分析当代当代信息是否安全
最后更新时间:2024-02-20
作者:用户投稿
本站原创
点赞:4319
浏览:13767
本站原创
点赞:4319
浏览:13767
论文导读:家标准——GB/T18336-2001《信息技术安全性评估准则》,并直接应用于我国的信息安全测评认证工作。其中,基础性等级划分标准GB17859—1999计算机信息系统安全保护等级划分准则,是其他标准的基础;是信息系统安全等级保护实施指南,为等级保护的实施提供指导。标准体系的基本思想概括为:以信息安全的五个属性为基本内容,从实现信
摘要:信息是否安全的标准是对信息产品或系统进行安全测定的一类标准,本文介绍了国内外现有的信息安全评估标准,并对这些标准进行了详细的比较、讨论;最后研究了安全评估标准中面临的问题及进一步完善方法。
关键词:信息安全 评估标准
1.1 侧重于对系统和产品的技术指标方面的标准美国国防部于1985年公布可信的计算机系统安全评估标准(TCSEC,从橘皮书到彩虹系列),是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级别,对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。法、英、荷、德欧洲四国90年代初联合发布信息技术安全评估标准(ITSEC,欧洲百皮书),它提出了信息安全的机密性、完整性、可用性的安全属性。ITSEC把可信计算机的概念提高到可信信息技术的高度上来认识,对国际信息安全的研究、实施产生了深刻的影响。信息技术安全评价的通用标准(CC)由六个国家(美、加、英、法、德、荷)于1996年联合提出的,并逐渐形成国际标准ISO15408。CC标准是第一个信息技术安全评价国际标准,它的发布对信息安全具有重要意义,是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。
1.2 偏重于安全管理方面的标准 1995年,英国贸工部根据英国国内企业对信息安全日益高涨的呼声,组织大企业的信息安全经理们,制定了世界上第一个信息安全管理体系标准BS7799-1:1995《信息安全管理实施规则》,作为工商业和大、中、小型组织实施信息安全管理的指南。1998年,为了适应第三方认证的需要,英国又制定了第一个信息安全管理体系认证标准——BS7799-2:1998《信息安全管理体系规范》,作为对一个组织的全面或部分信息安全管理体系进行评审认证的依据标准。1999年,鉴于计算机和信息处理技术,尤其是网络和通信领域应用的迅速发展,英国又对信息安全管理体系标准进行了修订。修订后的BS7799-1:1999和BS7799-2:1999分别取代了BS7799-1:1995和BS7799-2:1998。新修订的1999版标准进一步强调了组织在商务工作中所涉及的信息安全和信息安全责任。2000年12月,BS7799-1:1999已经被ISO/IEC正式采纳成为国际标准——ISO/IEC 17799:2000《信息技术——信息安全管理实施规则》,另外,BS7799-2:1999也于2005年底被ISO/IEC作为蓝本修订后成为可用于认证的ISO/IEC的《信息安全管理体系规范》。ISO/IEC 27001:2005《信息安全管理体系规范》。
1.3 我国目前的安全评估标准 我国2001年由中国信息安全产品测评认证中心牵头,将ISO/IEC 15408转化为国家标准——GB/T 18336-2001《信息技术安全性评估准则》,并直接应用于我国的信息安全测评认证工作。其中,基础性等级划分标准GB17859—1999计算机信息系统安全保护等级划分准则,是其他标准的基础;是信息系统安全等级保护实施指南,为等级保护的实施提供指导。标准体系的基本思想概括为:以信息安全的五个属性为基本内容,从实现信息安全的五个层面,按照信息安全五个等级的不同要求,分别对安全信息系统的构建过程、测评过程和运行过程进行控制和管理,实现对不同信息类别按不同要求进行分等级安全保护的总体目标。
缺陷一直没有正式投入使用。CC与早期的评估标准相比,其优势体现在其结构的开放性、表达方式的通用性以及结构和表达方式摘自:毕业论文模板www.7ctime.com
的内在完备性和实用性等方面。总体来说,各标准适用范围略有不同,各有优劣。
2.2 CC标准与BS7799的异同点 CC和BS7799标准的共同点表现在以下四个方面:①两个标准所涉及的范围从大的角度来说都是信息安全领域;②两个标准对信息安全的定义相同,都是指对信息保密性、完整性和可用性的保护;③两个标准对信息安全风险的定义基本相同,都是从资产、威胁、薄弱点和影响来考察风险。
3.2 增强标准的可操作性 目前的信息安全评估标准只是制定了一个框架,明确了标准的主体,但是可操作性不强,具体的步骤需要大量文档进行补充,而且评估结果最终是一个客观参考性的结构,对企业的实际指导意义不强。
4、总结
本文从产品的技术指标和安全管理这二方面介绍了国内外现有的信息安全评估标准,并对这些标准进行了详细的比较、讨论;最后研究了安全评估标准中面临的问题及进一步完善方法。
参考文献:
陈星 胡啸 国际信息安全标准热点问题与发展趋势 《信息技术与标准化》 2003年12期
李守鹏,吴希唐.信息安全评估中的重要概念 《计算机安全》2000年.
[3]中国信息安全产品测试认证中心 国家标准GB/T 18336-2001介绍
摘要:信息是否安全的标准是对信息产品或系统进行安全测定的一类标准,本文介绍了国内外现有的信息安全评估标准,并对这些标准进行了详细的比较、讨论;最后研究了安全评估标准中面临的问题及进一步完善方法。
关键词:信息安全 评估标准
1、安全评估标准介绍
国际上针对计算机安全的等级防护和评估制定了多个标准。1.1 侧重于对系统和产品的技术指标方面的标准美国国防部于1985年公布可信的计算机系统安全评估标准(TCSEC,从橘皮书到彩虹系列),是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级别,对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。法、英、荷、德欧洲四国90年代初联合发布信息技术安全评估标准(ITSEC,欧洲百皮书),它提出了信息安全的机密性、完整性、可用性的安全属性。ITSEC把可信计算机的概念提高到可信信息技术的高度上来认识,对国际信息安全的研究、实施产生了深刻的影响。信息技术安全评价的通用标准(CC)由六个国家(美、加、英、法、德、荷)于1996年联合提出的,并逐渐形成国际标准ISO15408。CC标准是第一个信息技术安全评价国际标准,它的发布对信息安全具有重要意义,是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。
1.2 偏重于安全管理方面的标准 1995年,英国贸工部根据英国国内企业对信息安全日益高涨的呼声,组织大企业的信息安全经理们,制定了世界上第一个信息安全管理体系标准BS7799-1:1995《信息安全管理实施规则》,作为工商业和大、中、小型组织实施信息安全管理的指南。1998年,为了适应第三方认证的需要,英国又制定了第一个信息安全管理体系认证标准——BS7799-2:1998《信息安全管理体系规范》,作为对一个组织的全面或部分信息安全管理体系进行评审认证的依据标准。1999年,鉴于计算机和信息处理技术,尤其是网络和通信领域应用的迅速发展,英国又对信息安全管理体系标准进行了修订。修订后的BS7799-1:1999和BS7799-2:1999分别取代了BS7799-1:1995和BS7799-2:1998。新修订的1999版标准进一步强调了组织在商务工作中所涉及的信息安全和信息安全责任。2000年12月,BS7799-1:1999已经被ISO/IEC正式采纳成为国际标准——ISO/IEC 17799:2000《信息技术——信息安全管理实施规则》,另外,BS7799-2:1999也于2005年底被ISO/IEC作为蓝本修订后成为可用于认证的ISO/IEC的《信息安全管理体系规范》。ISO/IEC 27001:2005《信息安全管理体系规范》。
1.3 我国目前的安全评估标准 我国2001年由中国信息安全产品测评认证中心牵头,将ISO/IEC 15408转化为国家标准——GB/T 18336-2001《信息技术安全性评估准则》,并直接应用于我国的信息安全测评认证工作。其中,基础性等级划分标准GB17859—1999计算机信息系统安全保护等级划分准则,是其他标准的基础;是信息系统安全等级保护实施指南,为等级保护的实施提供指导。标准体系的基本思想概括为:以信息安全的五个属性为基本内容,从实现信息安全的五个层面,按照信息安全五个等级的不同要求,分别对安全信息系统的构建过程、测评过程和运行过程进行控制和管理,实现对不同信息类别按不同要求进行分等级安全保护的总体目标。
2、安全评估标准比较分析
2.1 侧重于对系统和产品的技术指标方面的标准TCSEC、ITSEC、CPCPEC、CC、ISO15408之间的比较 信息评估标准是经历了TCSEC、ITSEC、CPCPEC、CC、ISO15408这5个发展阶段,最初的TCSEC是针对孤立计算机系统提出的,该标准适用于军队,开始时应用在OS的评估上,TCSEC与ITSEC均是不涉及开放系统的安全标准,仅针对产品的安全保证要求来划分等级并进行评测,并均为静态模型,仅能反应静态安全状况,CPCPEC虽在两者的基础上有一定的发展,但也未能突破上述的局限性,FC对TCSEC做了补充和修改,但因其自身的论文导读:了国内外现有的信息安全评估标准,并对这些标准进行了详细的比较、讨论;最后研究了安全评估标准中面临的问题及进一步完善方法。参考文献:陈星胡啸国际信息安全标准热点问题与发展趋势《信息技术与标准化》2003年12期李守鹏,吴希唐.信息安全评估中的重要概念《计算机安全》2000年.中国信息安全产品测试认缺陷一直没有正式投入使用。CC与早期的评估标准相比,其优势体现在其结构的开放性、表达方式的通用性以及结构和表达方式摘自:毕业论文模板www.7ctime.com
的内在完备性和实用性等方面。总体来说,各标准适用范围略有不同,各有优劣。
2.2 CC标准与BS7799的异同点 CC和BS7799标准的共同点表现在以下四个方面:①两个标准所涉及的范围从大的角度来说都是信息安全领域;②两个标准对信息安全的定义相同,都是指对信息保密性、完整性和可用性的保护;③两个标准对信息安全风险的定义基本相同,都是从资产、威胁、薄弱点和影响来考察风险。
3、安全评估标准中面临的问题及进一步完善方法
3.1 建立多边安全的安全功能 安全评估标准从一开始就偏重于仅对系统拥有者和操作者的保护,用户的安全,特别是通信系统用户的安全则没有被考虑,因此提供双边或多边安全的各种技术,就不能用当前标准来正确的描述。3.2 增强标准的可操作性 目前的信息安全评估标准只是制定了一个框架,明确了标准的主体,但是可操作性不强,具体的步骤需要大量文档进行补充,而且评估结果最终是一个客观参考性的结构,对企业的实际指导意义不强。
4、总结
本文从产品的技术指标和安全管理这二方面介绍了国内外现有的信息安全评估标准,并对这些标准进行了详细的比较、讨论;最后研究了安全评估标准中面临的问题及进一步完善方法。
参考文献:
陈星 胡啸 国际信息安全标准热点问题与发展趋势 《信息技术与标准化》 2003年12期
李守鹏,吴希唐.信息安全评估中的重要概念 《计算机安全》2000年.
[3]中国信息安全产品测试认证中心 国家标准GB/T 18336-2001介绍