信息安全评价政策研究
吕欣
随着信息化的逐步深入,电力、交通、广播电视、银行、证券等事关国计民生的重要行业对信息网络的依赖程度越来越高,信息安全的基础性、全局性作用日益凸显。近年来,在党中央、国务院的高度重视下,我国信息安全保障工作取得了明显成效,建设了一批信息安全基础设施,加强了互联网信息安全管理,等级保护、风险评价、信任体系、监控体系、应急处置等工作取得了新进展,这些工作的不断完善为维护国家安全和社会稳定、保障和促进信息化健康发展发挥了重要的作用。
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发27号文[2003])提出了“积极防御、综合防范”的总方针,重点保障基础信息网络和重要信息系统的安全。党的十六届四中全会,将信息安全提到与国家政治安全、经济安全、文化安全并重的高度。《2006~2020年国家信息化发展战略》明确了完善国家信息安全保障体系和提高信息安全保障能力的战略目标和部署。信息安全问题已经从技术和管理问题变成事关国家安全的全局性问题,如何科学评价和判断国家基础信息网络和重要信息系统的安全保障态势已经成为当前信息安全领域的重要研究课题。
【信息安全的基本内涵】
随着信息技术的快速发展和应用,人们对信息安全的需求越来越强烈,信息安全的概念也随之得到了丰富和发展。单一对信息的保护已经不能满足诸如恐怖活动和信息战等的安全需求,随之产生了信息安全保障的概念。信息安全保障与通信保密、信息安全两个概念相比,其层次更高、提供的安全保障更为全面。信息安全保障不仅要求保证信息在存储、传输和使用过程中的保密性、完整性、真实性、可用性和不可否认性,同时要求把信息系统建设成一个具有预警、保护、检测、响应、恢复和反击等六大能力的纵深防御体系。
在信息社会,信息安全的概念已经不再局限于信息和信息系统等物理实体了,它已渗透到生产、生活、工作和娱乐的各个方面。因此,本文认为信息安全应该包括信息系统安全、信息本体安全和信息文化安全。
信息系统是指对信息进行采集、存储、传输、处理等的系统。信息系统安全包括信息系统本身的物理安全和信息系统的运行安全。这里物理安全通常是指信息网络系统硬件的安全,包括机房的抗毁性、硬件设备的可靠性等。而运行安全主要指信息网络系统的软件(包括系统软件和应用软件)的稳定性运行状态。在网络环境中,没有信息系统安全,就谈不上信息本身的安全。因此说,信息系统安全是信息安全保障的基础。
信息安全,本文也称之为信息本体安全,是信息安全保障的根本。信息作为主要研究对象,是信息科学区别于其他科学最为根本的特点之一,也是信息科学之所以能够成为一门独立学科的根本前提。信息安全的目标是保障信息在采集、存储、传输和处理等过程中的保密性、完整性、真实性、可用性和不可否认性等。
信息文化安全是一个新概念。网络作为新的传播媒体、通信手段和生产工具,已经深入到社会生活的各个方面,对人们的生产、生活、工作和娱乐等产生了巨大的影响,逐步形成了一种信息文化。另一方面,网络上的不和谐因素逐步凸显,色情、诈骗、赌博、暴力等不良信息充斥着整个网络空间,并且愈演愈烈,严重影响着网络空间的和谐发展与社会稳定。本文把因为网络与信息技术的应用对人们的生产、生活、娱乐、交友等带来的负面影响称为信息文化威胁。而信息文化安全是指,通过宣传科学理论、传播先进文化、倡导科学精神、塑造美好心灵、弘扬社会正气,以保障人、信息和信息网络系统的全面、协调、可持续发展。这里仅给出信息文化安全的概念,对信息文化安全评估超出了本文的研究范围。
【信息安全评价】
评价是发现问题、判断形势、提出方案的基础,是加强信息网络宏观调控的一项基础性工作。信息安全评价是业界公认的一个难题,其目的主要要回答两个问题:系统安全不安全?系统的安全程度是多少?通常情况下,人们总是通过分析某个系统在一段时间内发生安全事件的多寡来分析一个系统是否安全。而某一段时期系统安全事件(如网页遭受篡改)的数量少于以前,其原因可能是多方面的:第一种可能是系统增加了安全防护手段,致使系统变得安全了;第二是外部攻击少了,即外部环境变化了;第三种可能是信息系统所承载的信息的吸引力降低了,致使黑客的视线被吸引到其它地方了。从以上分析可知,对信息系统进行安全评价至少需要综合考察三个方面:信息安全防护措施和能力的变化,外部安全环境的变化和信息自身价值的变化。因此,诸多不确定因素的存在增加了信息安全评价的复杂性,也决定了对信息安全的综合评价是一个多维的评价,要综合分析各个方面的因素。
信息安全评价需要注意的另一个概念就是安全的相对性。说“一个对象(如:密码算法或系统)是安全的”隐含着两层含义:一是该对象针对谁(即什么水平的攻击者)是安全的,在多长时间内是安全的。因为很多信息安全的概念都是以某些数学假设为基础的,即假设计算设备的计算能力有限,且计算时间有限。
基于以上分析可知,信息系统安全评价至少要对以下因素进行分析:
(1)
信息和信息系统自身的价值;
(2)
外部安全环境,即对手的攻击强度;
(3)
时间因素的分析;
(4)
保障措施的强度。
【国际上信息安全评价政策模式和主要标准】
(一)美国
美国高度重视网络与信息系统安全评价工作。2002年,美国就通过了《联邦信息安全管理法案》(FISMA)。FISMA是《2002年电子政务法案》的第三部分。FISMA要求每个机构每年必须对其信息安全实践进行独立评价以确认其有效性。评价的频率视风险情况而定,但不能少于每年一次。这种评价包括对管理、运行和技术三要素的控制和测试。在独立评价的基础上,联邦管理与预算局应向国会上报评价汇总结果,而联邦审计署周期性地评价并向国会汇报各机构信息安全策略和实践的有效性以及相关要求的执行情况。
美国对信息安全标准体系有着系统的规划。美国国家技术与标准局负责为实现这些目标制定标准,并专门启动了信息系统安全认证认可计划,该计划近期已更名为信息系统安全保护计划。此计划分为两个阶段,在第一阶段制定如下的标准和指南:联邦信息和信息系统的安全分类标准;联邦信息系统推荐的安全控制指南;联邦信息系统安全控制的评估指南;在第二阶段,要求美国国内建立一个国家级的、由经过认可的机构组成的网络,使这些机构能基于相关的标准和指南为联邦政府提供经济高效、高质量的信息安全评价服务。NIST还颁布了SP
800-37《联邦信息系统认证认可指南》,提出了美国联邦信息系统认证认可工作的角色和职责、工作任务和具体要求。
在技术方面,美国非常重视信息安全测度指标体系的研究。2006年4月美国发布的《联邦信息保障研究开发规划》,提出要用安全测度指标来衡量网络与信息系统安全措施的有效性,以改进安全审计、指导安全项目投资。2005年2月,美国总统信息化顾问委员会于2005年2月向布什总统提交的“Cyber
Security: A Crisis of Prioritization”报告中将建立信息安全测度标准列为十大优先研究领域之一。该报告认为:不少科学领域已经建立了通用的评价标准,信息安全的评价体系亟待开发。
(二)欧盟
欧盟非常重视信息安全工作。1995年以来,欧盟先后颁布了数据保护法(Data
Protection Directives)、电子签名法令(Electronic
Signature Directives)、电子商务法(Electronic
Commerce Directives)、网络与信息安全提案(Network
and Information Security: Proposal for A European Policy
Approach)、电子欧洲计划(E-European Plan)等多部涉及信息安全的法规条例。2004年,欧盟成立了欧洲网络与信息安全署(ENISA),下设三个办公室:行政部、技术部和协调与支持部。ENISA的主要任务是指导和协调各个成员国的信息安全工作,并提供相关技术支撑,以保障和推动欧洲的“数字经济”功能。同时,德国、英国等欧盟成员国在信息安全及评价方面也积极配合,有很多工作值得我们借鉴。
德国在网络与信息安全及其评价工作上做出了自己特有的一套模式。德国信息技术安全局成立于1991年,隶属于联邦内政部,主要任务是保护信息通信过程中的保密和安全以及根据需要进行加密,以保证政府、企业和公民安全地使用网络。德国的联邦信息技术安全局的信息安全管理是通过他们2001年7月颁布并不断更新的《信息安全基线保护手册》(简称《手册》)来加以指导的。该文将威胁目录分为五类272种,安全措施目录分为六类607种。《手册》规定了对特定信息系统的“正常”安全需求实施测量的标准;全面叙述了所面临的威胁环境;清晰刻画了实施安全测量的过程;给出了一个简单界定IT安全等级的程序。
BS7799是英国信息安全管理的标准,也是在全球影响最广的信息安全管理标准之一,其标准的第一部分《信息安全管理实施细则》目前已成为国际标准ISO/IEC
27001:2005。该标准包括了11个安全控制域和39个主要的安全条目。同时,英国还开发了与标准相匹配的评价工具或软件。
(三)国际组织
国际标准化组织ISO,国际电信联盟ITU和国际信息系统审计和控制协会ISACA等在全球信息化进程中扮演着日益突出的角色。这里重点提出ISO制定的几个与信息安全评价密切相关的几个标准,主要包括:面向对产品和计算机系统实施评测的ISO/IEC
15408: 信息技术安全评价通用准则(CC);面向工程的ISO/IEC
21827:2002(SSE-CMM):信息安全工程能力成熟度模型;以及前面介绍过的面向管理的ISO/IEC
17799和ISO/IEC 27000系列标准。值得关注的是,“ISO/IEC
27004:信息安全管理的评价指标”标准在紧张制定中。
图6.35
国际上信息安全评价的相关标准规范
【我国信息安全评价政策】
根据我国信息安全评价工作的发展历程和特点,本文从信息安全测评认证、信息安全风险评估、信息系统安全等级测评和信息安全综合评价四个方面进行介绍。
(一)信息安全测评认证
信息安全测评认证工作是信息安全保障的基础性工作,是维护国家信息安全的第一道防线。在上个世纪90年代末,我国成立了中国信息安全产品测评认证中心,代表国家开展信息安全测评认证工作,并颁布了一系列的信息技术产品的测评准则。该中心依据国家授权对外主要开展四类认证业务:信息安全产品认证、信息系统安全认证、信息安全服务资质认证和信息安全人员资质认证。2004年7月,国家有关部门审议通过了《国家信息安全产品测评认证认可体系建设方案》,确定将信息安全测评认证工作逐步纳入国家认证认可工作的轨道。2005年5月,“中国信息安全产品测评认证中心”更名为“中国信息安全产品测评中心”,并将认证职能转交给“中国信息安全认证中心”。
2006年11月17日,中国信息安全认证中心在京正式成立。认证中心为第三方公正机构和法人实体。其主要业务是,依据国家信息安全管理的法律法规、《认证认可条例》及实施规则,在指定的业务范围内,对信息安全产品实施认证,并开展与信息安全有关的管理体系认证和人员培训、技术研发等工作。信息安全认证中心的成立,对我国信息安全产品和系统的认证认可工作走向规范化具有重要的推动作用。
(二)信息系统安全等级测评
信息安全等级保护是推进信息安全保障工作的一项基本策略。1999年9月国家质量技术监督局发布了国家标准《计算机信息系统安全保护等级划分准则》GB17859,它是建立安全等级保护制度、实施安全等级管理的重要基础性标准。2001年3月,国家质量技术监督局引用CC作为我国的国家标准GB/T18836-2001《信息技术安全性评价准则》,它是对信息产品实施安全等级评价的通用标准。此外,在此基础上有关部门还制定了一系列针对特定产品(如:防火墙)的等级划分和测评准则。
2004年,公安部等四部委联合发布了《关于信息安全等级保护工作的实施意见》,确定了建立信息安全等级保护制度的基本原则、基本内容、工作要求和实施计划。从面向产品到面向基础信息网络和重要信息系统是等级保护工作的一个实质性跨越。随后,《信息安全等级保护管理办法(试行)》、《信息系统安全等级保护测评准则(送审稿)》《信息系统安全保护等级定级指南(试用稿)》和试点工作相继展开,进一步推进了等级保护工作。
(三)信息安全风险评估
信息安全风险评估是传统的风险理论和方法在信息系统中的实践,是加强信息安全日常管理的一种重要手段。通过风险评估,可以掌控信息系统存在的弱点和漏洞,以及面临的威胁和破坏,并能够通过控制风险、降低风险和转移风险来保障信息系统安全。在2005年上半年国务院信息化工作办公室在包括北京市、上海市、黑龙江省、云南省、人民银行、国家税务总局、国家电力、国家电子政务外网开展信息安全风险评估试点工作,取得了初步的成效。国家网络与信息安全协调领导小组于2005年12月份通过了《关于开展信息安全风险评估的若干意见》,宣布利用三年的时间,在全国范围内对国家基础信息网络和重要信息系统建立风险评估制度。目前,国家标准《信息安全技术信息安全风险评估规范》已通过了信息安全技术标准化委员会的评审程序,将于2007年11月1日正式实施。
(四)信息系统安全综合评价
信息系统安全综合评价是国家加强信息网络宏观调控和信息安全监管、保障国家安全、社会稳定和公众利益的一项基础性工作。国内外官方和学者逐步认识到:从局部的“堵漏洞和筑高墙”等方式不能从根本上解决信息安全问题,而需要从整体上把握信息系统安全,这需要加强一些重大专项的研究,同时要提高从整体上认识和判断信息安全问题的能力。钱学森院士在1995年就指出:“信息网络加用户将构成一个“开放的复杂巨系统”,不是简单巨系统,更不是大系统,小系统等容易调控的系统。”同时,信息系统安全综合评价也是一个复杂的过程,它涵盖了有线网络和无线网络、地面通信系统与卫星通信系统,特别是无处不在的人的活动给信息系统安全带来更多的不确定因素。当前,我国已经开展了信息系统安全综合评价相关问题的研究。
信息安全综合评价至少要包括两类重要内容:一方面是信息安全基线评价,即对于负有特定功能和使命的信息系统,主要考察信息安全策略配置是否达到了基本的安全需求(即基线)。“基线”对应的英文是Baseline,其含义是一种用于评价或在评价中用于比较的基准。“基线”的概念已经应用于信息安全标准或规范当中,如美国联邦信息处理标准FIPS
199。这里把信息安全基线定义为特定条件下实现其安全使命和功能的基本安全需求。
另一方面是信息安全能力评价,包括信息系统的安全防护能力、隐患发现能力、应急处置能力和信息对抗能力等。
(作者单位:国家信息中心)
来源《中国信息年鉴-2007》