国内外信息安全评价政策研究

  • 格式:pdf
  • 大小:407.85 KB
  • 文档页数:4

|蘩蔗 

国内外信息安全评价政策研究 

吕欣 (国家信息中心,北京100045) 摘 要:随着全球信息通信技术的发展和深入应用,重要行业、政府和企业对信息的依赖性日益增强。在这些机构U_v-作效率 和效益不断提高的同时,信息安全问题逐步成为其可持续发展的一个重要挑战。科学评价各级组织的信息安全状况已成为很多 国家普遍关注的重要研究课题。通过评价,不仅可以了解各个信息系统的安全态势,对组织信息安全体系的规划和构建同样具 有重要的意义。该文比较分析了美国等发达国家和地区的信息安全评价政策和主要的评价标准,并讨论了我国信息安全评价的 政策框架。 关键词:信息安全;评价;管理 Studies on Information Security Evaluation Policies in and outside China L n Xin (s蚀话Informa/:/on cent钟.BeO/cg 7 00045.P. .Ch#za) Abstract:gapidly advancing information-based technologies and increasingly competitive global environment have driven information into the center stage in society,government now.Therefore,information security has become a major challenge to most organizations for preserving sustainable development.In the global view,how to evaluate the security of an information system is an important topic not only for understanding the security situation,but also for information security plan,programming and construction.Information security policies and standards overseas are reviewed in this paper,and the information security evaluation policy framework of china has been talked about. Key words:Information security;evaluation;management 

随着信息化程度的逐步深入,电力、交通、广播电视、 银行、证券等事关国计民生和社会稳定的重要行业对信息 网络的依赖程度也越来越高,信息安全的基础性、全局性 作用日益凸显。近年来,在党中央、国务院的高度重视下, 我国信息安全保障工作取得了著显成效,建设了一批信息 安全基础设施,加强了互联网信息安全管理,等级保护、 风险评价、信任体系、监控体系、应急处置等工作取得了 新进展,这些工作的不断完善为维护国家安全和社会稳定、 保障和促进信息化健康发展发挥着重要的作用。 国家信息化领导小组关于加强信息安全保障工作的 意见 (中办发27号文[20031)提出了“积极防御、综 合防范”的总方针,重点保障基础信息网络和重要信息系 统的安全。党的十六届四中全会,将信息安全提到与国家 政治安全、经济安全、文化安全并重的高度。 ̄2006—2020 年国家信息化发展战略 明确了完善国家信息安全保障体 系和提高信息安全保障能力的战略目标和部署。信息安全 问题已经从技术和管理问题变成了事关国家安全的全局性 问题,如何科学地评价和判断国家基础信息网络和重要信 息系统的安全保障态势,已经成为当前信息安全领域的重 要研究课题。 1信息安全的基本内涵 随着信息技术的快速发展和应用,人们对信息安全的 需求越来越强烈,信息安全的概念也随之得到了丰富和发 展。单一对信息的保护已经不能满足诸如恐怖活动和信息 战等安全需求,随之产生了信息安全保障的概念。信息安 全保障与通信保密、信息安全两个概念相比,其层次更高、 提供的安全保障更为全面。信息安全保障不仅要求保证信 息在存储、传输和使用过程中的保密性、完整性、真实性、 可用性和不可否认性,同时还要求把信息系统建设成一个 具有预警、保护、检测、响应、恢复和反击等六大能力的 纵深防御体系。 在信息社会,信息安全的概念已经不再局限于信息和 信息系统等物理实体了,它已渗透到生产、生活、工作和 娱乐的各个方面。因此,本文认为信息安全应该包括信息 系统安全、信息本体安全和信息文化安全。 基金项目:本研究得到国家博士后科学基金(No.20060400048)和国家社会科学基金资助(No 07CTqO1 0) |溪 g 嚣| 瓣骥;叠若;。

 维普资讯 http://www.cqvip.com 信息系统是指对信息进行采集、存储、传输、处理等 的系统。信息系统安全包括信息系统本身的物理安全和信 息系统的运行安全。这里物理安全通常是指信息网络系统 硬件的安全,包括机房的抗毁性、硬件设备的可靠性等。 而运行安全主要指信息网络系统的软件(包括系统软件和 应用软件)的稳定性运行状态。在网络环境中,没有信息 系统安全,就谈不上信息本身的安全。因此说,信息系统 安全是信息安全保障的基础。 信息安全,本文也称之为信息本体安全,是信息安全 保障的根本。信息作为主要研究对象,是信息科学区别于 其他科学最根本的特点之一,也是信息科学之所以能够成 为一门独立学科的根本前提。信息安全的目标是保障信息 在采集、存储、传输和处理等过程中的保密性、完整性、 真实性、可用性和不可否认性等。 信息文化安全是一个新概念。网络作-为新的传播媒体、 通信手段和生产工具,已经深入到社会生活的各个方面, 对人们的生产、生活、工作和娱乐等产生了巨大的影响, 逐步形成了一种信息文化。另一方面,网络上的不和谐因 素仍然存在,色情、诈骗、赌博、暴力等不良信息散布在 网络空间,严重影响着网络空间的和谐发展与社会稳定。 本文把网络与信息技术的应用对人们的生产、生活、娱乐、 交友等带来的负面影响称为信息文化威胁。而信息文化安 全保障是指,通过宣传科学理论、传播先进文化、倡导科 学精神、塑造美好心灵、弘扬社会正气,以保障人、信息 和信息网络系统的全面 协调、可持续发展。这里仅给出 信息文化安全的概念,对信息文化安全的评估超出了本文 的研究范围。 2信息安全评价释义 评价是发现问题、判断形势、提出方案的基础,是加 强信息网络宏观调控的一项基础性工作。信息安全评价是 业界公认的一个难题,其目的主要是回答两个问题:系统 安全不安全?系统的安全程度是多少?在通常情况下,人 们总是通过分析某个系统在一段时间内发生安全事件的多 寡来分析一个系统是否安全。而某,・段时期系统安全事件 (如网页遭受篡改)的数量少于以前,其原因可能是多方 面的:第一种可能是系统增加了安全防护手段,致使系统 变得安全了;第二是外部攻击少了,即外部环境变化了; 第三种可能是信息系统所承载的信息的吸引力降低了,致 使黑客的视线被吸引到其他地方了。从以上分析可知,对 信息系统进行安全评价至少需要综合考察3个方面:信息 安全防护措施和能力的变化,外部安全环境的变化和信息 自身价值的变化。因此,诸多不确定因素的存在增加了信 息安全评价的复杂性,也决定了对信息安全的综合评价是 一个多维的评价,要综合分析各个方面的因素。 信息安全评价需要注意的另一个概念就是安全的相 对性。说“一个对象(如:密码算法或系统)是安全的”, 隐含着两层含义:一是该对象针对谁(即什么水平的攻击 者)是安全的,在多长时间内是安全的。因为很多信息安 全的概念都是以某些数学假设为基础的,即假设计算设备 的计算能力有限,且计算时间有限。 基于以上分析可知,信息系统安全评价至少要对以下 因素进行分析:(1)信息和信息系统自身的价值;(2)外 部安全环境,即对手的攻击强度;(3)时间因素的分析; (4)保障措施的强度。 3国际上信息安全评价政策模式和主要标准 3.1美国 美国高度重视网络与信息系统安全评价工作。2002 年,美国就通过了 联邦信息安全管理法案 (FISMA)。 FISMA是((2002年电子政务法案 的第三部分。FISMA 要求每个机构每年必须对其信息安全实践进行独立评价, 以确认其有效性。评价的频率视风险情况而定,但不能少 于每年一次。这种评价包括对管理、运行和技术三要素的 控制和测试。在独立评价的基础上,联邦管理与预算局应 向国会上报评价汇总结果,而联邦审计署则需要周期性地 评价并向国会汇报各机构信息安全策略和实践的有效性以 及相关要求的执行情况。 美国对信息安全标准体系有着系统的规划。美国国家 技术与标准局负责为实现这些目标制定标准,并专门启动 了’信息系统安全认证认可计划,该计划近期已更名为信息 系统安全保护计划。此计划分为两个阶段,在第一阶段制 定如下的标准和指南:联邦信息和信息系统的安全分类标 准;联邦信息系统推荐的安全控制指南;联邦信息系统安 全控制的评估指南;在第二阶段,要求美国国内建立一个 国家级的、由经过认可的机构组成的网络,使这些机构能 基于相关的标准和指南为联邦政府提供经济、高效、高质 量的信息安全评价服务。NIST还颁布了SP 800-37 联 邦信息系统认证认可指南 ,提出 美国联邦信息系统认 证认可工作的角色和职责、工作任务和具体要求。

 维普资讯 http://www.cqvip.com 在技术方面,美国非常重视信息安全测度指标体系 的研究。2006年4月美国发布的 联邦信息保障研究开 发规划》,提出要用安全测度指标来衡量网络与信息系统 安全措施的有效性,以改进安全审计、指导安全项目投 资。2005年2月,美国总统信息化顾问委员会于2005年 2月向布什总统提交的“Cyber Security:A Crisis of Prioritization”报告中将建立信息安全测度标准列为十大 优先研究领域之一。该报告认为:不少科学领域已经建立 了通用的评价标准,信息安全的评价体系亟待开发。 3.2欧盟 欧盟非常重视信息安全工作。1995年以来,欧盟先 后颁布了数据保护法(Data Protection Directives)、电 子签名法令(Electronic Signature Directives)、电子商 务法(Electronic Commerce Directives)、网络与信息安 全提案(Network and Information Security:Proposal for A European Policy Approach)、电子欧洲计划 (E-European P1an)等多部涉及信息安全的法规条例。 2004年,欧盟成立了欧洲网络与信息安全署(ENISA), 下设3个办公室:行政部、技术部和协调与支持部。 ENISA的主要任务是指导和协调各个成员国的信息安全 工作,并提供相关技术支撑,以保障和推动欧洲的“数字 经济”功能。同时,德国、英国等欧盟成员国在信息安全 及评价方面也积极配合,有很多工作值得我们借鉴。 德国在网络与信息安全及其评价工作上有了自己特有 的一套模式。德国信息技术安全局成立于1991年,隶属 于联邦内政部,主要任务是保护信息通信过程中的保密和 安全以及根据需要进行加密,以保证政府、企业和公民安 全地使用网络。德国的联邦信息技术安全局的信息安全管 理是通过他们2001年7月颁布并不断更新的 信息安全 基线保护手册 (简称 手册 )来加以指导的。该文将 威胁目录分为五类272种,安全措施目录分为六类607种。 手册 规定了对特定信息系统的“正常”安全需求实施 测量的标准;全面叙述了所面临的威胁环境;清晰地刻画 了实施安全测量的过程;给出了一个简单界定IT安全等 级的程序。 B¥7799是英国信息安全管理的标准,也是在全球影 响最广的信息安全管理标准之一,其标准的第一部分 信 息安全管理实施细则》目前已成为国际标准ISO/IEC 27001:2005该标准包括了l1个安全控制域和39个主要 的安全条目。同时,英国还开发了与标准相匹配的评价工 ‘ j i 囊 聚