2.1 国外信息安全管理标准
信息安全是当下最受关注的一个领域,信息安全的国际标准大多数是在欧洲、美国等工业发达国家标准的基础上协调产生的,基本上代表了当今世界现代信息技术的发展水平。
2.1.1 信息安全管理标准BS 7799
BS 7799现已成为国际公认的信息安全管理权威标准。1993年9月,英国标准协会(BSI)颁布《信息安全管理实施细则》,形成了BS 7799的基础。1995年2月,BSI首次公布BS 7799-1:1995。1998年2月,BSI公布BS 7799-2。1999年4月,BS 7799-1和BS 7799-2修订后重新发布。2000年12月,国际标准组织认可通过BS 7799-1,正式成为国际标准,即ISO/IEC 17799-1:2000。2002年9月,BSI对BS 7799-2进行了改版, BS 7799-2:2002通过ISO认可。
BS 7799 分为 2 部分:BS 7799-1:1999《信息安全管理细则》(Code of Practice for Information Security Management)和 BS 7799-2:2002《信息安全管理体系规范》(Specification for Information Security Management)。BS 7799-1主要为组织建立并实施信息安全管理体系提供一个指导性的准则,BS 7799-2详细说明了建立、实施和维护信息安全管理体系的要求。
BS 7799-1是一个非常详尽、复杂的信息安全管理标准层次体系,共分为4层内容:10个管理要项,36个管理目标,127个控制措施,若干个控制要点,主要提供了有效地实施信息系统风险管理的建议。
BS 7799-2详细说明了建立、实施和维护信息安全管理体系(ISMS)的要求。具体实施步骤是:定义安全策略、定义ISMS的范围(边界)、确定资产、进行资产风险评估、确定高风险资产、风险管理措施决策、选择合适的控制方式、部署和管理控制方式、启用声明、目标审查、安全策略、安全目标、契约和法律需求。
BS 7799提供了一个组织进行有效安全管理的公共基础,反映了信息安全的“三分技术,七分管理”的原则。它全面涵盖了信息系统日常安全管理方面的内容,提供了一个可持续提高的信息安全管理环境。
随着我国信息化建设的不断深入,信息安全越来越受到人们的重视,BS 7799作为建设信息安全管理体系的一个权威性标准,得到许多国家的认可,目前我国不少企业或机构希望根据BS 7799建立自己的信息安全管理体系。
2.1.1.1 BS 7799的内容概述
BS 7799的第1部分为BS 7799-1:1999(即ISO/IEC 17799:2000),信息安全管理细则(Code of Practice for Information Security Management)。第2部分为BS 7799-2:2002 信息安全管理体系规范(Specification for Information Security Management),2005年10月正式成为ISO27001,其中详细说明了建立、实施和维护信息安全管理体系的要求,可用来指导相关人员去应用 ISO 17799,其最终目的在于建立适合企业需要的信息安全管理体系(ISMS)。BS 7799第2 部分明确提出了安全控制要求,第1 部分则对应给出了通用的控制措施。可以说,BS 7799 第1部分为第2部分的具体实施提供了指南。
1.第1部分(BS 7799-1)简介
BS 7799-1:1999(ISO/IEC 1799:2000)标准在正文前设立了“前言”和“引言”。“引言”中对“什么是信息安全?为什么需要信息安全?如何建立安全要求?评估安全风险、选择控制措施、信息安全起点、关键的成功因素、制定自己的准则”等内容作了说明,标准中指出,信息安全是指信息的保密性、完整性和可用性。标准对“为什么需要信息安全”进行了阐述,指出信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。然而,越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机入侵、DOS攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏,公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。许多信息系统本身就不是按照安全系统的要求设计的,所以仅依靠技术手段实现信息安全有其局限性,所以信息安全的实现必须得到管理和程序控制的适当支持。
该标准的正文规定了10大管理要项,36个执行目标,127个安全控制措施,作为组织实施信息安全管理的实用指南。10大管理要项如表2-1所示。
127 个安全控制措施帮助组织识别在运作过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。
10大管理要项及相应的执行目标和控制措施为:
(1)安全策略。制定信息安全策略文档,为信息安全提供管理指导和支持。
安全策略包含1 个执行目标:信息安全策略。2 个控制措施:信息安全策略文档、评审和评价。
表2-1 10大管理要项
说明:(m,n)中m表示执行目标的数目,n表示安全控制措施的数目。
(2)组织的安全。建立有管理领导人员参加的相应的管理信息安全协调小组,以核准整个组织内的信息安全策略、指派安全角色以及协调安全的实施。建立信息安全基础设施来管理组织范围内的信息安全;维持被第三方所访问的组织的信息处理设施和信息资产的安全,以及当信息处理外包给其他组织时,维护信息的安全。
组织的安全包含3个执行目标,10个控制措施。
执行目标:
① 信息安全基础设施。对应7个控制措施:管理信息安全协调小组、信息安全协调、信息安全职责的分配、信息处理设施的授权过程、专家的信息安全建议、组织之间的合作、信息安全的独立评审。
② 第三方访问安全。对应2个控制措施:标志第三方访问的风险、第三方合同中的安全要求。
③ 外包。对应1个控制措施:外包合同中的安全要求。
(3)资产分类与控制。核查所有信息资产,以维护组织资产的适当保护,并做好信息分类,确保信息资产受到适当程度的保护。
资产分类与控制包含2个执行目标,3个控制措施。
执行目标:
① 资产的可核查性。对应1个控制措施:资产清单。
② 信息分类。对应2个控制措施:分类指南、信息标志和处理。
(4)人员安全。注意工作职责定义和人力资源中的安全,以减少人为差错、盗窃、欺诈或误用设施的风险;做好用户培训,确保用户知道信息安全威胁和事务,并准备好在其正常工作过程中支持组织的安全政策;制定对安全事故和故障的响应流程,使安全事故和故障的损害减到最小,并监视事故和从事故中学习。
人员安全包含3个执行目标,10个控制措施。
执行目标:
① 岗位设定和人力资源的安全。对应4个控制措施:在岗位职责中要包含的安全、人员筛选和策略、保密性协议、雇佣条款和条件。
② 用户培训。对应1个控制措施:信息安全教育和培训。
③ 对安全事故和故障的响应。对应5个控制措施:报告安全事故、报告安全弱点、报告软件故障、从事故中学习、纪律处理。
(5)物理与环境的安全。定义安全区域,以避免对业务办公场所和信息的未授权访问、损坏和干扰;保护设备的安全,防止信息资产的丢失、损坏或泄露,以及业务活动的中断;同时还要做好一般控制,以防止信息和信息处理设施的泄露或盗窃。
物理与环境的安全包含3个执行目标,13个控制措施。
执行目标:
① 安全区域。对应5个控制措施:物理安全周边、物理入口控制、办公室以及房间和设施的安全保护、在安全区域工作、交换区域的隔离。
② 设备安全。对应6个控制措施:设备安置和保护、电源、布缆安全、设备维护、离开建筑物的设备的安全、设备的安全处置或安全重用。
③ 一般控制。对应2个控制措施:清理桌面和清空屏幕策略、财产的移动。
(6)通信与运营管理。制定操作规程和职责,确保信息处理设施的正确和安全操作;建立系统规划和验收准则,将系统故障的风险减低到最小,防范恶意软件,保护软件和信息的完整性;建立内务规程,以维护信息处理和通信服务的完整性和可用性;确保信息在网络中的安全,以及保护其支持基础设施;建立媒体处置和安全的规程,防止资产损坏和业务活动的中断;防止信息和软件在组织之间交换时丢失、修改或误用。
通信与运营管理包含7个执行目标,24个控制措施。
执行目标:
① 操作规程和职责。对应6个控制措施:文档化的操作规程、操作变更控制、事故管理规程、责任分割、开发和运行设施分离、外部设施管理。
② 系统规划和验收。对应2个控制措施:能力规划、系统验收。
③ 防范恶意软件。对应1个控制措施:控制恶意软件。
④ 内务处理。对应3个控制措施:信息备份、操作员日志、故障记录。
⑤ 网络管理。对应1个控制措施:网络控制。
⑥ 媒体处理和安全。对应4个控制措施:可移动的计算机媒体的管理、媒体的处置、信息处理规程、系统文档的安全。
⑦ 信息和软件的交换。对应7个控制措施:信息和软件交换协议、运输中的媒体安全;电子商务安全、电子邮件安全、电子办公系统的安全、公开可用系统、信息交换的其他形式。
(7)访问控制。制定访问控制的业务要求,以控制对信息的访问;建立全面的用户访问管理,避免信息系统的未授权访问;让用户了解他对维护有效访问控制的职责,防止未授权用户的访问;对网络访问加以控制,保护网络服务;建立操作系统级的访问控制,防止对计算机的未授权访问;建立应用访问控制,防止未授权用户访问保存在信息系统中的信息;监视系统访问和使用,检测未授权的活动;当使用移动计算和远程工作时,也要确保信息安全。
访问控制包含8个执行目标,31个控制措施。
执行目标:
① 访问控制的业务要求。对应1个控制措施:访问控制策略。
② 用户访问管理。对应4个控制措施:用户注册、特权管理、用户口令管理、用户访问权利的评审。
③ 用户职责。对应2个控制措施:口令使用、无人值守的用户设备。
④ 网络访问控制。对应9个控制措施:使用网络服务的策略、强制路径、外部连接的用户鉴别、结点鉴别、远程诊断端口保护、网络分离、网络连接控制、网络路由选择控制、网络服务的安全。
⑤ 操作系统访问控制。对应8个控制措施:自动化终端标志、终端登录规程、用户标志和鉴别、口令管理系统、系统实用程序的使用、保护用户的强制报警、终端超时、连接时间的限制。
⑥ 应用访问控制。对应2个控制措施:信息访问限制、敏感系统隔离。
⑦ 对系统访问和使用的监督。对应3个控制措施:事件记录、对系统使用的监督、时钟同步。
⑧ 移动计算和远程工作。对应2个控制措施:移动计算、远程工作。
(8)系统开发与维护。标志系统的安全要求,确保安全被构建在信息系统内;控制应用系统的安全,防止应用系统中用户数据的丢失、被修改或误用;使用密码控制,保护信息的保密性、真实性或完整性;控制对系统文件的访问,确保按安全方式进行IT项目和支持活动;严格控制开发和支持过程,维护应用系统软件和信息的安全。
系统开发与维护包含5个执行目标,18个控制措施。
执行目标为:
① 系统的安全要求。对应1个控制措施:安全要求分析和规范。
② 应用系统的安全。对应4个控制措施:输入数据的确认、内部处理的控制、报文鉴别、输出数据确认。
③ 密码控制。对应5个控制措施:使用密码控制的策略、加密、数字签名、抗抵赖服务、密钥管理。
④ 系统文件的安全。对应3个控制措施:运行软件的控制、系统测试数据的保护、源程序库的访问控制。
⑤ 开发和支持过程的安全。对应5个控制措施:变更控制规程、操作系统变更的技术评审、软件包变更的限制、隐蔽信道和特洛伊代码、外包软件开发。
(9)业务连续性管理。目的为了减少业务活动的中断,使关键业务过程免受主要故障或天灾的影响。
业务连续性管理包含1个执行目标,5个控制措施。
执行目标:业务连续性管理的各方面。对应5个控制措施:业务连续性管理过程、业务连续性和影响分析、制定和实施连续性计划、业务连续性计划框架、检验及维护和重新评估业务连续性计划。
(10)符合性。信息系统的设计、操作、使用和管理要符合法律要求,避免任何犯罪、违反民法、违背法规、规章或合约义务,以及任何安全要求;定期审查安全政策和技术符合性,确保系统符合组织安全政策和标准;还要控制系统审核,使系统审核过程的效力最大化,干扰最小化。
符合性包含3个执行目标,11个控制措施。
执行目标:
① 符合法律要求。对应7个控制措施:可用法律的标志、知识产权、保护组织的记录、个人信息的数据保护和隐私、防止滥用信息处理设施、遵循密码控制的规章、证据的收集。
② 安全策略和技术符合性的评审。对应2个控制措施:符合安全策略、技术符合性检验。
③ 系统审核考虑。对应2个控制措施:系统审核控制、系统审核工具的保护。
2.第2部分(BS 7799-2)简介
BS 7799-2:2002标准详细说明了建立、实施和维护信息安全管理体系(ISMS)的要求,指出实施组织需要通过风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。本部分提出了应该如何建立信息安全管理体系(ISMS)的步骤,如图2-1所示。
图2-1 建立信息安全管理体系(ISMS)的步骤
(1)定义信息安全管理策略。
信息安全管理策略是组织信息安全的最高方针,需要根据组织内各个部门的实际情况,分别制定不同的信息安全管理策略。
(2)定义ISMS的范围。
ISMS 的范围确定需要重点进行信息安全管理的领域,组织需要根据自己的实际情况,在整个组织范围内或者在个别部门或领域构架 ISMS。在本阶段,应将组织划分成不同的信息安全控制领域,以易于组织对有不同需求的领域进行适当的信息安全管理。
(3)进行信息安全风险评估。
信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。风险评估主要对ISMS范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全控制措施进行鉴定。风险评估主要依赖于业务信息和系统的性质、使用信息的业务目的、所采用的系统环境等因素,组织在进行信息资产风险评估时,需要将直接后果和潜在后果一并考虑。
(4)信息安全风险管理。
根据风险评估的结果进行相应的风险管理。信息安全风险管理主要包括以下几种措施:
降低风险:在考虑转移风险前,应首先考虑采取措施降低风险。
避免风险:有些风险很容易避免,例如通过采用不同的技术、更改操作流程、采用简单的技术措施等。
转移风险:通常只有当风险不能被降低或避免且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率但一旦风险发生时会对组织产生重大影响的风险。
接受风险:用于那些在采取了降低风险和避免风险措施后,出于实际和经济方面的原因,只要组织进行运营,就必然存在并必须接受的风险。
(5)确定执行目标和选择控制措施。
执行目标的确定和控制措施的选择原则是费用不超过风险所造成的损失。由于信息安全是一个动态的系统工程,组织应实时对选择的执行目标和控制措施加以校验和调整,以适应变化了的情况,使组织的信息资产得到有效、经济、合理的保护。
(6)准备信息安全适用性声明。
信息安全适用性声明记录了组织内相关的风险执行目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备,一方面是为了向组织内的员工声明面对信息安全风险的态度,另一方面则是为了向外界表明组织的态度和作为,表明组织已经全面、系统地审视了组织的信息安全系统,并将所有应该得到控制的风险控制在能够被接受的范围内。
BS 7799-2:2002标准在介绍信息安全管理体系的建立、实施和改进的过程中引用了PDCA(Plan-Do-Check-Action,计划-实施-检查-改进)模型,按照PDCA模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估4个子过程,特别介绍了基于PDCA模型的过程管理方法,如图2-2所示。组织通过持续地执行这些过程而使自身的信息安全水平得到不断的提高。PDCA模型的主要过程如下:
① 计划(Plan):定义信息安全管理体系的范围,鉴别和评估业务风险。
② 实施(Do):实施统一的风险治理活动及适当的控制。
③ 检查(Check):监控控制的绩效,审查变化中环境的风险水平,执行内部信息安全管理体系审计。
④ 改进(Action):在信息安全管理体系过程方面实行改进,并对控制进行必要的改进,以满足环境的变化。
图2-2 基于PDCA模型的过程管理方法
2.1.1.2 BS 7799的不足
BS 7799汇集了优秀企业最佳实践,其科学性和有效性在具体的信息安全管理中得到了充分验证,但还存在一些不足之处。
(1)在BS 7799的十大核心领域中,没有一个控制项目具有任何程度的权重。这意味着若有两个不同的认证人员,对风险级别可能就会给出不同的度量与分类。
(2)许多安全管理文档中列出的大量有用的安全管理信息均未包含在ISO/IEC 17799之中,作为国际标准,这种不全面导致了它不能被完全接受。
(3)BS 7799在标准的内容上更偏重于信息安全中的管理部分,在技术方面的评估则显得不足,所以它在信息系统中风险评估的技术指导还不全面、不精确。
(4)BS 7799对标准中每个安全要素风险事件发生的危害程度分析不足,没有建立对系统整体风险贡献程度系数,容易让人误解各个安全要素同等重要。
(5)尽管BS 7799完整覆盖了当前信息安全中的所有内容,提供了统一的规范和要求,但标准中并没有如何对该标准进行实施的说明。
2.1.1.3 BS 7799信息安全管理标准开展的现状
尽管 ISO/IEC 17799 是在很多国家的反对声中被采纳的,BS 7799-1 在转换成ISO/IEC 17799的过程中受到了包括美国等很多发达国家的反对;尽管国际信息安全界对ISO/IEC 17799的争议很多,而且目前已经有几个国家指出,ISO/IEC 17799的某些部分与其国家法律存在着冲突,尤其是在隐私领域,但其普及和推广已是势不可当,到目前为止已有二十多个国家引用BS 7799-2作为国标,BS 7799-1(ISO/IEC 17799)也是卖出复制最多的管理标准,越来越多的信息安全公司都以BS 7799作指导为客户提供信息安全咨询服务。截至目前全球已有41个国家和地区的878个组织获得了BS 7799-2的认证。
BSI没有向ISO提交BS 7799-2,目前也没有迹象表明BSI是否会在将来提交。ISO也还没有计划去制定ISO/IEC 17799-2。在类似于ISO/IEC 17799-2的标准被ISO接受以前,不可能有“官方”的ISO/IEC 17799认证项目。
BS 7799-2信息安全管理体系(ISMS)审核员的注册由国际注册审核员协会(IRCA)进行,分4个等级,分别为实习审核员、审核员、主任审核员、首席审核员,其中首席审核员分为两种,一种为咨询师,一种为组长,值得关注的是其对咨询师的要求比对组长的要求要高得多。
我国政府主管部门以及各行各业已经认识到了信息安全的重要性。政府部门开始出台一系列相关策略,直接牵引、推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业,也开始出台对信息安全技术产品的应用标准和规范。2002年4月,我国成立了“全国信息安全标准化技术委员会(TC260)”,该标委会是在信息安全的专业领域内,从事信息安全标准化工作的技术工作组织。信息安全标委会设置了 10 个工作组,其中信息安全管理(含工程与开发)工作组(WG7)负责对信息安全的行政、技术、人员等管理提出规范要求及指导指南,它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会化服务管理规范、信息安全保险业务规范框架和安全策略要求与指南。已制定了国家标准《信息技术信息安全管理实用规则》,该标准的采用程度为等同采用标准,也就是说该标准与ISO/IEC 17799相同,除了纠正排版或印刷错误、改变标点符号、增加不改变技术内容的说明和指示之外不改变标准技术的内容。
2.1.2 ISO/IEC 13335
ISO/IEC 13335《信息技术 信息技术安全管理指南》(Information Technology Guidelines for the management of IT Security (GMITS))是一个关于 IT 安全管理的指南,这个标准的主要目的就是要给出如何有效地实施 IT 安全管理的建议和指南。它提出了以风险为核心的安全模型,阐述了信息安全评估的思路,对信息安全评估工作具有指导意义。
2.1.2.1 ISO/IEC 13335标准的内容
ISO/IEC 13335标准由5部分组成。
ISO/IEC 13335-1:信息技术安全概念和模型(Concepts and Models of IT Security)。包括了对IT安全和安全管理的一些基本概念和模型的介绍。
ISO/IEC 13335-2:管理和计划信息技术安全(Managing and Planning IT Security)。建议性地描述了IT安全管理和计划的方式和要点。包括:决定IT安全目标、战略和策略,决定组织IT安全需求,管理IT安全风险,计划适当IT安全防护措施的实施,开发安全教育计划,策划跟进的程序(如监控、复查和维护安全服务),开发事件处理计划。
ISO/IEC 13335-3:信息技术管理技术(Techniques for the Management of IT Security)。覆盖了风险管理技术,IT安全计划的开发、实施和测试,还包括一些后续的制度审查、事件分析、IT安全教育程序等,介绍了四种风险评估方法:基线方法、非正式方法、详细的风险分析方法、综合分析方法。
ISO/IEC 13335-4:防护措施的选择(Selection of Safeguards)。主要探讨如何针对一个组织的特定环境和安全需求选择防护措施。
ISO/IEC 13335-5:网络安全管理指南(Management Guidance on Network Security)。这部分主要描述了网络安全的管理原则以及各组织如何建立框架,以保护和管理信息技术体系的安全性。这一部分将有助于防止网络攻击,把使用IT系统和网络的危险性降到最低。
ISO/IEC 13335认为安全管理中的主要部件包括资产、威胁、脆弱性、影响、风险、防护措施和剩余风险;主要的安全管理过程包括风险管理、风险评估、安全意识、监控与一致性检验等。
2.1.2.2 ISO/IEC 13335不同的信息安全概念
在我们常见的很多信息安全文献中,定义信息安全主要包括3个方面:保密性、完整性、可用性,而在ISO/IEC 13335-1中指出IT安全有6个方面的含义。
1.保密性
使信息不泄露给未授权的个人、实体、过程或不使信息为其利用的特性。
2.完整性
包含数据完整性的内涵,即保证数据不被非法地改动和销毁;同样还包含系统完整性的内涵,即保证系统以无害的方式按照预定的功能运行,不受有意的或者意外的非法操作所破坏。
3.可用性
保证授权实体在需要时可以正常地访问和使用系统。
4.可核查性
确保一个实体的访问动作可以被唯一地区别、跟踪和记录。
5.真实性
确认和识别一个主体或资源就是其所声称的,被认证的可以是用户、进程、系统和信息等。
6.可靠性
保证预期的行为和结果的一致性。
可以看出,ISO/IEC 13335-1中对安全的6个要点的阐述是对传统的3要点的更细致的定义,对我们的工作有很重要的指导意义。在ISO/IEC 13335-4中就针对这6方面的安全需求分别列出了一系列的防护措施。
2.1.2.3 ISO/IEC 13335独特的安全要素
在ISO/IEC 13335中分析了在安全管理过程中的几个高层次的关键要素。
1.资产
资产(Asset)是对组织具有价值的信息或资源。
资产包括:物理资产(例如计算机硬件、通信设施、建筑物)、信息/数据(例如文档、数据库)、软件、生产某种产品或提供服务的能力、人员、无形资产(例如信誉、形象)。
待考虑的资产特性包括其价值和敏感度,以及特有的防护措施。资产的保护要求受到存在特定威胁时其脆弱性影响。
2.威胁
威胁(Threat)是可能对资产或组织造成损害的潜在原因。
威胁可能引起对我们的系统、组织和财富的,我们所不希望的不良影响。这些威胁可能是环境方面的、人员方面的、系统方面的,等等。
当威胁每次出现时,由此造成的损害程度可能很不相同,这些威胁经常用与它们相关的严重程度描述。某些威胁可能影响一个以上的资产,在此情况下,它们可引起不同的影响,这视受影响的资产而定。
威胁可以通过威胁主体、资源、动机、途径等多种属性来刻画。
3.脆弱性
脆弱性(Vulnerability)(也称为漏洞)是可能被威胁利用,对资产造成损害的薄弱环节。
脆弱性包括可能会被威胁所利用的资产或若干资产的弱点。它们是使威胁产生损坏的机会。这些脆弱性可能存在于组织结构、工作流程、物理环境、人员管理、硬件、软件或者信息本身。
脆弱性分析是指对被已标志的威胁利用的弱点的分析。这种分析必须考虑环境和现有的防护措施。特定系统或资产相对某种威胁而言,脆弱性是此系统或资产易受损害的容易程度的说明。
脆弱性本身并不会引起损害,它只是威胁利用来实施影响的一个条件。脆弱性一旦被利用,就可能对资产造成损害。
4.影响
影响(Impact)是故意或意外引起的、影响资产的不希望事故的后果。此后果可能是某些资产的毁坏、IT系统的损坏和保密性、完整性、可用性、可核查性、真实性、可靠性等方面的损失,并且造成我们信息资产的损失。可能的间接后果包括财务损失以及市场份额或组织形象的丧失。
影响的度量可以在不希望事故的结果和防止这种不希望事故的防护措施的费用之间做出平衡。不希望事故发生的频度需予以考虑。影响的评估是风险评估和选用防护措施的一个重要的要素。
5.风险
风险(Risk)是某种威胁利用脆弱性直接或间接引起组织资产丢失或损坏的可能性。
风险是威胁事件发生的可能性与影响综合作用的结果,我们整个的安全管理实际上就是在做风险管理。
6.防护措施
防护措施(Safeguards)是我们为了降低风险所采用的解决办法。它们可以防止威胁,减少脆弱性,约束不希望事故的影响,检测不希望事故和促进恢复。这些措施有些是在环境方面的,比如门禁系统、人员安全管理、防火措施、UPS等。有些措施是技术方面的,比如网络防火墙、网络监控和分析、加密、数字签名、防病毒、备份和恢复、访问控制等。
7.残留风险
残留风险(Residual Risk)是采取了安全措施后,仍然可能存在的风险。
在经过一系列安全控制和安全措施之后,信息安全的风险会降低,但是绝对不会完全消失,会有一些剩余风险的存在。对这些风险可能我们就需要用其他方法转嫁或者承受。
8.约束
约束(Constraints)是一些组织实施安全管理时不得不受到环境的影响,不能完全按照理想的方式执行。这些约束可能来自组织机构、财务能力、环境限制、人员素质、时间、法律、技术、文化和社会等。
2.1.2.4 ISO/IEC 13335 IT安全管理
IT安全管理包括如下活动:
(1)制定IT安全策略。
(2)标志在组织中的角色和职责。
(3)风险管理,包括如下内容的标志和评估:受保护的资产、威胁、脆弱性、影响、风险、防护措施、残留风险、约束。
(4)配置管理。
(5)变更管理。
(6)应急计划和灾难恢复计划。
(7)防护措施的选择和实施。
(8)安全意识。
(9)维护、安全审核、监督、评审、事故处理。
2.1.2.5 风险管理关系模型
对上面的一些安全管理要素,ISO/IEC 13335给出了一个与风险管理有关的安全要素之间的关系模型,如图2-3所示。
图2-3 风险管理关系模型
从图 2-3 中可以看出,威胁对脆弱性加以利用,暴露了具有价值的资产,从而造成负面影响,由此导致风险。正是由于风险的存在,我们才提出了防护需求;为了实现需求,必须采取防护措施,以便防范威胁并减少风险。风险管理的整个过程就是在这些要素间相互制约、相互作用的关系中得以发展。
2.1.2.6 ISO/IEC 13335在BS7799基础上的改进
ISO/IEC 13335和BS 7799(ISO/IEC 17799)比较起来对安全管理的过程描述得更加细致,而且有多种角度的模型和阐述。ISO/IEC 13335有几个方面比较突出:
(1)对安全的概念和模型的描述非常独特,具有很大的借鉴意义。在全面考虑安全问题,进行安全教育,普及安全理念的时候,完全可以将其中的多种概念和模型结合起来。
(2)对安全管理过程的描述非常细致,而且完全可操作。作为一个企业的信息安全主管机关,完全可以参照这个完整的过程规划自己的管理计划和实施步骤。
(3)对安全管理过程中的最关键环节——风险分析和管理有非常细致的描述。包括基线方法、非形式化方法、详细分析方法和综合分析方法等风险分析方法学的阐述,对风险分析过程细节的描述都很有参考价值。
(4)在标准的第四部分,有比较完整的针对6种安全需求的防护措施的介绍。将实际构建一个信息安全管理框架和防护体系的工作变成了一个搭积木的过程。
(5)这个标准是一个开发的标准,标准还在不断地增加和改进中。现在标准的第五部分即将发布。
2.1.3 ISO/IEC 27001:2005
ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系-要求》是有关信息安全管理的国际标准,源于英国BS7799标准。BS7799-2:2002经修订后,于2005年10月15日作为国际标准ISO/IEC 27001:2005正式发布。这个标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。
2.1.3.1 ISO/IEC 27001:2005标准的内容
ISO/IEC 27001:2005标准由9部分组成,另外还有3个附录。
第一部分简介,介绍了本标准的总则、过程方法、与其他管理体系的兼容性;
第二部分范围,介绍了本标准的应用范围;
第三部分引用标准,对引用标准作了说明;
第四部分术语和定义,介绍了本标准中使用的名词和定义;
第五部分信息安全管理体系,介绍了信息安全管理体系(ISMS)的建立、实施和运作、监控和评审、维护和改进,以及对信息安全管理体系(ISMS)文件的要求;
第六部分管理职责,介绍了管理层应提供的承诺和资源的管理;
第七部分信息安全管理体系内部审核,介绍了审核内容及要求;
第八部分信息安全管理体系管理评审,介绍了评审的总则和评审的输入、输出;
第九部分ISMS改进,介绍了持续改进、纠正措施和预防措施。
附录A介绍了控制目标和控制措施;
附录B介绍了OECD 准则和本国际标准;
附录C介绍了本标准与ISO9001:200、ISO14001:2004 标准的对应关系。
2.1.3.2 ISO/IEC 27001:2005的特点
ISO/IEC 27001:2005标准的特点是基于组织的信息资产风险评估,它适用于所有类型的组织,而不管组织的性质和规模如何。标准要求组织通过业务风险评估的方法,建立、实施、运行、监视、评审、保持和改进其 ISMS,确保其信息资产的保密性、可用性和完整性。
1.信息资产
标准所指“信息”,可包括所有形式的数据、文件、通信件(如E-mail和传真等)、交谈(如电话等)、消息、录音带和照片等。信息资产是对组织具有价值、以任何方式存储的信息。通常,系统(如信息系统和数据库等)也可作为一类信息资产。
2.安全风险
组织的信息资产可能面临许多威胁,包括人员(内部人员和外部人员)误操作(有意或无意)、盗窃、恶意代码和自然灾害等。由于组织存在某些可被威胁者利用或进行破坏的薄弱环节(包括员工缺乏安全意识、基础设施中的弱点和控制中的弱点等),其密级信息资产和应用系统就可能遭受未授权访问、修改、泄露或破坏,而使其造成损失(包括经济损失、公司形象损失和顾客信心损失等)。
3.风险评估与处理
ISO/IEC 27001:2005标准要求组织利用风险评估的方法,确定每一个关键信息资产的风险,并根据各类信息资产的重要度和价值,选择适当的控制措施,缓减风险。风险评估和风险处理是ISO/IEC 27001:2005标准要求的两个相互关联的、必须的活动。组织建立信息安全管理体系(ISMS),要进行信息资产风险评估和风险处理,其主要过程如下:
(1)制定组织的信息安全管理体系(ISMS)方针和风险接受准则;
(2)定义组织的风险评估方法;
(3)识别要保护的信息资产,并进行登记;
(4)识别安全风险,包括识别资产所面临的威胁、组织的弱点和造成的影响等;
(5)对照组织的风险接受准则,评价和确定已估算风险的严重性,以及可否接受;
(6)形成风险评估报告;
(7)制定风险处理计划,选择风险控制措施(标准明确规定了4种风险处理方法,即采用适当的控制措施、接受风险、避免风险和转移风险);
(8)执行风险处理计划,将风险降低到可接受的级别。从理论上讲,风险只能降低(或减少)而不能完全消除。组织选择控制措施的原则是既能使本组织的资产受到与其价值和保密等级相符的保护,将其所受的风险降低到可接受的水平,又能使所需要的费用在组织的预算范围之内,使组织能够保持良好的竞争力和成功运作的状态。
另外,风险是动态的,风险评估活动应定期进行。特别是在出现新的信息资产、技术发生重大变化和内外环境发生重大变化时,风险评估应重新进行。
2.1.3.3 ISO/IEC 27001:2005的要求
ISO/IEC 27001:2005标准的要求就是过程要求,ISO/IEC 27001:2005标准规定了信息安全管理体系(ISMS)建立、实施与运行、监督与评审、维护与改进所要遵循的活动(过程),并形成一个周期,称“PDCA”周期,ISO/IEC 27001:2005 标准要求组织使用“PDCA”过程模式开发其信息安全管理体系(ISMS)。
过程是指使用资源把输入转为输出的一组活动。通俗地说,过程就是将原料(输入)加工成产品(输出)的工作(活动)。输入之所以能转化为输出,是因为开展了某些工作或活动。
ISO/IEC 27001:2005 标准第五部分至第九部分规定了一组信息安全管理体系(ISMS)过程,要求组织使用“过程方法”管理和控制其信息安全管理体系(ISMS)过程,即:
(1)组织必须对应第五部分至第九部分的相应要求,建立其实际的信息安全管理体系(ISMS)过程;
(2)组织的信息安全管理体系(ISMS)需按“过程方法”进行管理和控制。
通常,一个过程的输出便是另一个过程的输入。通过这些输出和输入,把各个信息安全管理体系(ISMS)过程“粘”在一起,形成一个相互依赖的统一整体。
2.1.4 CC准则
CC(Common Criteria,通用准则)是目前国际上最通行的信息技术产品与系统安全性评估准则,也是信息技术安全性评估结果国际互认的基础,它是若干标准的综合,和ISO/IEC 15408 信息技术安全性评估准则、GB/T 18336信息技术安全技术——信息技术安全评估准则是同一个标准,CC是最早的称谓,ISO/IEC 15408是正式的ISO标准,GB/T 18336是我国等同采用ISO/IEC 15408之后的国家标准。
CC定义了一套能满足各种需求的IT安全准则,将评估过程分为“功能”和“保障”两部分,CC由3部分组成。
第1部分:简介和一般模型。正文介绍了CC中的有关术语、基本概念、一般模型,以及与评估有关的一些框架,附录部分主要介绍安全保护框架(PP)和安全目标(ST)的基本内容。
第2部分:安全功能要求。采取分类分级的结构,按“类—族—组件—元素”的方式提出安全功能的要求,CC准则中定义了11个安全功能大类:
(1)安全审计类;
(2)通信类(主要是身份真实性和抗抵赖性);
(3)密码支持类;
(4)用户数据保护类;
(5)标志和鉴别类;
(6)安全管理类;
(7)隐密类(保护用户隐私);
(8)TSF保护类(TOE自身安全保护);
(9)资源利用类(从资源管理角度确保TSF安全);
(10)TOE访问类(从TOE访问控制角度确保安全性);
(11)可信路径/信道类。
前7类的安全功能是提供给信息系统使用的,后4类的安全功能是为确保安全功能模块(TSF)自身安全而设置的。在上述大类中,每一类再细分族、组件、元素。
第3部分:安全保障要求。其文档结构体系与第2部分类似,也分为“类—族—组件—元素”,安全保障要求中定义了10个大类的安全保障:
(1)配置管理类;
(2)分发和操作类;
(3)开发类;
(4)指导性文档类;
(5)生命周期支持类;
(6)测试类;
(7)脆弱性评定类;
(8)PP-Evaluation
(9)ST-Evaluation
(10)保证的维护类。
按照上述8类安全保证要求不断递增的次序,CC将TOE(测评对象)的安全保障级分为7级。
第一级:功能测试级;
第二级:结构测试级;
第三级:系统测试和检查级;
第四级:系统设计、测试和复查级;
第五级:半形式化设计和测试级;
第六级:半形式化验证的设计和测试级;
第七级:形式化验证的设计和测试级。
CC 标准一方面可以支持产品(最终已在系统中安装的产品)中安全特征的技术性要求评估,另一方面描述了用户对安全性的技术需求。然而,CC没有包括对物理安全、行政管理措施、密码机制等方面的评估,且未能体现动态的安全要求。因此,CC 标准主要还是一套技术性标准。
CC 标准的核心思想体现在两方面:一是信息安全技术本身和对信息安全技术的保证承诺之间独立。也就是说,相同的安全功能可以有不同的安全可信度;二是内含了安全工程的思想,即通过对信息安全产品的开发、评价、使用全过程的各个环节实施安全工程来确保系统或产品的安全性。