第四节 网络安全标准

近年来，随着信息技术的快速发展和应用，网络安全形势日趋复杂而严峻，网络安全标准化就显得十分重要。网络安全标准是指为了规范网络行为、净化网络环境而制定的强制性或指导性的规定。世界各国纷纷颁布了计算机网络的安全管理标准，例如我国颁布了《计算机网络国际互联网安全管理办法》等多个国家标准。为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，我国于2016年11月7日发布了《中华人民共和国网络安全法》。目前，网络安全标准主要有针对系统安全等级、系统安全评定方法、系统安全使用和操作规范等方面的标准。

学习目标

熟悉信息安全等级标准；

了解网络与信息安全标准体系的组成，以及计算机系统安全国内外评价标准。

关键知识点

网络安全标准化是网络安全保障体系建设的重要组成部分，它在构建安全的网络空间、推动网络治理体系变革方面发挥着基础性、规范性、引领性作用。

信息安全等级标准

通常，为了保护人和资产的安全而制定的标准称为安全标准。安全标准一般有两种形式：一种是专门的特定的安全标准；另一种是在产品标准或工艺标准中列出有关安全的要求和指标。网络安全标准化是包括标准体系研究、标准文本制订/修订及技术验证、标准的产业化应用等多个环节以及相关组织运作的集合。网络与信息安全标准化工作对于解决安全问题具有重要的支撑作用。网络与信息安全标准体系的作用主要体现在两个方面：一是确保有关产品、设施的技术先进性、可靠性和一致性，确保信息化系统可用、互联互通互操作；二是按照国际规则实行信息技术产品市场准入制，为相关产品的安全性提供评测依据，以强化和保证信息化安全产品、工程、服务的自主可控性。

网络与信息安全标准体系

近20多年来，人们一直在努力研究安全标准，并将安全功能与安全保障相分离，制定了许多复杂而详细的条款；遵循“科学、合理、系统、适用”的原则，在总结和分析国内外网络与信息安全标准、安全技术与方法以及发展趋势的基础上，提出了网络与信息安全标准体系框架，如图1.3所示。

计算机系统安全国际评价标准

早在20世纪70年代，以美国为首的西方发达国家就已经开始关注网络与信息安全标准。到了20世纪90年代，随着互联网应用的普及，网络与信息安全标准日益受到世界各国和各种组织的关注。在网络系统可信度的评估中，美国国防部制定的“可信计算机系统安全评价准则”（TCSEC）具有重要的历史地位和作用。TCSEC将计算机系统安全划分为4类7级，其安全级别由高到低依次是A、B3、B2、B1、C2、C1和D，其中A为最高级，如表1.3所示。

由表1.3可知，计算机系统的安全实际上是指某种程度的安全，具体的安全程度是根据实际需要和所具备的条件而确定的。目前，常见的网络安全产品大多处于C1、C2和B1级。TCSEC的安全概念仅限于信息的“保密性”，没有超出计算机系统安全的范畴。20世纪90年代初，英、法、德、荷4国针对TCSEC准则存在的这种局限性，联合提出了包含机密性、完整性、可用性概念的“信息技术安全评价准则”（IT SEC），俗称白皮书。1993年，在六国七方（美国国家安全局和国家技术标准研究所，加、英、法、德、荷）的合作下，提出了“信息技术安全评价通用准则”（CC for IT SEC），简称CC。CC综合了国际上已有的评测准则和技术标准的精华，给出了框架和原则要求，并于1999年7月通过国际标准化组织认定，确立为国际标准，编号为ISO/IEC 15408。ISO/IEC 15408标准对信息安全内容和级别给予了更完整的规范，为用户对安全需求的选取提供了充分的灵活性。

CC通过对安全保证的评估而划分安全等级，每一等级对保证功能的要求各不相同；安全等级增强，对保证组建的数目或者同一保证的强度要求就会增加。借鉴IT SEC安全等级的划分，CC 安全等级共分7级，由 EAL1到 EAL7逐渐提高，分别为：EAL1—— 功能测试；EAL2—— 结构测试；EAL3—— 系统的测试与检查；EAL4—— 系统的设计、测试和评审；EAL5—— 半形式化设计和验证；EAL6—— 半形式化验证的设计和测试；EAL7—— 形式化验证的设计和测试。

我国计算机系统安全的评价标准

我国一直高度关注网络与信息安全标准化工作，从20世纪80年代起就着手进行网络与信息安全标准的研究，现在已正式发布相关国家标准60多个。另外，相关部门也相继制定、颁布了一批网络与信息安全的行业标准，为推动网络与信息安全技术在各行业的应用发挥了积极的作用。1999年9月，经过国家质量技术监督局批准，发布了《计算机信息系统安全保护等级划分准则》（GB 17859—1999），将我国计算机系统安全保护划分为5个等级，与CC存在大致的安全级别对应关系：

第一级为用户自主保护级（L1）:L1的安全保护机制使用户具备自主安全保护的能力，保护用户信息免受非法读写破坏。

第二级为系统审计保护级（L2）:L2除具备L1所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己行为的合法性负责。

第三级为安全标记保护级（L3）:L3除继承前面级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对被访问对象的强制保护。

第四级为结构化保护级（L4）:L4在继承前面安全级别的安全功能的基础上，将安全保护机制划分为关键部分和非关键部分；关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。

第五级为访问验证保护级（L5）：这一级别特别增设了访问认证功能，负责仲裁访问者对被访问对象的所有访问活动。

GB 17859—1999提出的安全要求可归纳为10个安全要素：自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽通道分析、可信路径、可信恢复。该准则为安全产品的研制提供了技术支持，也为安全系统的建设和管理提供了技术指导。此外，针对不同的技术领域还有一些其他安全标准，如：《信息处理系统 开放系统互连基本参考模型第2部分：安全体系结构》（GB/T 9387.2—1995）、《信息技术 安全技术 实体鉴别机制 第I部分：一般模型》（GB 15843.1—1995）、《信息技术设备的安全》（GB 4943—1995）等。

为切实履行通信网络安全管理职责，提高通信网络安全防护水平，依据《中华人民共和国电信条例》，工业和信息化部于2009年9月起草了《通信网络安全防护监督管理办法》，拟对通信网络安全实行五级分级保护。

信息安全管理体系

信息安全管理体系（Information Security Management System,ISMS）是目前世界上应用最广泛与最典型的信息安全管理标准。ISMS的目标是将信息安全问题纳入组织的管理体系框架内，从制度上保证不同的组织更好地符合信息安全的相关法律法规，将其信息安全风险较低到可接受的范围内，将技术和管理手段有机结合在一起，从根本上解决信息安全问题。

ISMS 是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（Management System,MS）思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。ISMS的具体要求定义在ISO/IEC 27000系列标准中，包括：

ISO/IEC 27000（原理与术语）；

ISO/IEC 27001（信息安全管理体系-要求）；

ISO/IEC 27002（信息技术-安全技术-信息安全管理实用规则）；

ISO/IEC 27003（信息安全管理体系实施指南）；

ISO/IEC 27004（信息安全管理测量）；

ISO/IEC 27005（信息安全技术风险管理）；

ISO/IEC 27006（信息安全管理体系审核认证机构要求）；

ISO/IEC 27007（信息安全管理体系审核员指南）。

在这些标准中，ISO/IEC 27001是ISO/IEC 27000系列的主标准，类似于ISO9000系列中的ISO9001，各类组织可以按照ISO/IEC 27001的要求建立自己的信息安全管理体系（ISMS）并通过认证。目前的有效版本是ISO/IEC 27001:2005。

ISO/IEC 27001:2005（信息安全管理体系-要求）于2005年10月15日正式发布，是ISMS的要求标准，其内容共分8章和3个附录，其中附录A中的内容直接引用其前身 ISO/IEC 17799:2005的第5～15章。ISMS标准族中的其他标准都有“术语和定义”部分，但不同标准的术语间往往缺乏协调性，而ISO/IEC 27000则主要用于实现这种协调。

ISMS是组织机构按照信息安全管理体系相关标准的要求，制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理工作体系。在实际操作中，ISO/IEC 27001采用了“规划（Plan）—实施（Do）—检查（Check）—处置（Act）”（PDCA）模型来建立、实施、运行、监视、评审、保持和改进一个单位的 ISMS，该模型的结构如图1.4所示。

规划（建立ISMS）—— 建立与管理风险、改进信息安全有关的ISMS方针、目标、过程和程序，以提供与机构总方针、目标一致的结果。

实施（实施和运行ISMS）—— 实施和运行ISMS方针、控制措施、过程和程序。

检查（监视和评审ISMS）—— 对照ISMS方针、目标和实践经验，对过程的执行情况进行评估，并在适当时候进行测量，且将结果报告给管理者，以供评审。

处置（保持和改进ISMS）—— 基于ISMS内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进ISMS。

PDCA模型说明业务流程是不断改进的，该方法使得职能部门可以识别出那些需要改进的环节并进行修正。这个流程以及流程的改进，都必须遵循这样一个过程：先计划，再执行，而后对其运行结果进行评估；紧接着按照计划的具体要求对该评估进行复查，并找到任何与计划不符的结果或偏差（即潜在的改进可能性）；最后向管理层提出如何运行的最终结果。

练习

1.简述我国计算机安全等级划分与相关标准的5个等级。

2.解释PDCA模型4个阶段的含义。

3.TCSEC共分为（　）大类（　）级。

a.4　7　　　　 b.3　7　　　　 c.4　5　　　　 d.4　6

4.TCSEC定义的属于D级的系统是不安全的，以下操作系统中属于D级的是（　）。

a.运行非UNIX的Macintosh机　　b.XENIX

c.运行Linux的PC　　　　　　 d.UNIX系统

5.根据可信计算机系统安全评价准则（TCSEC），不能用于多用户环境下重要信息处理的系统属于（　　）。

a.A类系统　　 b.B类系统　　 c.C类系统　　 d.D 类系统

【提示】D 类系统的安全要求最低，属于非安全保护类，它不能用于多用户环境下的重要信息处理。

6.网络安全最终是一个折中的方案，即安全强度和安全操作代价的折中，除增加安全设施投资外，还应考虑（　　）。

a.用户的方便性　　　　　　　　　　　　　b.管理的复杂性

c.对现有系统的影响及对不同平台的支持　　　 d.上面3项都是

【参考答案】3.a　 4.a　 5.d　 6.d

补充练习

查找资料，说明有哪几种网络安全体系模型，以及各模型的特点如何。