信息安全评估标准及其发展

维普资讯。

科技信息０高校讲台年第５期。

信息安全评估标准及其发展。

陆上’赵钢。

１、黑龙江工程学院计算机科学系：２、哈尔滨职业技术学院。

黑龙江哈尔滨１５

摘要：信息是一种资产．同其他重要的商业资产一样，它对一个组织而言具有一定价值，因而需要适当地保护。信息安全是要在很大的范围。

内保护信息免受各种威胁．从而确保业务的连续性、减少业务损失并且使投资和商务机会获得最大的回报。信息安全评估作为信息安全管理体。

系建设的基础，在体系建设的各个阶段发挥着重要的作用。信息安全评估的进行离不开风险评估标准．本文将对信息安全评估标准进行分娄的介绍．并**了现有信息安全评估标准的局限性厦发展方向。

关键词：信息安全评估；标准；定性分析；局限性。

．引言。企的ｊ】【络环境和应用系统愈来愈复杂．每个企业都有这样的疑惑：自己的网络和应用系统有哪些安全漏洞？

应该怎样解决？如何规划企业的生全建设？信息安全评估回答ｒ这些问题。

信息安全评估是信息安全生命蒯期叶１的个重要环节＋是对企业的网络拓扑结构、重要服务器的位置、带宽、议嫂件、与ｉｎｔ的接口、防火墙的配置、安全管理措施及应用流程等进｛全面的安全分析，弗提出安全风险分析报告和改进建议书。

信息安全标准化工作对于解决信息安全问题具有重要的技术支撑作用信息安全标准化不仅关系到****。同时也是保护国家利益、促进产业发展的一种重要手段。国际上．信息安全标准化工作．兴起于二十ｔ｝ｃ纪７０年代中期．８０年代有了较快的发展．９ｏ年代引起了世界各国的普遍美汴目前。

目前世界【与信息安全标准化有关的主要组织有：国际标准化国际电ｊ二委员会（ｉｅ国际电信联盟工程任务组（ｉｅ等。我信息安全标准化工作，虽然起步较晚，但是近年来发展较怏，人世后标准化工作在公开性、透明度等方面更加取得实质性进展据统汁，我国从１９８年发布了第个有关信息安全方面的标准以来到２００年底共制定、搬批和发布彳ｆ荚信息安全技术、产品、测评和管理的网家机准７６正在制定中的标准５１个，为信息安令的开展填定了基１．信息安全评估的作用…ｉｉ信息系统的安令现状。

进行信息安伞评估后，可以让企业准ｆ：『地１吁的网络、各种应用系统以及管理制度规范的安全现状．从ｍ晰、ｌ的安余需求。

自己的安全策略和风险评估实施步骤。

是澳犬利亚和新西兰联合开发的风险管理标准。在中，风险管理分为建立环境、风险识别、风险分析、风险评价、风险处置、风险监控与回顾、通信和咨询七个步骤是风险管理的通用指南．它给出了一整套风险管理的流程，对信息安全风险评估具有指导作用。日前该标准已广泛应用于新南威尔士洲、澳大利亚**、英联邦卫生组织等机构。

国际标准的出台，反过来叉推动了各国自身风险管理标准研发的进程。例如美国。从９ｏ年代末开始，在风险管理相关标准的制定上掀起ｒ一个新高潮，仅ｎｉｓ美国国家标准与技术局）近几年制定的与风险管理相关的标准就达十多个。

美国圜防部于２００年发布了《信息（安全）保障》指令（８５于２００年发布了《信息（安全）保障实现》指令（８５两个文件，作为国防系统安全评估也包括风险管理的依据。

国内主要是等同采用国际标准。公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准计算机信息系统安全保护等级划分准则》已正式颁布并实施。该准则将信息系统安全分为５

个等级：自主保护级、系统审计保护级、安全标记保护级、结构化保护级和。

访问验证保护级。主要的安全考核指标有身份认证、白主访问控制擞据完整性、审计等，这些指标涵盖了不同级别的安全要求。ｇｂ也是等同采用ｉｓｏ标准。

从安全标准发展过程看．国内安全风险评估市场经历了三个阶段；１、不注重标准。２、过于依赖标准，３、跨越标准。我们现在处于第三阶段，在具有适应性特点的国家标准出台之前，我们先内部制定具有可操作性的行为规范．

现有信息安全评估标准的局限性殛发展展望风险分析的方法有定性分析、半定量分析和定鳖分析。现有的信息安全评估标准主要采用定性分析法对风险进行分析，即通常采取安全事件。

２】确定企、『信息系统的主要安全风险。在对网络和应用系统进行信评并进行风险分级后，可以确定企业信息系统的主要安全风险．，ｉ选掸避免、降低、接受等风险处置措施。

捐呼业信息系统安全技术体系与管理体系的建没对企业进行发生的概率来计算风险。然而，在安全评估过程中，评估人员常常面临的息安命竹，可以制定业网络和系统的蜜全策略及，立解决方案，问题是：信息资产的重要性如何度量资产如何分级？

什么样的系统损失从『指、『信息系统安全技术体系与管理体系的建没ｌ叮能构成什么样的经济损失？如何构建技术体系和管理体系达到预定的。

．主要的信息安全评估标准安全等级？一个由病毒中断了的邮件系统．企业因此造成的经济损失和社信息安全评估标准是信息蜜全评估的行动指南。可信的计算机系统会影响如何计算？

另外，对企业的管理人员而言；哪些风险在企业可承受安全评估标准（ｆｃ从橘皮书到彩虹系列）由美国国防部于１９８年公的范围内？这些问题从不同角度决定了一个信息系统安全评估的结果。目布的，是计算机系统信息安令评估的第一个ｉｉ式标准它把计算机系统的前的信息安全评估标准都不能对这衅问题进行定量分析．当前－些研究安全分为４类、７个级别，对用户登、授权管理、访问控制、审计跟踪、隐人员正在**的“网络拄制论”，“自动化分析工具”和“形式化分析方法”蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指等新理论、新方法有可能为未束的风险评估和管理提供一些新的、可借鉴南等内容提ｍ＿ｒ规范性要求。

日的法和工具。目前信息蜜全风险管理巾存在的诸多问题电只能在实践。

信息技术蜜全评估标准（ｉｔ欧洲皮书）是由法、英、荷、德欧洲中、发展中加以解决。在没＿彳ｆ一个统的信息安食评估标准的情况ｆ，各囤１９９年联合发布的，它提出了信息安全的机密性、完整性、可用性的家专业评估公司大多数是凭借各自积累的经验来解决。因此，这就需要统安全属性。

ｌｉ把可信计算机的概念提高到可信信息技术的高度上来的信息安全评估标准的出台认识。对国际信息安全的研究、实施产生了深刻的影响。４结束语。

信息技术安全评价的通用标准（ｃｃ由六个国家（美、加、英、法、德、随着业界对于信息安全问题认识的不断深入，随着信息安全体系的荷）于１９９年联合提出的。并逐渐形成国际标准ｉｓｏ该标准定义不断实践，越来越多的人发现信息安全问题最终都归结为一个风险管理了评价信息技术产品和系统安全性的基本准则．提出了目前国际上公认题。据统计，囤外发达国家用在信息安全评估卜的投资能占企业总投资的表述信息技术安全性的结构。

ｃｃ标准是第一个信息技术安全评价国的１％一５％．电信和金融行业能达到３％－照此计算．每年仪银行的安际标准，它的发印对信息安全具有重要意义，是信息技术安全评价标准以全评估费用就超过几个亿。而且，企业的安全风险信息是动态变化的．只及信息安全技术发展的一个重要里程碑。有动态的信息安全评估才能发现和跟踪最新的安全风险所以企业的信。

ｓｏ１标准首次给出了关于ｒｒ安全的保密性、完整性、可用性、息安全评估是一个长期持续的工作。通常应该每隔ｉ一３年就进行一次安审计性、认证性、可靠性６个方面含义．并描述了以风险为核心的安全模全风险评估。因此，信息安全评估有着广阔的市场前景。

●型：企业的资产ｌ面临很多威胁；威胁利用信息系统存在的各种漏洞对信息系统进行渗透和攻击。如果渗透和攻击成功．将导致企业资产的暴露；资参考文献产的暴露会对资产的价值产生影响；风险就是威胁利用漏洞使资产暴露【１１段云所，魏仕民，唐礼勇．信息安全概论嗍．高等教育出版社，２０而产生的影响，这町以为资产的重蛰性和价值所决定：

对企业信息系统安『２］张基温．信息系统安全原理．中国水电出版社ｉ￣１

１（美信息安全．管理『ｍ清华大学全风险的分析，就得出了系统的防护求：根据防护需求的不同制定系统『

的安全解决方案，选择适当的防护措施，进降低蜜全风险，并抗击威胁。出版社，２０该模型阐述了信息安令评估的思路，对企业的信息安全评估工作具有指［４］崔书昆．关了：信息安全风险管理理论与实践发展的一些思考．巾国计算导意义机安全。

ｓ７７是英国的工业、**千¨问业共同需求而发展的一个标准，它『５１杨义先、钮心忻．网络安全理论与技术．ｆｍ人ｆ；【邮电出版社２００分ｌ两部分：第一部分为“信息安全管理事务准则”；第部分为“信息安全【６１美网络安全体系结构［ｍｉ人民邮电出版社２０ｏ管理系统的规范”。同前此标准已经被很多国家采用。

并巳成为国际标准仲伟俊．信息知识读本【ｉ．科学技术文献出版社主要提供ｒ有效地实施信息系统风险管理的建议，并介绍ｒ风险管理的＝ｊ＝法和过程。企业可以参照该标准制定出。息行。一。

信息安全评估标准及其发展

安全管理评估标准

安全设施及其标志的标准

11 机械安全 PL 及其标准

其他用户还读了