标准参考：常用的各项信息安全标准

申请免费试用、咨询电话：400-8352-114

常用的各项信息安全标准 1

引言

在席卷全球的信息化浪潮中，我国的信息网络建设也获得了快速发展，从“政府上网办公—电子政务”到“企业上网采购—电子商务”，网络已经渗透到各行各业和人民的生活，网络正逐步改变着人们的生产和生活方式，推动着企业进步和机制、体制的不断改革。伴随着国内网络建设高潮而来的计算机和网络犯罪也不断出现，网络信息安全问题日益突显出来，信息网络的安全一旦遭受破坏，其影响或损失将十分巨大。

随着人们对信息安全认识的深入，信息安全标准逐渐成为信息安全领域中普遍应用的标准。对广大产品提供商来说，生产符合标准的信息安全产品、参与信息安全标准的制定、通过相关的信息安全方面的认证，对于提高厂商形象、扩大市场份额具有重要意义；对用户而言，了解产品标准有助于选择更好的安全产品，了解评测标准则可以科学地评估系统的安全性，了解安全管理标准则可以建立实施信息安全管理体系；对普通技术人员来讲，了解信息安全标准的动态可以站在信息安全产业的前沿，有助于把握信息安全产业整体的发展方向。

下面对常用的ISO15408/CC、ISO13335、SSE-CMM进行介绍。

1.ISO15408

ISO/IECl5408—1999《信息技术安全技术信息技术安全性评估准则》(简称CC)是国际标准化组织统一现有多种评估准则的努力结果，是在美国和欧洲等国分别自行推出并实践测评准则及标淮的基础上，通过相互间的总结和互补发展起来的。

CC标准是第一个信息技术安全评价国际标准，它的发布对信息安全具有重要意义，是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。

CC定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效地实施这些功能的保证要求。功能和保证要求又以“类—子类—组件”的结构表述，组件作为安全功能的最小构件块，可以用于“保护轮廓”、“安全目标”和“包”的构建，例如由保证组件构成典型的包—“评估保证级”。另外，功能组件还是连接CC与传统安全机制和服务的桥粱，以及解决CC同已有准则如TCSEC、ITSEC的协调关系，如功能组件构成TCSEC的各级要求。

CC分为3个部分：第1部分“简介和一般模型”，正文介绍了CC中的有关术语、基木概念和一般模型以及与评估有关的一些框架，附录部分主要介绍“保护轮廓”和“安全目标”的基本内容；第2部分“安全功能要求”，按“类—子类—组件”的方式提出安全功能要求，每一个类除正文以外，还有对应的提示性附录作进一步解释；第3部分“安全保证要求”，定义了评估保证级别，介绍了“保护轮廓”和“安全目标”的评估，并按“类—子类—组件”的方式提出安全保证要求。CC的三个部分相互依存，缺一不可。其中，第1部分是介绍CC的基本概念和基本原理，第2部分提出了技术要求，第3部分提出了非技术要求和对开发过程、工程过程的要求。这3部分的有机结合具体体现在“保护轮廓”和“安全目标”中，“保护轮廓”和“安全目标”的概念和原理由第1部分介绍。“保护轮廓”和“安全目标”中的安全功能要求和安全保证要求在第2、3部分选取，这些安全要求的完备性和一致性由第2、3部分来保证。

CC标准的核心思想有两点：一是信息安全技术提供的安全功能本身和对信息安全技术的保证承诺之间独立；二是安全工程的思想，即通过对信息安全产品的开发、评价、使用全过程的各个环节实施安全工程来确保产品的安全性。

CC标准强调在IT产品和系统的整个生命周期确保安全性，因此，CC标准可以同时面向消费者、开发者、评价者3类用户，同时支持他们的应用。对应3种不同的用户，CC标准有3种主要应用方式：定义安全需求、辅助安全产品开发、评价产品安全性。

图1是ISO15408的安全模型。

2.ISO13335

ISO13335《IT安全管理方针》的主要目的是给出如何有效地实施IT安全管理的建议和指南，该标准目前分为5个部分。

第1部分：IT安全的概念和模型(ConceptsandmodelsforITSecurity），发布于1996年。该部分包括了对IT安全和安全管理的一些基本概念和模型的介绍。

第2部分：IT安全的管理和计划(ManagingandplanningITSecurity），发布于1997年。这个部分建议性地描述了IT安全管理和计划的方式和要点，包括：

●决定IT安全目标、战略和策略；

●决定组织IT安全需求；

●管理IT安全风险；

●计划适当IT安全防护措施的实施；

●开发安全教育计划；

●策划跟进的程序，如监控、复查和维护安全服务；

●开发事件处理计划。

第3部分：IT安全的技术管理(TechniquesforthemanagementofITSecurity），发布于1998年。这个部分覆盖了风险管理技术、IT安全计划的开发以及实施和测试，还包括一些后续的制度审查、事件分析、IT安全教育程序等。

第4部分：防护的选择(Selectionofsafeguards），发布于2000年。主要探讨如何针对一个组织的特定环境和安全需求来选择防护措施(不仅仅包括技术措施)。

第5部分：外部联接的防护(Safeguardsforexternalconnections），发布于2001年。这部分主要描述了网络安全的管理原则以及各组织如何建立框架以保护和管理信息技术体系的安全性。这一部分将有助于防止网络攻击，把使用IT系统和网络的危险性降到最低。

ISO13335具有以下特点：

（1）不同的信息安全概念在常见的很多信息安全文献中，定义“信息安全”主要包括3个方面：机密性、完整性、可用性，而在ISO13335-1中给出了IT安全6个方面的含义：

●Confidentiality(保密性)—确保信息不被非授权的个人、实体或者过程获得访问；

●Integrity(完整性)—包含数据的完整性，即保证数据不被非法地改动或销毁；同样还包含系统的完整性，即保证系统按照预定的功能运行，不受有意或无意的非法操作所破坏；

●Availability(可用性)—保证授权实体在需要时可以正常地访问和使用系统；

●Accountability(审计性)—确保一个实体的访问可以被唯一的鉴别、跟踪和记录；

●Authenticity(认证性)—确认和识别一个主体或资源就是其所声称的，被认证的可以是用户、进程、系统和信息等；

●Reliability(可靠性)—保证预期的行为和结果的一致性；

可以看出，ISO13335-1中对安全6个要点的阐述是对传统3要点的更细致的定义，对信息安全工作有很重要的指导意义。在ISO13335-4中就针对6方面的安全需求分别列出了一系列的安全防护措施。

（2）以风险为核心的安全模型

在ISO13335中定义了如下几个关键要素：

●Assets(资产)—包括硬件、软件、数据、服务、文档、人员、企业形象等。

●Threats(威胁)—对系统、组织和资产等可能引起的不良影响。这些影响可能是由环境、人员、系统等造成的。

●Vulnerabilities(漏洞)—是存在于系统各方面的脆弱性。这些漏洞可能存在于组织结构、业务流程、物理环境、人员管理、硬件、软件或者信息本身。

●Impact(影响)—是不希望出现的一些事件。这些事件导致信息在保密性、完整性、可用性、审计性、认证性、可靠性等方面的损失，并且造成信息资产的损失。

●Risk(风险)—威胁信息系统的漏洞，引起的一些事件。对信息资产造成一些不良影响的可能性。整个安全管理实际上就是风险管理。

●Safeguards(防护措施)—是为了降低风险所采用的解决办法。这些措施有些是在环境方面的，如：门禁系统、人员安全管理、防火措施、电源等；有些措施是技术方面的，如：防火墙、网络监控和分析、加密、数字签名、防病毒、备份和恢复、访问控制、PKI等。

●ResidualRisk(剩余风险)—在经过一系列安全控制和安全措施之后，信息安全的风险会降低，但是绝对不会完全消失，会存在一些剩余风险。对这些风险可能需要用其他方法处理，如：转嫁或者承受。

●Constraints(约束）—是一些组织实施安全管理时所受到的环境影响，不能完全按照理想的方式执行。这些约束可能来自组织结构、财务能力、环境限制、人员素质、时间、法律、技术、文化和社会等方面。