下载掌阅APP,畅读海量书库
立即打开
“没有规矩,不成方圆”,这句话在信息系统风险评估领域也是适用的。没有标准指导下的风险评估是没有任何意义的。通过依据某个标准的风险评估或者得到该标准的评估认证,不但可以为信息系统提供可靠的安全服务,而且可以树立单位的信息安全形象,提高单位的综合竞争力。从美国国防部1985年发布的著名的可信计算机系统评估准则(TCSEC)起,世界各国根据自己的研究进展和实际情况,相继发布了一系列有关安全评估的准则和标准,如美国的TCSEC;英国、法国、德国和荷兰等国于20世纪90年代初发布的信息技术安全评估准则(ITSEC);加拿大于1993年发布的可信计算机产品评价准则(CTCPEC);美国于1993年制定的信息技术安全联邦标准(FC);由6国(加拿大、法国、德国、荷兰、英国、美国)于20世纪90年代中期提出的信息技术安全性评估通用准则(CC);由英国标准协会(BSI)制定的信息安全管理标准BS 7799(ISO 17799),以及最近得到ISO认可的SSE-CMM(ISO/IEC21827:2002)等。我国根据具体情况,也加快了对信息安全标准化的步伐和力度,相继颁布了如《计算机信息系统 安全保护等级划分准则》(GB 17859)、《信息技术 安全技术 信息技术安全性评估准则》(GB/T18336),以及针对不同技术领域的其他一些安全标准。下面简单介绍其中比较典型的几个标准。
信息技术安全评估公共标准CCITSE(common criteria of information technical security evaluation),简称CC(ISO/IEC 15408-1),是美国、加拿大及欧洲4国(共6国7个组织)经协商同意,于1993年6月起草的,是国际标准化组织统一现有多种准则的结果,是目前最全面的评估准则。
CC源于TCSEC,但已经完全改进了TCSEC。CC的主要思想和框架都取自ITSEC(欧)和FC(美),它由3部分内容组成。
1)介绍及一般模型。
2)安全功能需求(技术上的要求)。
3)安全认证需求(非技术要求和对开发过程、工程过程的要求)。
与早期的评估准则相比,CC主要具有四大特征。
1)CC符合PDR模型。
2)CC评估准则是面向整个信息产品生存期的。
3)CC评估准则不仅考虑了保密性,而且还考虑了完整性和可用性多方面的安全特性。
4)CC评估准则有与之配套的安全评估方法CEM(Common Evaluation Methodology)。
BS 7799标准是由英国标准协会(BSI)制定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,包括两部分:①BS 7799-1:1999《信息安全管理实施细则》;②BS 7799-2:2002《信息安全管理体系规范》,其中BS 7799-1:1999于2000年12月通过国际标准化组织(ISO)认可,正式成为国际标准,即ISO/IEC 17799:2000。
BS 7799-1:1999《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则,BS 7799-2:2002以BS 7799-1:1999为指南,详细说明按照PDCA模型建立、实施及文件化信息安全管理体系(ISMS)的要求。
信息安全工程能力成熟度模型(System Security Engineering Capability Maturity Model)是关于信息安全建设工程实施方面的标准。
SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程过程。该模型定义了一个安全工程过程应有的特征,这些特征是完善的安全工程的根本保证。SSE-CMM模型通常以下述3种方式来应用:①“过程改善”——可以使一个安全工程组织对其安全工程能力的级别有一个认识,于是可设计出改善的安全工程过程,这样就可以提高他们的安全工程能力;②“能力评估”——使一个客户组织可以了解其提供商的安全工程过程能力;③“保证”——通过声明提供一个成熟过程所应具有的各种依据,使得产品、系统和服务更具可信性。