本书是我国信息安全管理领域的重要专著,为我国各类组织管理信息安全风险提供了最佳实践。它从标准释疑、实施和案例分析三方面入手,全面阐述了信息安全管理体系的全生命周期。文中全面介绍了ISO/IEC 17799(DS7799)这一全球公认的信息安全管理标准的产生、发展历程及其主要内容;深入阐述了实施信息安全管理的方法、步骤及应用软件;并首次批露我国企业实施BS7799的经验和教训;同时,“BS7799实施案例”重点从客户、咨询公司、厂商三个方面介绍了四个典型案例。 本书不仅适用于CEO、CIO、IT战备规划主管、CSO、政府和企业管理人员、IT咨询顾问,而且也是信息系统审计师和信息安全管理体系审核员的必备参考佳作,更可作为高等院核校从事信息安全管理教学研究的师生的参考文献。
1.1 什么是信息安全管理
人类正进入信息化社会,社会发展对信息资源的依赖程度越来越大,从人们日常生活、组织运作到国家管理,信息资源都是不可或缺的重要资源,没有各种信息的支持,现代社会将不能生存和发展。在信息社会中,一方面信息已成为人类重要资产,在政治、经济、军事、教育、科技、生活等方面发挥着重要作用,另一方面计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。由于信息具有易传播、易扩散、易毁损的特点,信息资产的比传统的实物资产更加脆弱,更容易受到损害,使组织在业务运作过程中面临大量的风险。其风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱环节,以及大量存在于组织内、外的各种威胁,因此对信息系统需要加以严格管理和妥善保护。
信息可以理解为消息、情报、数据或知识,它可以以多种形式存在,可以是组织中信息设施中存储与处理的数据、程序,可以是打印出来的或写出来的论文、电子邮件、设计图纸、业务方案,也可以显示在胶片上或表达在会话中消息。所有的组织都有他们各自处理信息的形式,例如,银行、保险和信用卡公司都需要处理消费者信息,卫生保健部门需要管理病人信息,政府管理部门存储机密的和分类信息。无论组织对这些信息采用什么样的共享、处理和存储方式,都需要对敏感信息加以安全、妥善的保护,不仅要保证信息处理和传输过程是可靠的、有效的,而且要求重要的敏感信息是机密的、完整的和真实的。为达到这样的目标,组织必须采取一系列适当的信息安全控制措施才可以使信息避免一系列威胁,保障业务的连续性,最大限度地减少业务的损失,最大限度地获取投资回报。
在ISO17799中,对信息的定义更确切、具体:“信息是一种资产,像其他重要的业务资产一样,对组织具有价值,因此需要妥善保护”。通过风险评估与控制,不但能确保企业持续营运,还能减少企业在面对类似‘911事件’之时出现的危机。
1.1.1 信息安全
网络技术的发展加速了信息的传输和处理,缩短了人们之间的时空距离,方便了交流;同时对信息安全提出了新的挑战。据统计,全球平均20秒就发生一次计算机病毒入侵;互联网上的防火墙大约25%被攻破;窃取商业信息的事件平均以每月260%的速度增加;约70%的网络主管报告了因机密信息泄露而受损失。国与国之间的信息战问题更是关系到国家的根本安全问题。
信息安全已扩展到了信息的可靠性、可用性、可控性、完整性及不可抵赖性等更新、更深层次的领域。这些领域内的相关技术和理论都是信息安全所要研究的领域。国际标准化组织(ISO)定义信息安全是“在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。
信息安全一般包括实体安全、运行安全、信息安全和管理安全四个方面的内容。
l 实体安全是指保护计算机设备、网络设施以及其他通讯与存储介质免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施、过程。
l 运行安全是指为保障系统功能的安全实现,提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急措施)来保护信息处理过程的安全。
l 信息安全是指防止信息资源的非授权泄露、更改、破坏,或使信息被非法系统辨识、控制和否认。即确保信息的完整性、机密性、可用性和可控性。
l 管理安全是指通过信息安全相关的法律法令和规章制度以及安全管理手段,确保系统安全生存和运营。
美国国家电信与信息系统安全委员会(NTISSC)主席、美国C3I负责人、前国防部副部长Latham D C认为,信息安全(INFOSEC)应包括以下六个方面:
l l 通信安全(COMSEC)
l l 计算机安全(COMPUSEC)
l l 符合瞬时电磁脉冲辐射标准(TEMPEST)
l l 传输安全(TRANSEC)
l l 物理安全(Physical Security)
l l 人员安全(Personnel Security)
综上所述,信息安全的主要内容包括:机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)和有效性(Utility)。
在BS7799中 信息安全主要指信息的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施,来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中,信息的机密性、完整性和可用性不被破坏。
机密性是指确保只有那些被授予特定权限的人才能够访问到信息。信息的机密性依据信息被允许访问对象的多少而不同,所有人员都可以访问的信息为公开信息,需要限制访问的信息为敏感信息或秘密信息,根据信息的重要程度和保密要求将信息分为不同密级。例如,军队内部文件一般分为秘密、机密和绝密三个等级,已授权用户根据所授予的操作权限可以对保密信息进行操作。有的用户只可以读取信息,有的用户既可以进行读操作有可以进行写操作。
信息的完整性是指要保证信息和处理方法的正确性和完整性。信息完整性一方面是指在使用、传输、存储信息的过程中不发生篡改信息、丢失信息、错误信息等现象;另一方面是指信息处理的方法的正确性,执行不正当的操作,有可能造成重要文件的丢失,甚至整个系统的瘫痪。
信息的可用性是指确保那些已被授权的用户在他们需要的时候,确实可以访问得到所需要信息。即信息及相关的信息资产在授权人需要的时候,可以立即获得。例如,通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用,影响正常的业务运营,这是信息可用性的破坏。提供信息的系统必须能适当地承受攻击并在失败时恢复。
另外还要保证信息的真实性和不可否认性,即组织之间或组织与合作伙伴间的商业交易和信息交换是可信赖的。
1.1.2 信息安全管理
信息安全的建设是一个系统工程,它需求对信息系统的各个环节进行统一的综合考虑、规划和构架,并要时时兼顾组织内外不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。在这里我们可以引用管理学上的木桶原理加以说明。木桶原理指的是:一个木桶由许多块木板组成,如果组成木桶的这些木板长短不一,那么木桶的最大容量不取决于长的木板,而取决于最短的那块木板。这个原理同样适用信息安全。一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个事件,表现形式和载体会发生各种变化,这些环节中的任何一个都可能影响整体信息安全水平。要实现信息安全目标,一个组织必须使构成安全防范体系这只“木桶”的所有木板都要达到一定的长度。
由于信息安全是一个多层面、多因素的、综合的、动态的过程,如果组织凭着一时的需要,想当然去制定一些控制措施和引入某些技术产品,都难免存在挂一漏万、顾此失彼的问题,使得信息安全这只“木桶”出现若干“短木块”,从而无法提高安全水平。 正确的做法是遵循国内外相关信息安全标准与最佳实践过程,考虑到组织对信息安全的各个层面的实际需求,在风险分析的基础上引入恰当控制,建立合理安全管理体系,从而保证组织赖以生存的信息资产的安全性、完整性和可用性;另一方面,这个安全体系还应当随着组织环境的变化、业务发展和信息技术提高而不断改进,不能一劳永逸,一成不变。因此实现信息安全是一个需要一个完整的体系来保证的持续过程。这就是组织为什么需要信息安全管理的出发点。
信息安全管理是通过维护信息的机密性、完整性和可用性,来管理和保护组织所有的信息资产的一项体制。信息安全管理一般包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对员工进行安全意识培训等一系列工作,通过在安全方针策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、业务持续性管理、符合法律法规要求等十个领域内建立管理控制措施,来为组织建立起一张完备的信息安全“保护网”,来保证组织信息资产的安全与业务的连续性。
总之,信息安全管理是组织中用于指导和管理各种控制信息安全风险的、一组相互协调的活动,有效的信息安全管理要尽量做到在有限的成本下,保证安全“滴水不漏”。BS7799就是这样一个可以指导组织安全实践的信息安全管理标准,遵循这个标准的信息安全管理可以给组织带来两方面效益:一是信息安全的价值效益--减少信息安全事故的经济损失;二是非价值效益--增加声誉、提升品牌价值。
1.1.3 信息安全管理的重要性
信息已成为维持社会经济活动和生产活动的重要基础资源,成为政治、经济、文化、军事乃至社会任何领域的基础。组织对信息系统的不断增强的依赖性使得信息技术在提高组织工作效率的同时,也增大了组织重要信息受到严重侵扰和破坏后,组织面临资产损失、业务中断的风险。
当今组织的信息系统既面临着计算机欺诈、刺探情报、阴谋破坏、火灾、水灾等大范围的安全威胁,又面临着像计算机病毒、计算机攻击和黑客非法入侵等破坏,而且随着信息技术的发展和信息应用的深入,各种威胁变得越来越错综复杂。自1987年以来,全世界已发现超过50,000种计算机病毒,2000年5月爆发的“爱虫”病毒给全球用户造成了100亿美元的损失;美国每年因信息与网络安全问题所造成的损失高达75亿美元。权威机构调查显示:计算机攻击事件正在以年64%的速度增加。
另据统计,至2002年末,黑客事件平均每天614次,比2002年初提高20.2%。Internet上已有3万多个黑客网站,而且技术不断创新的,基本的攻击手段达到800多种。即使是防备森严的美国国防信息系统2000年也受到25万次黑客攻击,且成功进入率高达63%。
然而,能对组织造成巨大损失的风险主要还是来源于组织内部,国外统计结果表明企业信息受到的损失中,70%是由于内部员工的疏忽或有意泄密造成的。与二十年前大型计算机要受到严密看守,由技术专家管理的情况相比,今天计算机技术已唾手可得,无处不在。今天的计算机使用者大都很少受到严格的培训,每天都在以不安全的方式处理着企业的大量重要信息,而且企业的贸易伙伴、咨询顾问、合作单位等外部人员都以不同的方式使用着企业的信息系统,他们都对企业的信息系统构成了潜在的威胁。比如,仅仅是员工为了方便记忆系统登录口令而粘贴在桌面或计算机屏幕边的一张便条,就足以毁掉花费了大量人力物力建立起来的信息安全系统。许多对企业心存不满的员工把 “黑”掉企业网站,偷窃并散布客户敏感信息,为竞争对手提供机密的技术与商业数据,甚至破坏关键计算机系统作为对企业的报复行为,使企业蒙受了巨大的损失。
在信息社会,无论对于个人、企业还是国家,信息安全都是前所未有的重要,它既是行使和保障合法权益的基本手段,也是整个信息社会正常运行的先决条件。信息安全保障能力既是个人素质、企业实力的重要体现,也是国家主权和社会健康的重要标志。
在日益成为国家经济运行支柱的数字化、网络化环境中,如果没有信息安全,国家的经济体制与秩序安全,金融与货币安全,产业与市场安全,战略物资与能源安全,对外贸易与投资安全就不能得到有效保障。这正如我国著名的计算机专家沈昌祥院士所指出的:“信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界各国在奋力攀登的制高点。”
信息时代组织的正常运作离不开信息安全,组织商业机密的泄露会使组织失去核心竞争力,失去市场,失去客户;组织信息系统的故障会造成组织业务的中断,会造成资产与声誉的损失,因此组织要保持可持续发展,信息安全是重要保证之一。
人们日常生活也与信息安全息息相关,在信息化时代,个人信息以各种方式保存在银行、医院、保险公司、网络服务商的数据库,这些信息如果被非法利用,就会造成对个人隐私、个人资产、个人名誉造成损害。
信息安全管理是保护国家、组织、个人等各个层面上信息安全的重要基础。在一个有效的信息安全管理体系之上,通过完善信息安全治理结构,综合应用信息安全管理策略和信息安全技术产品,才有可能建立起一个真正意义上的信息安全防护体系。
1.1.4. 信息安全管理与信息安全技术
信息安全包括信息系统的安全和信息安全,并以信息安全为最终目标。实现信息安全必须从管理和技术两方面着手。技术层面和管理层面的良好配合,是组织实现网络与信息安全系统的有效途径。其中,信息安全技术通过采用建立安全的主机系统和安全的网络系统,并配备适当的安全产品的方法来实现;在管理层面,则通过构架信息安全管理体系来实现。
目前管理与技术的脱节仍是信息安全的通病。信息安全不仅仅是一个技术问题,在很大程度上表现为管理问题,能不能对网络实现有效的管理与控制是信息安全的根本问题之一。但是长久以来,信息安全却一直被人们视为单纯的技术问题,归于信息技术部门独立处理,由此产生了以下几个方面的问题:
首先,信息安全策略与管理战略脱节。无论是政府部门还是公司或机构,大都将其信息安全策略集中于技术细节以及技术问题的解决,并将之纳入信息技术程序文件,属于技术性计划,而不考虑管理或业务风险的实质和组织文化,由此导致了信息安全方针策略与管理总体战略严重脱节。技术的解决方法无法支持整个管理程序的运转。虽然今年的全球调查结果表明形势有所改观,但这一问题仍然是今后影响信息安全的一个重要的阻碍因素。另外,值得注意的是,根据国外的调查资料,目前只有27%的机构将信息安全方针策略文件化,只有14%的机构在设计信息技术项目的过程中建立了专门的文档,对如何处理信息安全问题做出说明。
其次,在“业务持续性计划”与“信息技术灾难恢复计划”之间划等号。Ernst & Young的“2002年信息安全调查”显示,2002年关键商业系统中断现象增多,75%的商业机构经历了运行失效事件,而全球却只有53%的机构制定了业务运行持续性计划。至今,许多机构仍然将“业务持续性计划”这一管理内容单纯地视为IT“灾难恢复计划”,将保持商业持续性运行归结为信息技术的职责之一;45%的机构仍然将保持业务连续运行的费用列入信息技术的预算额中。事实也证明,在制定了信息技术灾难恢复计划的机构中,有75%的单位同时取消了业务持续运作计划,但问题的症结在于“因系统的瘫痪导致的业务持续运作能力的丧失是否能够因为计算机网络的技术恢复而得到恢复?管理问题是否能够当作技术问题处理?”。更为糟糕的是,这些业务持续操作计划只有40%得到了执行,而21%的机构则从未对计划的可行性进行测试和验证。除此之外,有大约一半的机构都未就业务运行恢复的时间表达成一致,这也反映了业务需求与信息技术供应之间存在的差距。
第三,各类机构的信息安全意识培训和教育也不够。加强信息安全培训是信息安全策略以及程序得以实施和执行的重要基础。据英国贸易工业部《2002年信息安全问题调查报告》显示,大多数英国企业对信息安全标准BS7799(即现在的ISO17799)并不了解,只有5.5%的企业宣称在信息安全实践中遵守了该标准。Ernst & Young 2002年的调查结果也发现:各个机构在达到要求的计算机安全级别方面面临的最主要的挑战之一,是其员工对信息安全的了解和意识不够。75%的被调查者认为员工对信息安全策略和程序的不够了解是实现信息安全的障碍之一。
据Ernst & Young分析,在整个系统安全工作中,管理(包括管理和法律法规方面)所占比重应该达到70%,而技术(包括技术和实体)应占30%。信息管理相对于信息安全技术来说是“软”技术,与信息安全管理相比,信息安全技术是“硬”技术。但实际上在信息安全领域,人们的注意力通常集中在于计算机及其技术的使用、安装、配置以及预防工具滥用等方面,忽视了使用工具的人这个要素。例如安全风险较高的“社交工程”就经常被人们忽略,社交工程是通过诱导、欺骗、伪装等非技术的、传统的犯罪方式而导致人们实施各种不安全的行为,造成信息系统、网络或数据的非授权访问、使用和暴露。对社交工程的防范措施并没有有效的技术手段,只能由信息安全管理措施来应对。
中国国家信息安全测评认证中心提供的调查结果显示,现实的威胁主要为信息泄露和内部人员犯罪,而非病毒和外来黑客引起。据公安部最新统计,70%的泄密犯罪来自于内部;电脑应用单位80%未设立相应的安全管理体系;58%无严格的管理制度。如果相关技术人员违规操作(如管理员泄露密码),即便组织有最好的安全技术的支持,也保证不了信息安全。
由此可见进行信息安全管理对于保证信息安全的重要性。建立好的信息安全策略必须包括制定操作人员行为规则和培训用户安全意识这两个信息安全管理方面的控制措施。
当然,在强调信息安全管理重要性的同时也不能忽视信息安全技术的作用。信息安全管理各项措施的执行要以信息安全技术为基础。由于信息网络的多样性和互联性,单一的信息安全技术往往不能解决问题,必须综合运用多种信息安全技术,实现信息安全。
常用的信息安全技术有以下几种:
l l 密码技术
密码技术是信息安全的核心和关键。包括密码编码(密码算法设计)、密码分析(密码破译)、认证、鉴别、数字签名、密钥管理和密钥托管等技术。现在通用的作法是用高强度密码算法对信息进行加密,以保证信息内容的安全和控制信息的安全。
l 防火墙与防病毒技术
防火墙包括计算机防火墙和网络防火墙两类,它通过访问控制技术在网络与网络、用户与用户、网络与用户之间起隔离作用。它常采用的技术为包过滤技术、代理技术和电路网关技术,现在的防火墙往往多种技术并用,互相弥补各自缺陷以增加系统的安全性。防病毒技术发展较早,利用专用的防病毒软件和硬件,可以发现、诊断和消灭各种计算机病毒和网络病毒,因为病毒种类不断翻新,防病毒技术也就不断变化。
l 入侵检测技术
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
l 虚拟专用网(VPN)技术
虚拟专用网是利用一定的隧道技术或配置技术对公网的通信介质进行某种逻辑上的分割,从而虚拟出私有的通信网络环境技术。集成了鉴别认证、访问控制和/或密码变换的隧道技术称为安全隧道技术。
l 信息伪装技术
信息伪装技术是正在兴起的一种新的信息安全技术。信息伪装就是将秘密信息隐藏于另一非机密的文件内容之中,其形式可以是任何一种数字媒体,如图像、声音、视频等等。信息伪装技术不同于传统的加密技术,密码仅仅隐藏了信息的内容,而信息伪装不但隐藏了信息的内容而且隐藏了信息的存在。信息伪装技术包含的内容范围十分广泛,可以分为伪装术、数字水印、数据隐藏和数据嵌入等。
要全面地实现信息安全,应该从有可能出现风险的各个层面来考虑的问题。除了采取一定的安全技术以外,还要有完善的安全策略和良好的内部管理。要依据“七分管理,三分技术”的信息安全原则,来建立正规的信息安全管理体系以实现系统的、全面的信息安全。
1.1.5. 信息安全管理现状
在计算机时代到来之前,人们会将重要的文件资料锁到文件柜或保险柜中进行保存。但是现在人们将各种重要的信息(如国家机密、商业秘密、个人隐私等信息)存放在没有安全防范措施的计算机中。由于计算机的开放性和标准化等结构特点,使计算机信息具有高度共享和易于扩散的特性,从而导致计算机信息在处理、存储、传输和应用过程中很容易被泄露、窃取、篡改和破坏,或者受到计算机病毒的感染。
2003年1月,美国一家专为军事人员提供保健服务公司的数台笔记本电脑和一些台式电脑的硬盘被盗,50多万份军人医疗保健档案泄露,失窃资料包含有军人的社会安全号和信用卡账号,给被盗人的精神和财产方面造成了巨大的危害,对美国的社会和国土安全也构成了威胁。这只不过是日益频繁出现的电脑信息安全事故中的一个小事件。根据2002年美国协调中心统计,过去2年中计算机信息安全事故已增加2倍。而据美国《信息周刊》报道,全球2002年计算机犯罪造成的商业损失达1万5千亿美元。
我们面临的电脑信息安全问题可能比发达国家更为严重。我国目前的网络安全现状令人担忧,有些单位和组织根本没有意识到网络安全的重要性,即使是已经对外自我声明采用了安全防范措施的单位,实际上也有许多的安全隐患。计算机犯罪大都具有瞬时性、广域性、专业性、时空分离性等特点,通常计算机罪犯很难留下犯罪证据,这也是计算机高技术犯罪案件发生的诱因。从1998年起,黑客入侵我国的活动日益猖獗。据悉,现已掌握的计算机犯罪案例中,制作病毒的案例其实很少,但通过传播病毒而侵害其他用户的则占了犯罪总量的98~99%。国内各大网络几乎都不同程度地遭到过黑客的攻击。目前我国在网络安全方面存在着安全意识不强,缺乏整体安全方案,没有安全管理机制,缺少专门的安全人才等问题。
我国目前的计算机安全防护能力还只位于发展的初级阶段,许多计算机基本上处于不设防状态,无论是防范意识、管理措施、核心技术,还是安全产品,几乎是一片空白。每年各种重要数据和文件的滥用、泄露、丢失、被盗,给国家、企业和个人造成的损失数以亿计,这还不包括那些还没有暴露出来的深层次的问题。计算机安全问题解决不好,不仅会造成巨大的经济损失,甚至会危及国家的安全和社会的稳定。
这几年信息安全管理在国际上有了很大的发展,我国信息安全管理虽然起步晚,但我国政府主管部门以及各行各业已经认识开始到了信息与信息安全的重要性。国家明确提出要积极推动工业化与信息化的结合,以信息化带动工业化,把中国工业化提高到广泛采用信息智能工具的水准上来,用信息技术武装工业和国民经济。政府部门开始出台一系列相关策略,直接指导、推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业,也开始出台对信息安全技术产品的应用标准和规范。
国务院信息化工作小组最近颁布的《关于我国电子政务建设指导意见》也强调指出了电子政务建设中信息系统安全的重要性;中国人民银行正在加紧制定网上银行系统安全性评估指引,并明确提出对信息安全的投资要达到IT总投资的10%以上,而在其他一些关键行业,信息安全的投资甚至已经超过了总IT预算的30-50%。但是我国大部分的高级管理层还没有真正意识到信息安全管理的重要性,以为买一个防火墙、加点密码就安全了。要彻底改变这一错误认识,可以说是任重道远。
1.1.6 信息安全管理的发展与国内外标准
国际上信息安全管理近几年的发展主要有以下几个方面:
1 制订信息安全发展战略和计划。
制订发展战略和计划是发达国家一贯的作法。美、俄、日国家都已经或正在制订自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展。2000年初,美国出台了电脑空间安全计划,旨在加强关键基础设施、计算机系统和网络免受威胁的防御能力。2000年7月,日本信息技术战略本部及信息安全会议拟定了信息安全指导方针。2000年9月12日,俄罗斯批准了《国家信息安全构想》,明确了保护信息安全应采取的措施。我国还没有制订国家级的信息安全战略,但在“十五”规划中已有提及。另外,在我国2001年度的《高技术研究发展计划》中提出了信息安全的科研攻关课题。“863”计划信息安全技术发展战略研究专家组制订了《信息安全技术应急计划》。
2 加强信息安全立法,实现统一和规范管理。
以法律的形式规定和规范信息安全工作是有效实施安全措施的最有力保证。制订网络信息安全规则的先锋是各大门户网站,美国的雅虎和美国在线等网站都在实践中形成了一套自己的信息安全管理办法。2000年10月1日,美国的电子签名法案正式生效。2000年10月5日美参议院通过了《互联网网络完备性及关键设备保护法案》。日本邮政省于2000年6月8日公布了旨在对付黑客的《信息网络安全可靠性基准》的补充修改方案,提出制订了风险管理的“信息安全准则”的指导原则。2000年9月,俄罗斯实施了关于网络信息安全的法律。在我国,除了已有的有关计算机系统和互联网的行政法规外,1997年在新修订的《刑法》中,新增第285、286、287条,直接规定了信息安全犯罪的问题。2001年,九届全国人大通过了《全国人民代表大会常务委员会关于维护互联网安全的决定》,并已开始起草《计算机网络与信息安全管理条例》等行政法规。截至2002年初,我国正式颁布的信息安全相关国家标准已达40多项,如:《中华人民共和国安全法》、《中华人民共和国保守国家秘密法》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国商用密码保护条例》等。公安部、安全部、国家保密局、国家密码管理委员会等相继制定、颁布了一批信息安全的行业标准。
3 信息安全国际标准
到目前为止,国际上制定了大量的有关信息安全的国际标准,主要可分为互操作标准、技术与工程标准、信息安全管理与控制标准,这些标准分类描述如下:
l (1) 互操作标准
如对称加密标准DES、3DES、 IDEA以及被普遍看好的AES; 非对称加密标准RSA; VPN标准IPSec;传输层加密标准SSL;安全电子邮件标准S-MIME;安全电子交易标准SET;通用脆弱性描述标准CVE。这些都是经过一个自发的选择过程后被普遍采用的算法和协议,是所谓的“事实标准”。
l (2) 技术与工程标准
Ø l 信息产品通用测评准则(ISO 15408)
ISO/IEC15408旨在支持产品(最终是指已经在系统中安装了的产品)中IT安全特征的技术性评估。它还有一个重要作用,即可以用于描述用户对安全性的技术需求。
Ø l 安全系统工程能力成熟度模型(SSE-CMM)
SSE-CMM描述了一个组织的安全工程过程必须包含的本质特征,这些特征是完善的安全工程保证。尽管SSE-CMM没有规定一个特定的过程和步骤,但是它汇集了工业界常见的实施方法,是安全工程实施的标准度量标准。
Ø l 美国信息安全桔皮书(TCSEC)
该标准为计算机安全产品的评测提供了测试内容和方法,指导信息安全产品的制造和应用。它将安全分为4个方面(安全政策、可说明性、安全保障和文档)和7个安全级别(从低到高依次为D、C1、C2、B1、B2、B3和A级)。
l (3) 信息安全管理与控制标准
Ø l 信息安全管理体系标准(BS 7799,其中第一部分成为ISO/IEC 17799)。
BS-7799是由英国标准协会(British Standards Institution,简称BSI)制定的信息安全管理体系标准,BS-7799为保障信息的机密性、完整性和可用性提供了典范。它包括两部分,其第一部分《信息安全管理实施规则》于2000年12月被国际化标准组织(ISO)纳入世界标准,编号为ISO/IEC 17799。BS7799广泛地涵盖了所有的信息安全议题,如安全方针的制定、安全责任的归属、风险的评估、定义与强化安全参数及访问控制,甚至包含防病毒的相关策略等。BS-7799已经成为国际公认的信息安全实施标准,适用于各种产业与组织。
Ø l 信息和相关技术控制目标(COBIT)
COBIT(Control Objectives for Information and related Technology)是目前国际上通用的信息系统审计的标准,信息系统审计与控制协会在1996年公布。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准,目前已经更新至第三版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。
Ø l IT基础架构库(ITIL)
IT基础架构库是由英国政府的中央计算机和通讯机构(CCTA)提出、目前由英国商务部(OGC)负责维护的一套IT服务管理标准, ITIL在欧洲非常盛行,在北美也日益普及,它通过描述IT的关键的10个核心流程的目标、活动、输入、输出以及各个流程之间的关系,为IT服务管理领域确立了一整套最佳实践方法。到90年代中期,ITIL己成为世界服务管理领域事实上的标准,IT著名厂商IBM、HP、CA根据ITIL都提出的自己服务管理模型,ITIL在世界上得到了广泛的认可。
Ø l 信息安全管理标准(ISO 13335)
《IT安全管理方针》系列(第一至第五部分),已经在国际社会中开发了很多年。5个部分组成分别如下: ISO/IEC13335-1:1996《IT安全的概念与模型》;ISO/IEC13335-2:1997《IT安全管理和计划制定》;ISO/IEC13335-3:1998《IT安全管理技术》;ISO/IEC13335-4:2000《安全措施的选择》;ISO/IEC13335-5《网络安全管理方针》(目前尚未正式公布)。
4 我国的有关信息安全标准
在信息安全管理标准的制订方面,我国主要采用与国际标准靠拢的方式。公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》已正式颁布并实施。该准则将信息系统安全分为5个等级:自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计等。
2001年参照国际标准ISO/IEC15408,制定国家标准GB/T18336《信息技术安全性评估准则》,作为评估信息技术产品与信息安全特性的基础准则。
2002年4月15日全国信息安全标准化技术委员会在北京正式成立, 该技术委员会的成立标志着我国信息安全标准化工作,步入了“统一领导、协调发展”的新时期。 信息安全标准化技术委员会下设以下工作组:
l 信息安全标准体系与协调工作组(WG1)
信息安全标准体系与协调工作组 (WG1):研究信息安全标准体系;跟踪国际信息安全标准发展动态;研究、分析国内信息安全标准的应用需求;研究并提出新工作项目及设立新工作组的建议;协调各工作组项目。
l l 密码算法与密码模块工作组(WG3)
l 信息安全评估工作组(WG5)
调研国内外测评标准现状与发展趋势;研究提出我国统一测评标准体系的思路和框架;研究提出信息系统和网络的安全测评标准思路和框架;研究提出急需的测评标准项目和制定计划。
l l 信息安全管理工作组(WG7)
信息安全管理标准体系的研究;国内急用的标准调研;完成一批信息安全管理相关基础性标准的制定工作。
2002年7月公安部根据GB17895-1999制定了计算机信息系统安全等级保护技术要求系列标准:
l l GA/T 387-2002《计算机信息系统安全等级保护网络系统技术要求》
l l GA/T 388-2002《计算机信息系统安全等级保护操作系统技术要求》
l l GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》
l l GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》
l l GA/T 391-2002《计算机信息系统安全等级保护管理要求》
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved