電子商務安全管理秦成德第9章-信息系統(tǒng)安全評估新

第9章信息系統(tǒng)平安評估9.1信息系統(tǒng)平安標準9.2信息系統(tǒng)平安評估標準9.3國際與國內(nèi)信息系統(tǒng)平安測評認證

9.1信息系統(tǒng)平安標準信息系統(tǒng)平安標準簡介我國的信息系統(tǒng)平安標準

信息系統(tǒng)平安標準簡介信息系統(tǒng)平安標準是構建國家信息平安保護體系必須具備的技術、管理標準。國家要盡快建立自主完善的標準體系，同時要加強標準的普及使用。特別是要在主機等主要設備的操作系統(tǒng)和數(shù)據(jù)庫平安技術、平安效勞器技術和產(chǎn)品研發(fā)等方面實現(xiàn)迅速突破，為國家根底信息系統(tǒng)及重要信息系統(tǒng)提供第二級以上信息平安等級保護產(chǎn)品。信息系統(tǒng)平安的標準化是一項艱巨、長期的根底性工作。在我國，有關主管部門十分關注信息平安標準化工作，在1984年7月組建了數(shù)據(jù)加密技術委員會，并于1997年8月改組成全國信息技術標準化委員會的信息平安技術分委員會，負責制定信息平安的國家標準，本著積極采用國際標準的原那么，轉化了一批國際信息平安根底技術標準。另外，公安部、平安部、國家保密局、國家密碼管理委員會等相繼制定、公布了一批信息平安的行業(yè)標準，為推動信息平安技術在各行業(yè)的應用和普及發(fā)揮了積極的作用。9.1.2我國的信息系統(tǒng)平安標準截至2002年初，我國正式公布信息平安相關國家標準已達40多項，規(guī)定了信息平安的不同技術要求。下面分類列表說明。1.平安技術及平安機制相關國家標準〔表9-1〕表9-1平安技術及平安機制相關國家標準9.1.2我國的信息系統(tǒng)平安標準2.物理平安相關國家標準〔表9-2〕

表9-2物理平安相關國家標準9.1.2我國的信息系統(tǒng)平安標準3.信息平安評估相關國家標準〔表9-3〕

表9-3信息平安評估相關國家標準9.2信息系統(tǒng)平安評估標準平安評估標準及其開展信息系統(tǒng)平安評估標準信息系統(tǒng)平安評估標準所面臨的問題及改進建議

平安評估標準及其開展1.平安評估標準的概念信息系統(tǒng)平安評估是指評估機構依據(jù)信息系統(tǒng)平安評估標準〔或準那么〕，采用一定的方法〔方案〕對信息平安產(chǎn)品或系統(tǒng)平安性進行評價。它包括對系統(tǒng)平安的技術和非技術環(huán)節(jié)進行測試，檢查、審核等，是系統(tǒng)進行認證與認可的前期工作。與自評估相對，它是一種非常全面、深入、細致的評估。信息系統(tǒng)平安評估標準是信息系統(tǒng)平安評估的行動指南。平安評估標準及其開展2.平安評估標準的開展在國際上，針對信息系統(tǒng)平安的等級防護和評估，先后制定了多個標準，其開展過程和關系見以下圖〔圖9-1〕。但是，由于標準眾多，對于標準的爭論從未停息過。9.2.2信息系統(tǒng)平安評估標準1.側重于對系統(tǒng)和產(chǎn)品的技術指標方面的標準

美國國防部于1985年公布可信的計算機系統(tǒng)平安評估標準〔TCSEC，從橘皮書到彩虹系列〕，是計算機系統(tǒng)信息平安評估的第一個正式標準。它把計算機系統(tǒng)的平安分為4類、7個級別，對用戶登錄、授權管理、訪問控制、審計跟蹤、隱蔽通道分析、可信通道建立、平安檢測、生命周期保障、文檔寫作、用戶指南等內(nèi)容提出了標準性要求。

法、英、荷、德歐洲四國90年代初聯(lián)合發(fā)布信息技術平安評估標準〔ITSEC，歐洲百皮書〕，它提出了信息平安的機密性、完整性、可用性的平安屬性。ITSEC把可信計算機的概念提高到可信信息技術的高度上來認識，對國際信息平安的研究、實施產(chǎn)生了深刻的影響。9.2.2信息系統(tǒng)平安評估標準2.偏重于平安管理方面的標準1995年，英國貿(mào)工部根據(jù)英國國內(nèi)企業(yè)對信息平安日益高漲的呼聲，組織大企業(yè)的信息平安經(jīng)理們，制定了世界上第一個信息平安管理體系標準BS7799-1：1995?信息平安管理實施規(guī)那么?，作為工商業(yè)和大、中、小型組織實施信息平安管理的指南。1998年，為了適應第三方認證的需要，英國又制定了第一個信息平安管理體系認證標準--

BS7799-2：1998?信息平安管理體系標準?，作為對一個組織的全面或局部信息平安管理體系進行評審認證的依據(jù)標準。9.2.2信息系統(tǒng)平安評估標準信息系統(tǒng)平安管理標準開展過程如圖9-2所示。9.2.2信息系統(tǒng)平安評估標準3.我國目前的信息系統(tǒng)平安評估標準

我國2001年由中國信息平安產(chǎn)品測評認證中心牽頭，將ISO/IEC15408轉化為國家標準——GB/T18336-2001?信息技術平安性評估準那么?，并直接應用于我國的信息平安測評認證工作。其中，根底性等級劃分標準--?GB17859—1999計算機信息系統(tǒng)平安保護等級劃分準那么?是其他標準的根底，是信息系統(tǒng)平安等級保護實施指南，為等級保護的實施提供指導。標準體系的根本思想概括為〔如圖9-3〕：以信息平安的五個屬性為根本內(nèi)容，從實現(xiàn)信息平安的五個層面，按照信息平安五個等級的不同要求，分別對平安信息系統(tǒng)的構建過程、測評過程和運行過程等三個過程進行控制和管理，實現(xiàn)對不同信息類別按不同要求進行分等級平安保護的總體目標。9.2.2信息系統(tǒng)平安評估標準五個屬性是指:機密性、完整性和可用性、可控性、責任可追查性。五個層面是指：物理層面、網(wǎng)絡層面、系統(tǒng)層面、應用層面、管理層面。五個等級是指：用戶自主保護級、系統(tǒng)審計保護級、平安標記保護級、結構化保護級、訪問驗證保護級。以第一級為根底，逐級增強保護能力。平安保護能力方面，第一級為根底級，平安保護能力從第一級到第五級訪問驗證保護級，逐級增強。在平安登記保護標準方面，平安保護范圍從第一級到第五級逐漸縮小，級別越高，保護強度越高，保護的范圍越小，級別越低，保護的強度越低，保護范圍越大。9.2.2信息系統(tǒng)平安評估標準五個屬性是指:機密性、完整性和可用性、可控性、責任可追查性。五個層面是指：物理層面、網(wǎng)絡層面、系統(tǒng)層面、應用層面、管理層面。五個等級是指：用戶自主保護級、系統(tǒng)審計保護級、平安標記保護級、結構化保護級、訪問驗證保護級。以第一級為根底，逐級增強保護能力。平安保護能力方面，第一級為根底級，平安保護能力從第一級到第五級訪問驗證保護級，逐級增強。在平安登記保護標準方面，平安保護范圍從第一級到第五級逐漸縮小，級別越高，保護強度越高，保護的范圍越小，級別越低，保護的強度越低，保護范圍越大。9.2.2信息系統(tǒng)平安評估標準三個過程控制是指：構建過程控制、測評過程控制、執(zhí)行過程控制。9.2.3信息系統(tǒng)平安評估標準比較分析1.側重于對系統(tǒng)和產(chǎn)品的技術指標方面的標準TCSEC、ITSEC、CPCPEC、CC、ISO15408之間的比較

從圖9-1中可以看出，信息評估標準是經(jīng)歷了TCSEC、ITSEC、CPCPEC、CC、ISO15408五個開展階段，最初的TCSEC是針對孤立計算機系統(tǒng)提出的，該標準適用于軍隊，開始時應用在OS的評估上，TCSEC與ITSEC均是不涉及開放系統(tǒng)的平安標準，僅針對產(chǎn)品的平安保證要求來劃分等級并進行評測，并均為靜態(tài)模型，僅能反響靜態(tài)平安狀況，CPCPEC雖在兩者的根底上有一定的開展，但也未能突破上述的局限性，F(xiàn)C對TCSEC做了補充和修改，但因其自身的缺陷一直沒有正式投入使用。CC與早期的評估標準相比，其優(yōu)勢表達在其結構的開放性、表達方式的通用性以及結構和表達方式的內(nèi)在完備性和實用性等方面。總體來說，各標準適用范圍略有不同，各有優(yōu)劣。這里將對目前主要使用的標準：TCSEC、ITSEC、CC、ISO15408等進行簡要介紹和比較。如表9-7和表9-8所示。9.2.3信息系統(tǒng)平安評估標準比較分析1.側重于對系統(tǒng)和產(chǎn)品的技術指標方面的標準TCSEC、ITSEC、CPCPEC、CC、ISO15408之間的比較

從圖9-1中可以看出，信息評估標準是經(jīng)歷了TCSEC、ITSEC、CPCPEC、CC、ISO15408五個開展階段，最初的TCSEC是針對孤立計算機系統(tǒng)提出的，該標準適用于軍隊，開始時應用在OS的評估上，TCSEC與ITSEC均是不涉及開放系統(tǒng)的平安標準，僅針對產(chǎn)品的平安保證要求來劃分等級并進行評測，并均為靜態(tài)模型，僅能反響靜態(tài)平安狀況，CPCPEC雖在兩者的根底上有一定的開展，但也未能突破上述的局限性，F(xiàn)C對TCSEC做了補充和修改，但因其自身的缺陷一直沒有正式投入使用。CC與早期的評估標準相比，其優(yōu)勢表達在其結構的開放性、表達方式的通用性以及結構和表達方式的內(nèi)在完備性和實用性等方面?？傮w來說，各標準適用范圍略有不同，各有優(yōu)劣。這里將對目前主要使用的標準：TCSEC、ITSEC、CC、ISO15408等進行簡要介紹和比較。9.2.3信息系統(tǒng)平安評估標準比較分析2.CC標準與BS7799的異同點CC〔即GB/T18336:2001

idtISO/IEC15408:1999

〕和BS7799標準的共同點表現(xiàn)在以下四個方面：〔1〕兩個標準所涉及的范圍從大的角度來說都是信息平安領域；〔2〕兩個標準對信息平安的定義相同，都是指對信息保密性、完整性和可用性的保護；〔3〕兩個標準對信息平安風險的定義根本相同，都是從資產(chǎn)、威脅、薄弱點和影響來考察風險；〔4〕兩個標準都針對不同的風險提出了相應的控制目標和控制措施。9.2.4信息系統(tǒng)平安評估標準所面臨的問題及改進建議1.建立多邊平安的平安功能

平安評估標準從一開始就偏重于僅對系統(tǒng)擁有者和操作者的保護，用戶的平安，特別是通信系統(tǒng)用戶的平安那么沒有被考慮，因此提供雙邊或多邊平安的各種技術，就不能用當前標準來正確的描述。2.增強標準的可操作性

目前的信息平安評估標準只是制定了一個框架，明確了標準的主體，但是可操作性不強，具體的步驟需要大量文檔進行補充，而且評估結果最終是一個客觀參考性的結構，對企業(yè)的實際指導意義不強。9.2.4信息系統(tǒng)平安評估標準所面臨的問題及改進建議3.加強國內(nèi)信息系統(tǒng)平安評估標準的研究

從溝通交流的角度說，最好全世界只有一個標準，從國家平安的角度說，最好所有的標準都和國外的不同，就像中國和俄羅斯之間的鐵路一樣，軌距是不同的。標準意味著開放，互通，弱點公開，如果你自豪的宣稱你的系統(tǒng)到達了CCEAL4平安級別，那就意味著你同時也具有EAL4級缺陷，采用EAL5分析方法就可以解決。9.3國際與國內(nèi)信息系統(tǒng)平安測評認證測評認證的概念9.3.2測評認證的標準與標準9.3.3測評認證的方法與流程

9.3國際與國內(nèi)信息系統(tǒng)平安測評認證信息系統(tǒng)平安測評認證制度是維護國家平安、加強信息平安保障體系建設的重要手段。早期的信息系統(tǒng)平安標準主要是在產(chǎn)品和組件級上提出平安要求，各國的信息系統(tǒng)平安測評認證工作也曾一度圍繞產(chǎn)品而展開。隨著人們對信息系統(tǒng)平安的認識的深化，以及信息系統(tǒng)平安保障體系建設的開展和政府對信息平安宏觀管理的需要，系統(tǒng)級上的測評認證工作已經(jīng)在很多國家得到重視，與之相關的研究也在大力開展。但信息系統(tǒng)平安的評估、認證與認可是個復雜的問題。其復雜性不但有來源于信息系統(tǒng)平安本身，更來源于評估中涉及的角色、責任、流程以及行政管理問題。本節(jié)將簡要介紹國內(nèi)外信息系統(tǒng)平安測評認證情況，探討信息系統(tǒng)平安測評認證的方法、流程和標準。9.3.1測評認證的概念1.什么是測評認證？測評認證是現(xiàn)代質(zhì)量認證制度的重要內(nèi)容，其實質(zhì)是由一個中立的權威機構，通過科學、標準、公正的測試和評估向消費者、購置者〔即需方〕證實生產(chǎn)者或供方所提供的產(chǎn)品和效勞，符合公開、客觀和先進的標準。具體言之，測評認證的對象是產(chǎn)品或過程、效勞；它的依據(jù)是國家標準、行業(yè)標準或認證機構確認的技術標準；它的方法是對產(chǎn)品進行抽樣測試檢驗和對供方的質(zhì)量保證能力即質(zhì)量體系進行檢查評審，以及事后定期監(jiān)督；它的性質(zhì)是由具有檢驗技術能力和政府授權認證資格的權威機構，按照嚴格程序進行的科學公正的評價活動；它的表示方式是頒發(fā)認證證書和認證標志。9.3.1測評認證的概念2.平安性認證的概念平安性認證是指，隨著信息產(chǎn)品、信息平安產(chǎn)品和信息系統(tǒng)的增多，面對越來越多的向社會提供專門的信息平安效勞，包括平安技術開發(fā)、產(chǎn)品經(jīng)營和系統(tǒng)集成的公司、企業(yè)，如何讓消費者、管理者乃至國家確信它們是“平安的〞，這就需要一個高度專業(yè)化、具有專門技術手段和能力的權威機構，通過科學公正和有效手段對它們作平安性測評認證。因此，信息平安性認證成為信息化時代國家測評認證工作的新領域。9.3.1測評認證的概念3.測評認證的產(chǎn)生國際上信息大國每年用于信息平安領域的預算開支都在10億美元以上。中國的信息平安產(chǎn)業(yè)近10年以驚人的速度開展起來。2000年底與信息平安相關的注冊公司達1300多家，隨著中國信息化水平的全面提高，將擁有世界最大的信息平安市場。9.3.1測評認證的概念4.測評認證的重要性就我國而言，如何吸取國外測評認證的先進經(jīng)驗，采用國外信息平安管理的通行方法，建立起我國的信息平安測評認證制度和實施體系，就成為我國信息化開展的當務之急。信息平安測評認證體系的建立和運行，對我國國家信息化的各個方面都具有十分現(xiàn)實的意義。首先，對我國按國際慣例建立和實施有關信息產(chǎn)品、信息平安產(chǎn)品的市場準入制度、技術管理和信息系統(tǒng)運行控制制度等方面的決策，提供科學公正的技術依據(jù)。其次，對各方用戶采購信息平安產(chǎn)品，設計、建設、使用和管理平安的信息系統(tǒng)提供權威公正的專業(yè)指導；第三，對信息平安產(chǎn)品的研究、開發(fā)、生產(chǎn)企業(yè)和提供其他信息平安效勞的企業(yè)，進行嚴格標準與科學引導，提高其市場競爭能力和技術進步水平。9.3.2測評認證的標準與標準1.標準的作用標準是技術性法規(guī)，作為一種依據(jù)和尺度，沒有標準就沒有測評認證。在信息平安這一特殊高技術領域，沒有標準，國家有關的立法、執(zhí)法就會因缺乏相應的技術尺度而失之偏頗，最終會給國家信息平安的管理帶來嚴重后果。比方，對信息平安產(chǎn)品的生產(chǎn)、銷售管理，對產(chǎn)品的市場準入管理，對信息平安產(chǎn)品采購政策的制訂，對社會各類信息系統(tǒng)〔網(wǎng)絡〕的平安管理，對電子網(wǎng)絡違法犯罪行為的司法管理等等，無一不依據(jù)相應標準。9.3.2測評認證的標準與標準2.國內(nèi)外測評認證標準在信息平安標準的體系性、詳盡性和先進性各方面都走在前面的是美國。美國國家平安局、美國國家標準技術局、美國聯(lián)邦政府、美國國防部、美國商務部等，都不斷推出自己的適用標準。這些標準，根本上左右了全球信息平安技術的走向。但是，由于信息平安產(chǎn)品和系統(tǒng)的平安性評價，事關國家主權和平安利益，通常，任何國家不會輕易相信由別的國家所作的評價結果，為保險起見，總要通過自己的測試才認為可靠。因此沒有一個國家會把事關國家平安利益的信息平安產(chǎn)品和系統(tǒng)的平安可信性建立在別人的評價根底上。而是在充分借鑒國際標準的前提下，制訂自己的測評認證標準。以美國誕生TCSEC為契機，世界其他先進國家也開始制定本國的信息技術平安評估標準。9.3.2測評認證的標準與標準3．測評認證工作體系〔1〕體系信息平安測評認證體系，由三個層次的組織和功能構成，第一層次是國家信息平安測評認證管理委員會。這個管理委員會是一個跨部門的機構。代表國家有關信息產(chǎn)業(yè)和信息平安主管部門以及信息平安產(chǎn)品的供方、需方，對中國國家信息平安測評認證中心運作的獨立性、測評認證活動的公正性、科學性和標準性進行監(jiān)督管理。其主要職責是：制訂、修訂有關認證實施的方針、政策性文件；審批中國國家信息平安測評認證中心工作規(guī)劃；審查擬開展認證產(chǎn)品目錄并報經(jīng)國務院產(chǎn)品質(zhì)量監(jiān)督行政主管部門批準實施；審批因現(xiàn)行標準不能滿足認證需要時由認證中心設定的有關技術標準和補充技術要求；審批測評認證中心的外部檢驗機構和審核機構以及批準認證證書的撤消，受理有關投訴、申訴等。9.3.2測評認證的標準與標準〔2〕中國國家信息平安測評認證中心1997年初，經(jīng)國務院信息化工作領導小組批準，國務院信息化工作領導小組辦公室立項籌建“中國互聯(lián)網(wǎng)絡平安產(chǎn)品測評認證中心〞。1998年7月，中心建成并通過國家驗收。鄒家華副總經(jīng)理專門發(fā)來賀信。1998年10月，經(jīng)國家質(zhì)量技術監(jiān)督局授權，成立“中國國家信息平安測評認證中心〞。再經(jīng)過4個月的評審、整改和復查，通過“中國產(chǎn)品質(zhì)量認證機構國家認可委員會〞和“中