个安全级别,该类安全等级能够提供审慎的保护,并为用户的行动和责任提供审计能
25、力。B类安全等级分为B1、B2和B3三个安全级别,该类安全等级具有强制性保护功能。A类安全等级只包含A1一个安全级别,A类的安全级别最高。第13章安全标准及模型 2)信息技术安全评估准则(ITSEC)在20世纪80年代后期,几个欧洲国家和加拿大纷纷开始开发自己的评估准则。1991年,欧洲标准化委员会正式公开发表信息技术安全评估准则(ITSEC,InformationonTechnologySecurityEvaluationCriteria)1.2版。ITSEC适用于军队、政府和商业部门。它以超越TCSEC为目的,将安全概念分为功能和评估两部分:功能准则分为10级,15级对应于TCSEC的DA
26、类;评估准则分为E0E6共7个安全等级。ITSEC还提出了信息安全的保密性、完整性和可用性等属性,并且把可信计算机的概念提高到可信信息技术的高度来认识,对国际信息安全的研究产生了深远的影响。第13章安全标准及模型 3)加拿大可信计算机产品评估准则(CTCPEC)加拿大可信计算机产品评估准则(CTCPEC)1.0版于1989年公布,专为政府需求而设计。1993年公布了3.0版,作为ITSEC和TCSEC的结合,将安全分为功能性要求和保证性要求两部分。功能性要求分为保密性、完整性、可用性、可控性四大类。在每种安全要求下,各类按程度不同又分为5级,以表示安全性上的差别。第13章安全标准及模型 4)美
27、国信息技术安全联邦准则(FC)20世纪90年代初,美国为了适应信息技术的发展和推动美国国内非军用信息技术产品安全性的进步,NSA和NIST联合起来对TCSEC进行了修订,于1992年底公布了FC草案1.0版。在此标准中引入了“保护轮廓”这一重要概念,每个保护轮廓都包括功能部分、开发保证部分和评测部分。其分级方式与TCSEC不同,充分吸取了ITSEC和CTCPEC的优点,主要供美国民用、商用及政府使用。第13章安全标准及模型 5)AS/NZS4360风险管理标准AS/NZS4360是澳大利亚和新西兰联合开发的风险管理标准,是风险管理的通用指南,它给出了一整套风险管理的流程。它把风险管理过程分为建
28、立环境、风险识别、风险分析、风险评价、风险处理5个标准环节。在进行资产的识别和评估时,采取半定量化的方法,将威胁和风险发生的可能性与造成的影响划分为不同的等级,然后对不同等级的风险给出了处理方法。它将对象定位在信息系统,对信息安全风险评估具有指导作用。第13章安全标准及模型 对上面几个主要标准的总体评价如下:最初的TCSEC是针对孤立计算机系统提出的,特别是小型机和大型机系统,该标准仅适用于军队和政府,不适用于企业。TCSEC和ITSEC均是不涉及开放系统的安全标准,仅针对产品的安全保证要求来划分等级并进行评测,且均为静态模型,仅能反映静态安全状况。CTCPEC虽在二者的基础上有一定发展,但也
29、未能突破上述局限性。FC对TCSEC作了补充和修改,对保护轮廓和安全目标作了定义,明确了由用户提供其系统安全保护所要求的详细轮廓,由产品商定义产品的安全功能和安全目标等,但因其本身的一些缺陷一直没有正式投入使用。目前国际上流行的标准有:CC、BS7799、ISO/IEC13335、ISO/IEC17799等。第13章安全标准及模型 2.通用评估准则通用评估准则(CC)信息技术安全评估通用准则(theCommonCriteriaforInformationTechnologySecurityEvaluation,简称为CC)是北美和欧盟联合开发的一个统一的国际公认的安全准则,是由FC和CTCPE
30、C准则相互间的总结和互补发展起来的。1999年,CC被ISO批准成为国际标准ISO/IEC154081999,并正式颁布发行。CC是目前最全面的信息技术安全评估准则,其内容分为三部分。(1)简介和一般模型:定义了信息技术安全评估的一般概念和原则,并规定了如何创建安全目标和需求。第13章安全标准及模型(2)安全功能要求:用标准化的方法对评价目标建立一个明确的满足安全要求的部件功能集合。该功能集合分为部件(components)、族(families)和类(classes)。(3)安全保证要求:用标准化的方法对评价目标建立一个明确的满足安全要求的部件集合,对保护方案和安全目标进行了定义,并且对安全
31、评价目标提出了安全评价保证级别(EAL)。级别分为EAL1到EAL7,共7个等级。每一级均需评估7个功能类,分别是:配置管理、分发和操作、并发过程、指导文献、生命期的技术支持、测试和脆弱性评估。第13章安全标准及模型 3.信息安全管理标准信息安全管理标准BS7799BS7799现已成为国际公认的安全管理权威标准。1993年9月,英国标准协会(BSI)颁布信息安全管理实施细则,形成了BS7799的基础。1995年2月,BSI首次公布了BS77991:1995。1998年2月,BSI公布了BS77992:1998。1999年4月,BS77991和BS77992修订后重新发布。2000年12月,BS
32、77991:1999通过国际标准组织认可,正式成为国际标准,即ISO/IEC177991:2000。2002年9月,BSI对BS77992:2000进行了改版,BS77992:2002通过了ISO认可。第13章安全标准及模型 BS7799分为两部分:BS77991:1999信息安全管理细则(CodeofPracticeforInformationSecurityManagement)和BS77992:2002信息安全管理体系规范(SpecificationforInformationSecurityManagement)。BS77991:1999主要为组织建立并实施信息安全管理体系提供了一个指
33、导性的准则,BS77992:2000详细说明了建立、实施和维护信息安全管理系统的要求。BS77991:1999是一个非常详尽、复杂的信息安全管理标准层次体系,共分为4层内容、10个管理要项、36个管理目标、127个控制措施以及若干个控制要点,主要提供有效实施信息系统风险管理的建议。第13章安全标准及模型 BS77992:2000详细说明了建立、实施和维护信息安全管理系统(ISMS)的要求。具体实施步骤是:定义安全策略,定义ISMS范围(边界);确定资产,进行资产风险评估;确定高风险资产、风险管理措施决策;选择合适的控制方式、部署和管理控制方式,启用声明、目标审查、安全策略、安全目标、契约和法律
34、需求。第13章安全标准及模型 4.ISO/IEC17799由于BS7799日益得到国际的认同,使用的国家也越来越多,2000年12月,国际标准化组织正式将其第一部分转化为国际标准,即所颁布的ISO/IEC17799:2000信息技术信息安全管理实施细则(InformationTechnology-CodeofPracticeforInformationSecurityManagement)。作为一个全球通用的标准,ISO/IEC17799并不局限于IT,也不依赖于专门的技术,它是由长期积累的一些最佳实践构成的,是市场驱动的结果。ISO/IEC17799提出了风险评估的方法、步骤和主要内容,为风
35、险评估提供了实施指南;指出了风险评估的主要步骤,包括资产识别、威胁识别、脆弱性识别、已有控制措施确认、风险计算等过程;首次给出了信息安全的保密性、完整性、可用性、审计性、认证性、可靠性6个方面的含义,并提出了以风险为核心的安全模型;指出风险就是威胁利用漏洞使资产暴露而产生的影响的大小。第13章安全标准及模型 5.ISO/IEC13335ISO/IEC13335信息技术IT安全管理指导方针(GMITS,InformationTechnology-GuidelinesfortheManagementofITSecurity)是一个关于IT安全管理的指南,它提出了以风险为核心的安全模型,阐述了信息安
36、全评估的思路,对信息安全评估工作具有指导意义。第13章安全标准及模型 该标准由以下5部分组成:(1)ISO/IEC133351:IT安全的概念和模型(ConceptsandModelsofITSecurity)。这部分包括对IT安全和安全管理的一些基本概念和模型的介绍。(2)ISO/IEC133352:IT安全的管理和计划(ManagingandPlanningITSecurity)。这部分建议性地描述了IT安全管理和计划的方式及要点,包括:决定IT安全目标、战略和策略;决定组织的IT安全需求;管理IT安全风险;计划适当IT安全防护措施的实施;开发安全教育计划;策划跟进的程序,如监控、复查和维
37、护安全服务;开发事件处理计划。第13章安全标准及模型(3)ISO/IEC133353:IT管理技术(TechniquesfortheManagementofITSecurity)。这部分覆盖了风险管理技术、IT安全计划的开发以及实施和测试,包括一些后续的制度审查、事件分析、IT安全教育程序等,并且介绍了四种风险评估方法(基线方法、非形式化方法、详细分析方法、综合分析方法)。(4)ISO/IEC133354:防护的选择(SelectionofSafeguards)。这部分主要探讨了如何针对一个组织的特定环境和安全需求来选择防护措施。第13章安全标准及模型(5)ISO/IEC133355:网络安全
38、管理指南(ManagementGuidanceonNetworkSecurity)。这部分提出了IT安全和机制应用指南。ISO/IEC13335认为安全管理中的主要部件包括资产、威胁、脆弱性、影响、风险、防护措施和剩余风险;主要的安全管理过程包括风险管理、风险评估、安全意识、监控与一致性检验等。第13章安全标准及模型 6.标准对比标准对比1)CC与BS7799CC强调对防护措施进行评估,评估的结果是对防护措施保障程度的描述,即防护措施能够降低安全风险的可信度,资产所有者可以根据CC来决定是否接受将资产暴露给威胁所冒的风险。CC的不足之处是:由于涉及面太广,所以很难被人们掌握和控制,而且它并不涉
39、及管理细节和信息安全的具体实现、算法和评估方法等方面,也不能作为安全协议或用于安全鉴定。第13章安全标准及模型 BS7799提供了一套普遍适用且行之有效的全面的安全控制措施,还提出了建立信息安全管理体系的目标,这和人们对信息安全管理认识的加强是相适应的。BS77992提出的信息安全管理体系(ISMS)是一个系统化、程序化和文档化的管理体系。BS7799的不足之处在于:其所描述的所有控制方式并不适合于每种情况,它不可能将具体的系统环境和技术限制考虑在内,也不可能适合一个组织中的每个潜在用户。第13章安全标准及模型 BS7799和CC都是信息安全领域的评估标准,并且都以信息的保密性、完整性和可用性
40、作为信息安全的基础。然而,这两个标准所面向的角度有很大的不同:BS7799是一个基于管理的标准,它处理的是与IT系统相关的非技术问题;CC则是一个基于技术的标准,它强调的是系统和产品安全技术方面的问题。与BS7799相比,CC更侧重于对系统和产品的技术指标的评估,而在对信息系统的日常安全管理方面,BS7799的地位是其他标准无法取代的。第13章安全标准及模型 2)BS7799与ISO/IEC17799BS77991不支持信息安全认证,而支持认证的BS77992与ISO/IEC17799没有任何关系。BS7799是针对企业的整体利益而言的,它将对象定位在信息系统安全管理体系。ISO/IEC177
41、99来自BS77991。ISO/IEC17799主要提供了信息系统安全管理的指导性原则,将风险评估作为了建立信息安全管理体系的中间步骤,尽管没有给出可操作的信息安全风险评估方案,但是确定了包括识别风险、评估风险、处理风险等在内的风险评估控制目标和控制方式。第13章安全标准及模型 3)ISO/IEC13335与CCISO/IEC13335是由国际标准化组织颁布的一个信息安全管理指南,这个标准的主要目的是给出如何有效地实施IT安全管理的建议和指南。用户完全可以参照这个完整的标准制定出自己的安全计划和实施步骤。ISO/IEC13335首次给出了关于IT安全的保密性、完整性、可用性、审计性、认证性、可
42、靠性6个方面的定义,并提出了以风险为核心的安全模型,阐述了信息安全评估的思路,对信息安全评估工作具有指导意义。CC是针对安全产品和系统进行安全性评估的一个详细方法,而ISO/IEC13335是包含与信息安全项目开发相关的一切模板。ISO/IEC13335关注的是安全项目的开发,而CC是从技术的角度关心安全产品和系统的安全性评价。也就是说,CC没有叙述怎样开发安全产品和系统,但是提供了评估安全产品和系统与预先定义的安全需求的符合程度的评价过程。第13章安全标准及模型 4)ISO/IEC13335与BS7799与BS7799比较而言,ISO/IEC13335对安全管理的过程描述得更加细致,完全可操
43、作;有多种角度的模型和阐述;对安全管理过程中的最关键环节风险分析和管理有非常细致的描述,阐述了包括基线方法、非形式化方法、详细分析方法和综合分析方法等风险分析方法;有比较完整的针对6种安全需求的防护措施的介绍。BS7799以安全管理为基础,提供了一系列安全控制机制,供组织建立、贯彻和维护使用;提出了风险评估的要求,但是只注重信息安全管理方面。ISO/IEC13335介绍了风险评估的过程和方法,但是该方法是针对一般信息系统而言的,过于笼统,没有针对性。第13章安全标准及模型 总之,国际上风险评估相关的安全标准基本没有一个是能直接拿来使用的。其原因是各标准针对的对象和目标不一样,有的标准强调风险管
44、理,有的强调具体的安全技术,有的只定义某一方面的安全等级,有的则强调国际通用的规范和认证。第13章安全标准及模型 13.2.2国内信息安全风险评估标准国内信息安全风险评估标准1.国内风险评估标准发展与简介国内风险评估标准发展与简介我国信息安全标准的研究基本上是从20世纪90年代末启动的,主要是等同采用或修改相关的国际标准。已经颁布的标准如下:(1)GB/T18336-2001信息技术安全技术信息技术信息安全评估准则;(2)GB/T19716-2005信息技术信息安全管理实用规则;(3)GB/T19715.1-2005信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型;(4)GB/T9
45、361-2000计算机场地安全要求;(5)GB/T20984-2007信息安全技术信息系统的风险评估规范。第13章安全标准及模型 另外,在国际标准的基础上,我国也制定了一些针对信息化建设特点的信息安全技术和信息安全评估的国家、地方标准。由公安部主持制定、国家质量技术监督局发布的国家标准GB17859-1999计算机信息系统安全保护等级划分准则将信息系统安全分为自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级5个级别。我国还制定了金融行业标准银行及相关金融服务信息安全管理规范20030037-T-320,以及GB18018/18019等产品标准。部分省(市)也发布了一些地
46、方标准,例如,北京市于2002年制定并颁布了DB11/T171-2002北京市党政机关信息网络安全系统测评规范,上海市于2002年制定并颁布了DB31/T272-2002计算机信息系统安全测评通用技术规范。这些地方标准的制定为各地开展信息安全评估奠定了良好的基础。第13章安全标准及模型 2.GB/T20984-2007信息安全技术信息安全风险评估规范信息安全技术信息安全风险评估规范2003年7月,中办发200327号文件对开展信息安全风险评估工作提出了明确的要求。国信办委托国家信息中心牵头,成立了国家信息安全风险评估课题组,对信息安全风险评估相关工作展开调查研究。2004年3月29日正式启动了
47、信息安全风险评估标准草案的编制工作。2004年底完成了信息安全风险评估指南标准草案。2005年由国务院信息办组织在北京、上海、黑龙江、云南等省市与人民银行、国家税务总局、国家信息中心及国家电力总公司开展了验证信息安全风险评估指南的可行性与可用性的试点工作。2006年6月19日,全国信息安全标准化技术委员会经过讨论,将标准正式命名为信息安全技术信息安全风险评估规范,并同意其通过评审。由国家标准化管理委员会审查批准发布的GB/T20984-2007信息安全技术信息安全风险评估规范于2007年11月1日正式实施。第13章安全标准及模型 信息安全风险评估规范(以下简称规范)是我国开展信息安全风险评估工
48、作遵循的国家标准。规范定义了风险评估的基本概念、原理及实施流程,对被评估系统的资产、威胁和脆弱性识别要求进行了详细描述,并给出了具体的定级依据;提出了风险评估在信息系统生命周期不同阶段的实施要点,以及风险评估的工作形式。规范分为两个部分:主体和附录。主体部分主要介绍风险评估的定义、风险评估的模型以及风险评估的实施过程;附录部分包括信息安全风险评估的方法、工具介绍和实施案例。第13章安全标准及模型 规范主体又分为引言和7项条款。引言指出信息安全风险评估的意义,还指出信息安全风险评估要贯穿于信息系统生命周期的各个阶段,其出发点是:从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁
49、及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而为最大限度地保障信息安全提供科学依据。第13章安全标准及模型 规范主体的7项条款包括:(1)范围:提出了规范涵盖的内容。(2)规范性引用文件:规范引用了四个标准,即GB/T9361-2000计算机场地安全要求、GB17859-1999计算机信息系统安全保护等级划分准则、GB/T18336-2001信息技术安全技术信息技术信息安全评估准则(idtISO/IEC15408:1999)及GB/T19716-2005信息技术信息安全管理实用规则(
50、idtISO/IEC17799:2000)。(3)术语和定义:给出了与信息安全风险评估相关的一些概念。第13章安全标准及模型(4)风险管理框架及流程:风险评估要素的关系模型如图13.2.2所示。风险评估中各要素的关系是:业务战略依赖于资产去完成;资产拥有价值,单位的业务战略越重要,对资产的依赖程度越高,资产的价值就越大;资产的价值越大,则风险越大;风险由威胁发起,威胁越大,则风险越大,并可能演变成安全事件;威胁都要利用脆弱性,脆弱性越大,则风险越大;脆弱性使资产暴露,是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而形成风险;资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全
