下载掌阅APP,畅读海量书库
立即打开
随着信息技术的发展,政府、军队、公司、金融机构、医院等组织机构构建了各种各样的IT系统,积累了大量产品研发、生产经营、财务运作、员工档案、客户关系等与组织业务运营和生产经营相关的信息资产。这些资产被收集、组织、存储在IT系统中,并通过网络传输到组织内外的网络化系统中。诸如个人信息、重要数据等敏感信息一旦泄露或遭受破坏,可能会导致相关机构和个人在经济等多个层面的损失。因此,信息安全技术从20世纪60年代开始逐步得到重视。
对信息的保护应从多个方面进行考虑。例如,IT系统必须遵循各种法律法规及组织合规性的要求,确保IT系统及其管理信息受到保护,不受偶然的或者恶意的因素影响而遭到破坏、修改、泄露;同时,IT系统及IT产品组成部分应能连续、可靠地运行,保证组织业务运行的连续性。
实际上,信息保护的目标随着人们对信息安全技术的认识逐步加深而渐渐清晰。信息安全最初用于保护IT产品和IT系统中处理、传递的秘密数据,注重数据在传输和存储过程中的机密性。因此,早期的信息安全主要强调的是通信安全。随着主机技术、数据库技术和信息系统的广泛应用,信息安全概念逐步扩充到数据完整性,包括用户身份鉴别、授权和访问控制、安全审计等安全机制与功能。因此,在20世纪70年代,信息安全强调计算机安全。随着计算机软硬件技术的快速发展,出现了对内开放、对外封闭的IT系统,计算机在处理、存储、传输和使用信息时面临被泄露、窃取、篡改、滥用、干扰、丢失等安全威胁,出现了数据加密、可信计算等面向信息保护的信息安全概念。网络的发展,特别是互联网技术的发展使IT产品和系统的应用范围不断扩大,IT产品和系统依赖网络的正常运行,信息安全必须考虑网络安全。
21世纪以来,特别是随着云计算、移动互联网技术和大数据技术的广泛应用,信息安全又上升到“网络空间安全”层次。网络空间是所有IT产品和系统的集合,是人类生存的信息环境,人在其中与信息相互作用、相互影响,并由此产生人与人、人与社会的更深层次的交流。网络空间安全的概念最宏观,涉及技术、法律、经济、军事等诸多领域。2015年6月,国务院学位委员会和教育部批准在我国增设网络空间安全一级学科。网络空间安全是研究信息获取、信息存储、信息传输和信息处理领域中信息安全保障问题的一门新兴学科,融合了计算机、电子、通信、数学、物理、生物、管理、法律和教育等诸多学科,是一门交叉学科。
在有关信息安全的国际标准中,安全通常定义为“安全是指保护信息在采集、传输和处理中,免遭未授权的泄露(机密性)、未授权的修改(完整性),并对授权实体而言是随时可用的(可用性)”。换句话说,安全是指处理信息的硬件、软件及网络受到保护,不因偶然的或者恶意的原因而遭到破坏、修改、泄露,IT系统连续、可靠、正常地运行,信息服务不中断。
从安全属性着眼,业界普遍认可1985年美国国防部发布的计算机安全桔皮书《可信计算机系统评估标准》(TCSEC)所提出的 机密性、完整性、可用性(Confidentiality, Integrity, Availability,CIA)信息安全“金三角” 框架模型。
机密性 是指保证信息不泄露给非授权的用户或实体,确保存储的信息和传输的信息仅能被得到授权的各方得到,而非授权用户无法知晓信息内容,不能使用。它是信息安全的基本特性,也是信息安全研究的主要内容之一。对于纸质文档中的信息,保护好文件,使其不被非授权用户接触即可。而对于计算机及网络环境中的信息,不仅要通过访问控制制止非授权用户对信息的阅读或阻止授权用户将其访问的信息传递给非授权用户,也要通过各种加密变换技术阻止非授权用户获知信息内容。在信息安全领域,机密性有时又称为保密性。
完整性 是指在信息生成、传输、存储和使用过程中,确保信息或数据不被未授权用户篡改(插入、修改、删除、重排序等)或在篡改后能够被迅速发现。例如在数据库中,完整性是为防止存在不符合语义规定的数据和防止因错误信息的输入输出造成无效操作或信息错误而提出的。在通信领域,完整性主要通过消息认证码等消息鉴别技术来实现;在云存储领域,数据完整性主要通过数据冗余编码、数字签名、消息认证码等技术来保证。因此,一般通过访问控制阻止篡改行为,同时通过消息鉴别算法来验证信息是否被篡改。
可用性 是指在某个考查时间段内,信息系统能够正常运行,可以通过概率或时间占有率期望值来度量。可用性是IT产品和系统的可靠性、可维护性和维护支持性的综合特性。相对信息安全来讲,可用性是指授权主体在需要信息时能及时得到信息服务的能力。可用性是在信息安全保护阶段对信息安全提出的重要要求,也是在网络化空间中信息服务必须满足的一项信息安全要求。
当然,不同的组织和机构因其对信息安全目标的不同期望,对机密性、完整性和可用性要求的侧重会存在差异。信息安全的机密性、完整性和可用性主要强调对非授权用户的安全控制。而对授权用户(即合法身份的用户)的不正当行为如何进行控制呢?在TCSEC基础上,ISO/IEC 27001:2022(对应国标GB/T 22080—2016)等标准提出了信息安全的其他属性,包括可控性、不可否认性、可审计性、可鉴别性等。其中,可控性、不可否认性等安全属性通过控制授权用户的行为,实现对保密性、完整性和可用性的有效补充。这些安全属性主要强调授权用户只能在授权范围内对IT产品和系统资源及数据进行合法的访问和处理,IT产品和系统会对授权用户的行为进行监督和审查。
可控性 是度量IT产品和系统中的所有安全状态是否可被其输入数据影响的性质。如果IT产品和系统所有状态变迁都可被输入数据影响和控制,且从任意的初始状态都可达到某个指定状态,则称IT产品和系统安全功能行为是可控的。或者更确切地说,IT产品和系统的安全状态是可控的。否则就称IT产品和系统安全功能是不完全可控的,或简称为IT产品和系统安全功能不可控。因此,可控性要求IT产品和系统管理的信息及其安全技术与控制机制对用户是透明的,用户可通过输入参数和安全管控措施对IT产品和系统的信息和技术机制实施安全监控管理,防止它们被非法访问和使用。
不可否认性 是指防止发送方或接收方抵赖所传输的信息及其行为,要求无论发送方还是接收方都不能抵赖所进行的信息传输。因此,当发送一个信息时,接收方能证实该消息的确是由所宣称的发送方发来的(源非否认性)。当接收方接收到一个消息时,发送方能够证实该消息的确送到了指定的接收方(非否认性)。信息安全领域一般通过数字签名来提供抗否认服务。
可审计性 要求IT产品和系统记录针对网络服务资源(包括数据库、主机、操作系统、网络设备、安全设备等)所发生的各种事件并提供给安全管理员,作为系统维护及安全防范的依据。安全审计是保障信息的机密性、完整性、可控性、可用性和不可否认性的重要手段。从不同的审计角度和实现技术与机制进行划分,安全审计分为合规性审计、日志审计、网络行为审计、主机审计、应用系统审计、集中操作运维审计等。
可鉴别性 是指确保一个信息的来源或信息本身被正确地标识,同时确保该标识没有被伪造,分为实体鉴别和消息鉴别。消息鉴别是指能向接收方保证该消息确实来自它所宣称的源;实体鉴别是指在双方通信连接发起时能确保这两个实体是可信的,即每个实体的确是他们宣称的那个实体,使第三方不能假冒这两个合法方中的任何一方。可鉴别性也是一个与不可否认性相关的概念。为了达到信息安全的目标,各种信息安全技术的使用必须遵守一些基本原则。
需要指出的是,ISO/IEC 15408:2022(对应GB/T 18336—2024)已替代TCSEC,成为国际互认的信息技术安全的通用评估准则。该标准对安全属性的支持十分宽泛,不仅提供了针对机密性、完整性和可用性这3个属性的安全组件,还提供了丰富的安全组件来支持可鉴别性、不可否认性、可审计性、用户隐私性、数据和实体真实性等安全属性,同时它还允许用户通过扩展组件定义来支持IT产品其他特定的安全要求。
通用评估准则体现了西方国家在信息技术安全评估领域多年来的发展成果,标志着它们在“信息技术安全评估标准”这一领域的新高度。早在计算机诞生之初,人们对计算机安全的需求及对信息安全的关注便开始萌芽。在那个时代,国防、情报等国家敏感领域相关部门是计算机的主要用户,他们非常重视计算机安全技术及其测试与评估技术,以防止非授权人员对国家重要信息或机密信息蓄意或无意的访问,或者是对可能导致组织机密信息泄露的计算机及其外围设备的非授权操作。
由于信息技术安全评估的复杂性和IT国际贸易的迅速发展,单靠一个国家或地区自行制定并实行的信息技术安全评估标准已无法满足测评结果国际互认的要求。因此,西方多个国家安全机构与组织决定集结他们的资源以应对信息技术发展带来的各种安全挑战,提出了制定统一的IT产品和系统安全评估标准的方案。在此方面,原欧洲共同体提出的《信息技术安全评估准则》(ITSEC)为多国共同制定区域性信息安全标准开了先河。为了掌握IT市场的主导权,美国在ITSEC发布之后立即倡议欧美6个国家的7个组织,包括英国、法国、德国、荷兰、加拿大的国家安全相关机构,以及美国国家安全局(National Security Agency,NSA)和国家标准技术研究所(National Institute of Standards and Technology,NIST),共同制定《信息技术安全通用评估准则》(CC),这6个国家成为CC发起人。1993年6月,CC编辑理事会(Common Criteria Editorial Board,CCEB)成立,正式启动CC的编制工作,随后通过与ISO/IEC JTC1/SC27的WG3合作,于1994年启动了CC项目的国际化工作,以便将CC及其配套标准以ISO/IEC国际标准的形式进行发布和维护。
CC是在早期多种信息技术安全评估相关标准(如TCSEC、ITSEC、CTCPEC、FC等)基础上开发和不断完善而来的,其优势体现在安全要求表达结构的开放性、表达方式的通用性、表达结构的内在逻辑完备性及标准的实用性几个方面。这些特点是CC不断扩大应用范围、取得应用成效的主要原因。
在CCEB与ISO/IEC JTC1/SC27 WG3合作前,国内的学者就已跟踪区域性信息技术安全评估标准的研制工作。在CC成为ISO/IEC标准后,由中国信息安全测评中心牵头,会同上海交通大学、中国科学院等机构对ISO/IEC 15408:1999标准进行了翻译和转标处理,于2001年完成了等同ISO/IEC 15408:1999的国家推荐标准GB/T 18336—2001《信息技术 安全技术 信息技术安全评估准则》,包含以下3个部分:GB/T 18336.1—2001《信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般模型》(对应ISO/IEC 15408-1);GB/T 18336.2—2001《信息技术 安全技术 信息技术安全评估准则 第2部分:安全功能组件》(对应ISO/IEC 15408-2);GB/T 18336.3—2001《信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件》(对应ISO/IEC 15408-3)。
2022年,CC最新版本发布,国内对应采标为GB/T 18336.1—2024,新增GB/T 18336.4—2024《信息技术 安全技术 信息技术安全评估准则 第4部分:评估方法和活动的规范框架》(对应ISO/IEC 15408-4)和GB/T 18336.5—2024《信息技术 安全技术 信息技术安全评估准则—第5部分:预定义的安全要求包》(对应ISO/IEC 15408-5)。
CC安全模型的核心,在于明确产品的市场定位与应用场景,进而深入分析影响安全性的两大核心要素:内因(脆弱性)与外因(威胁)。脆弱性主要源于系统设计与实现中的不足,如代码缺陷、配置错误等;而威胁则来自外部环境的恶意行为,如黑客攻击、病毒传播等。通过深入剖析这两大要素,我们能够更准确地评估安全风险,为制定有效的安全对策提供依据,CC安全模型如图1-4所示。
在设计安全产品时,我们的目标是通过合理的组合与配置,最大限度地降低安全风险,保护资产免受损害。这要求人们在充分理解威胁与脆弱性的基础上,灵活运用各种安全技术与产品,如防火墙、入侵检测系统、数据加密等,构建出多层次、立体化的安全防护体系。
CC标准定义了两类关键的安全需求: 功能需求、保障需求 。
图1-4 CC安全模型
功能需求是指信息安全产品或系统必须具备的安全功能,它们是确保产品或系统能够稳定、安全运行的基本条件。以操作系统为例,功能需求可能包括用户身份验证、访问控制、数据加密、日志审计等,这些功能共同构成了操作系统的安全防线,保护系统免受未授权访问和数据泄露等风险。对于数据库而言,功能需求则可能涉及数据完整性保护、并发控制、备份恢复等,以确保数据的准确性和可用性。明确和满足功能需求,是信息安全产品设计和开发过程中的关键环节,也是产品获得市场认可和用户信任的基础。
保障需求与信息安全产品或系统安全性的保障程度紧密相关,并且这种需求是分层次的。以操作系统为例,保证等级可能划分为四级或五级,每一级都代表了操作系统在安全性方面的不同保证程度。保障需求可以类比为一扇门的坚固程度,它不仅关注门的基本作用(即功能需求),更关注门在抵御外部威胁时的能力和强度。就像木门、铁门,以及不同级别的防盗门一样,它们在抵御撬锁、撞击等威胁时的表现各不相同,从而反映了不同的安全保证级别。在信息安全领域,保障需求的高低直接决定了产品或系统在面对复杂多变的安全威胁时的抵御能力。
CC还引入了评估保障级别(Evaluation Assurance level,EAL)的概念,用于表示对产品进行评估的深度和严格程度。EAL级别分为EAL1~EAL7,级别越高表示评估越严格,产品的安全性能越可靠,如表1-2所示。
表1-2 EAL的说明
CC被广泛应用于操作系统、网络设备、软件等IT产品的安全评估中;产品的CC认证由授权的独立评估实验室进行,评估过程包括安全功能、功能和保证措施的测试与验证。如果产品符合指定的标准,就可以获得认证并列入评估产品列表。通过CC认证的产品可以在国际市场上获得更多的认可和信任,因为CC具有广泛的国际互认性。目前,已有多个国家签署了《CC互认协定》(CCRA),明确了该体系下认证产品可以得到广泛的认可。
由于操作系统在智能终端的核心枢纽地位,很多智能终端厂商的操作系统通过了CC的高等级评估认证。2013年,黑莓的BlackBerry 10 OS通过了EAL4级安全评估。2015年,元心公司完成了国内首个移动操作系统的EAL4级安全评估。2021年12月,元心公司的安全微内核通过了中国信息安全测评中心的CC EAL5+级别测评,成为国内权威测评机构颁发的首例EAL5+级别的软件产品。2023年7月,华为鸿蒙微内核获得了CC EAL6+级别认证,这是业界通用操作系统内核领域的最高安全等级认证。2024年6月,华为HarmonyOS NEXT斩获智能终端操作系统领域首个EAL5+级别的认证。