信息安全研究进展综述范文

引言

随着全球信息化水平的日益提高，各国政府建立和加强国家信息安全保障体系的工作步伐不断加快。国家信息安全保障体系的落实，既需要信息技术支持，更需要管理技术支撑，而信息安全管理体系是信息安全保障体系中不可或缺的重要组成部分。2003年9月中共中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（简称27号文），就明确提出了“立足国情，以我为主，坚持技术管理并重”的信息安全管理方针。技术和管理并重，是信息安全保障工作的基本要求[1]。

1国际标准化组织（ISO）安全管理标准研发步伐加快[2]

近年来，ISO高度重视信息安全管理体系标准的研究和制定，为加速推进有关信息安全管理标准的制定工作，2006年在西班牙召开的ISO/IECJTC1/SC27工作组会议上，在原来设立的三个工作组的基础上增设了两个工作组，五个工作组中WG1和WG4两个工作组的任务均与信息安全管理标准有关。WG1的工作任务调整为专门开发信息安全管理体系(ISMS)的标准与指南，WG4则从事控制措施的实现及应用服务的安全管理标准和指南的开发。西班牙会议后，WG1和WG4分别加快了标准制定的进度。为引起关注与重视，两个工作组所制定的标准的编号均列入270XX序列。

我国作为ISO/IECJTC1/SC27成员国，参与了ISMS国际标准的制定和研讨。我国选择了信息安全审核和安全事件分级分类作为参与国际合作的切入点，得到了认可，并成为相关国际标准的编辑者。

WG1已经逐步理清了ISOSC27WG1ISMS标准体系和路线图（如图1）。

ISMS具有如下特点：（1）基于一个组织；（2）目标是体系化建设（；3）立足于风险管理思想；（4）贯穿了“规划-实施-检查-处置”（PDCA）持续改进的过程和活动；（5）根据组织自身的任务和应对安全风险需求来选择安全控制措施；（6）通过安全控制的测度和审核来检查信息安全技术和管理运用的合规性。

目前为止，WG1围绕信息安全管理体系（ISMS）的国际标准的研究编制内容已确定了14个。其中，8个已，分别为：

-ISO/IEC27000《信息安全管理体系概述和术语》

-ISO/IEC27001《信息安全管理体系要求》

-ISO/IEC27002《信息安全管理实用规则》

-ISO/IEC27003《信息安全管理体系实施指南》

-ISO/IEC27004《信息安全管理测量》

-ISO/IEC27005《信息安全风险管理》

-ISO/IEC27006《信息安全管理体系审核和认证机构的要求》

-ISO/IEC27011《基于ISO/IEC27002的电信组织的信息安全管理指南》

2美国联邦信息安全管理法（FISMA）的实施和改进

2002年美国颁布《联邦信息安全管理法案》（FISMA），旨在通过采取适当的安全控制措施，达到保障联邦机构的信息系统安全的目标。为此，FISMA专门指定美国国家标准与技术研究所（NIST）负责开展信息安全标准、指导方针的制

定工作。

2.1信息系统安全建设和安全管理

2003年以来，NIST根据FISMA的要求，原定分三阶段开展工作：

1）第一阶段：标准和准则的制定（2003—2008）

NIST已基本完成这一阶段任务，形成了一套全面权威的信息安全保障体系和标准体系。

2）第二阶段：组织认证计划（2007—2010）

NIST在这一阶段的主要任务是依据标准形成能力、提供服务、进行评估、给出凭据。NIST提出了三种能力和服务给出凭据：基于客户的凭据、来自公众领域和私人领域的凭据以及来自政府发动的凭据。

3）第三阶段：安全工具验证计划

NIST原定从2008年到2009年开展第三阶段工作，着重解决安全工具的验证认可，以发挥IT技术在IT安全中的自动化的效率和效益。

目前，NIST根据实际进展情况，已将第三阶段纳入第二阶段，使用现有的IT产品测试，评价和审定程序。

FISMA规定，联邦信息处理标准（FIPS）对联邦机构具有强制性和约束力，因此，各机构不得放弃其使用。特别出版物（SP）作为建议和指南文本由NIST发行，除国家安全计划和系统外，其他联邦各机构必须在FIPS中遵循NIST的这些特别出版物规定的要求。其他与安全有关的出版物，包括跨部门的报告（NISTIR）和信息技术实验室（ITL）公告，提供了技术和NIST的其他有关活动信息。这些出版物只有在由OMB说明后是强制性的规定。对于NIST安全标准和指南遵循的既定时间表由OBM在其政策、指示或备忘录中确定（例如FISMA年度报告指南）。

2.2信息系统风险管理框架

在已经实施完成的第一阶段，NIST制定了如下的具体标准和指南：

-FIPS199《美国联邦信息和信息系统安全分类标准》（已完成）

-FIPS200《联邦信息和信息系统的最低安全要求》（已完成）

-SP800-18《开发联邦信息系统和组织的安全计划指南》（已完成）

-SP800-30版本1，《实施风险评估指南》

-SP800-37版本1，《对联邦信息系统运用风险管理框架指南：安全生命周期方法》（已完成）

-SP800-39《业务范围的风险管理：组织，任务和信息系统的视图》

-SP800-53版本3，《推荐的联邦信息系统和组织的安全控制》（已完成）

-SP800-53A版本1，《联邦信息系统和组织安全控制评估指南》

-SP800-59《确定一个信息系统作为国家安全系统的指南》（已完成）

-SP800-60：修订1，《信息和信息系统安全分类映射类型指南》

-SP800-XX：《信息系统安全工程指南》

-SP800-yy：《软件应用安全指南》

SP800-53版本3为联邦信息系统和组织提供了涉及管理、运行和技术三个大类，含十八个族以应对低、中、高风险的基线安全控制措施，共计207项。

2008年4月颁布的SP800-39《来自一个组织视野的信息系统风险管理》，声称此草案是FISMA标准系列中的旗舰性文件（flagshipdocument），把风险的管理层次提高了，标志着美国信息安全等级保护从技术系统平台向组织和业务提升，文件明确提出结合联邦业务体系框架（FEA），并明确提出要关注供应链的安全问题。

他们将这一套标准成为风险管理框架，这套标准体系与联邦信息系统安全的认证认可的工作体系形成了紧密关联的映射。如图2所示

联邦信息系统认证认可的工作步骤最初划分为八个步骤。分别为：信息系统的分类（相当于我们的系统定级）；安全控制措施的选择；选择的安全控制措施的细化；选择的安全控制措施的文档化；安全控制措施的实施；安全控制措施的评估（认证）；系统的认可；持续监控。图2标注了该工作步骤所依据的上述标准和指南。

目前版本的SP800-37对风险管理框架进行了改进，整个工作由原来的8个步骤改为如图3所示的6个步骤：NIST围绕风险管理框架编写了常用问题解答（FAQ）和快速启动指南（QuickStartGuides，QSGs），这些FAQs和OSGs文档将和NISTSP系列标准、FIPS标准一起指导风险管理框架6步骤的具体实施。

2.2.1风险管理框架的特点

NIST将上述标准体系称为认证认可的风险管理框架，该框架具有如下特点：

1）创立实时的风险管理的概念，并通过实施强有力的连续监测过程推动信息系统的授权；2）鼓励使用自动化操作来向高级领导人提供必要的信息，产生成本效益，以关注组织的信息系统支持的核心任务和业务职能进行基于风险的决策；3）将信息安全结合到业务安全体系结构和系统开发的生命周期；4）规定强调安全控制的选择、实施、评估、监测和信息系统的授权；5）在信息系统一级结合风险管理的过程，在组织一级行使风险管理的责任；6）为组织的信息系统安全控制的部署建立责任制和问责制，并使这些制度得到传承。

2.2.2递升的风险管理方法

在NIST的SP800-37中，给出了如图4所示的递升的风险管理方法。

该图提出了一个观点：要从一个组织的战略风险和战术两个方面来进行风险管理。可以把一个组织关注的信息安全问题展开为三个阶梯。第一阶梯是组织，要通过安全治理来解决信息安全问题；第二阶梯是使命和业务过程，体现在信息和信息流；第三个阶梯是信息系统，体现为信息的运行环境。如图中箭头所示，越向上（阶梯1）越体现为战略风险，越向下（阶梯3）越体现为战术风险。

以这个观点来看我国目前进行的信息系统安全等级保护工作，主要关注的是信息系统（含信息）的安全，而对使命和业务过程以及组织的信息安全强调不够。从某种程度来看，我们重视了战术风险，而对战略风险的关注度有所欠缺。

2.3对测试实验室能力的要求

FISMA第二阶段的工作目标是形成能力，开展服务，为安全评估者提供评估的凭据。为约束信息安全测评机构，确保信息安全实验室具备为联邦相关机构的信息系统进行测评的服务能力进行规范性的测评服务。2006年，NIST推出了HANDBOOK150，为自愿申请成为国家实验室的单位提出了规范性通用要求，明确了自愿成为国家实验室的认可计划、程序及一般规定，用以考核部级实验室的能力和服务水平。2008年推出的NISTHANDBOOK150-17从自愿成为国家实验室评审计划、密码及安全测试方面提出了补充要求。

2.4美国推动信息安全自动化计划

2007年5月，NIST提出信息安全自动化计划（ISAP），旨在让漏洞的管理和安全测试及符合性能够自动化起来；同时，推出配套的姊妹篇——安全内容自动化协议（SCAP），它通过明确的、标准化的模式使漏洞管理、安全监测和政策符合性与FISMA的要求一致。此外，NIST还提出联邦桌面系统核心配置（FDCC）的规范要求（现在又改称其为美国政府配置基线（USGCB）），专门对Windows系统主机的安全漏洞和安全配置进行检查。为达到认证和监控的目的，机构和IT提供者必须获得SCAP批准的FDCC扫描器并进行自动化检查。ISAP计划、SCAP方法和FDCC要求把漏洞管理、资产管理、补丁管理、配置管理综合起来，以CVE、CCE、CPE、XCCDF、OVAL、CVSS等六个技术支柱，研究开发配置扫描器、脆弱性扫描器、补丁检查、入侵检测系统、Malware工具、资产数据库、漏洞库等等工具，形成12种特有的能力，使其得以自动或半自动执行。信息安全保障的最高要求是对法律法规的符合性，NIST用如下模型来形象地阐述对FISMA的符合性。图5FISMA合规模型

3我国信息安全管理标准现状[3]

国家的有关信息安全管理规范和技术标准是进行等级保护工作的科学依据。为落实27号文件有关精神，全国信息安全标准化技术委员会成立后，随即成立第七工作组（WG7）负责信息安全管理类标准研究与制定，并制定和引进了一批重要的信息安全管理标准。《国家信息安全标准化“十一五”规划》分析了我国信息安全标准化工作情况与面临的形势，要求重点关注下列管理类标准的制定：政府监管标准；信息安全管理体系标准；信息安全服务标准；事件处理与应急灾备有关标准以及信息安全管理体系标准。

目前，WG7在信息安全管理标准方面取得了一定的进展：通过研究，决定我国信息安全管理体系标准等同采用ISMS；配合信息安全等级保护体系制定了管理要求，正在制定管理评估规范；自主制定了事件处理与应急灾备的相关标准；政府监管类标准和安全服务类的标准也在积极研究过程中。在信息安全管理体系标准方面，已经了14项标准，如：

-GB/T19715.1-2005信息技术信息技术安全管理指南第1部分：信息技术安全概念和模型

-GB/T19715.2-2005信息技术信息技术安全管理指南第2部分：管理和规划信息技术安全

-GB/T19716-2005信息技术信息安全管理实用规则

-GB/T20269-2006信息安全技术信息系统安全管理要求

-GB/T20282-2006信息安全技术信息系统安全工程管理要求

-GB/T20984-2007信息系统安全风险评估指南

-GB/T20988-2007信息系统灾难恢复指南

-GB/T20986-2007信息安全事件分类指南

-GB/T20985-2007信息安全事件管理

-GB/T22080-2008信息安全管理体系要求

-GB/T22081-2008信息安全管理实用规则

-GB/Z24364-2009信息安全风险管理指南

-GB/Z24294-2009基于互联网的电子政务信息安全实施指南

-GB/T24363-2009信息安全应急响应计划规范

4信息安全保障概念的几个新提法

众所周知，对信息安全的认识，经历了如图6图所示的从保密、保护到保障的认识过程。

美国国家安全局负责信息保障的官员丹尼尔.沃尔夫在RSA年会上提出了对信息安全面临的下一个阶段的看法(如图7所示)。在丹尼尔沃尔夫看来，美军的信息化应用不是基于国际互联网这一张大网，全球驻军的格局和作战任务使其要利用根据作战任务需要临时形成的全球网格（GIG），以支持其网络中心战法。因此，需要从信息保障（IA）发展到有保障的共享（AssuedSharing）。在有保障的共享目标下，保密原则也需要从传统的“需则可知”（NeedtoKnow）发展到“需则共享”（NeedtoShare）。这个观点强化了信息化时代保密工作的积极性，不仅要消极的保，更应该在根据任务要求实现授权信息共享的前提下实现信息保密。

2009年的RSA年会上，美国国防部的一位官员又提出了一个对信息安全的报告。该报告认为，信息化的发展，开拓了人类生存的新疆域-网际空间（SyberSpace）。这个新空间和传统的陆、海、空、天的互依赖、互影响关系是全面相关、全局影响的。信息安全的内涵可以看成在网际空间这样一个新的时空中，人类活动产生了大量的信息内容和信息服务，要保障信息安全就需要管理身份，使授权者可以享用这些信息和服务（概括为CIIA）。信息安全的外延和信息保障（IA）的概念比较起来有更实质的变化。IA被看成是一种IT服务，是另外分配的任务，他利用检查表，运用技术手段，管理着技术漏洞，评价商业定制产品，形成了烟筒式的防护。而CIIA则是不可或缺的任务，是领导的责任，要贯穿生命周期全过程来管理风险，要结合使命的需要和系统保障，运用剑与盾的最佳结合与入侵者决战。这些观点和最近美国组建网络司令部，任命四星上将为其司令，组建网络战的实体部队，扬言在网际空间发动“先发制人”的攻击的动态不谋而合，值得我们深思。

访问控制是保障信息安全必须的机制。2009年9月，NIST举办了授权管理的研讨会。会议对访问控制的发展给出了一个发展阶段的表述（如图9所示）表述认为，访问控制模式经历了访问控制表（ACL）、基于角色的访问控制（RBAC）、基于属性的访问控制（ABCA）和基于策略的访问控制（PBAC）阶段，现已发展到风险适应的访问控制（RAdAC）阶段。

美国国家安全局在研讨会上的报告分析了RAdAC。报告人认为，风险适应的访问控制基于安全风险和运行需求来决定访问。他不仅要正确的比较属性，而且要适应操作需要来决断访问门槛，可以在满足适当的安全风险的不同条件下，使用业务策略，为安全风险和运营需求建立门槛，它要求考虑多个因数：对请求访问者的信赖；被访问信息的敏感性；可能提供信息的防护质量；人的角色；对运行的信息的危险性；不确定性；访问决策的历史。我认为：RAdAC不但关注身份，而且关注行为和结果。只有实现了这样的全面关注，才能把可信落到实处。我们应该研究和注意相关技术的发展。