信息安全研究進展綜述范文

本站小編為你精心準(zhǔn)備了信息安全研究進展綜述參考范文，愿這些范文能點燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

引言

隨著全球信息化水平的日益提高，各國政府建立和加強國家信息安全保障體系的工作步伐不斷加快。國家信息安全保障體系的落實，既需要信息技術(shù)支持，更需要管理技術(shù)支撐，而信息安全管理體系是信息安全保障體系中不可或缺的重要組成部分。2003年9月中共中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)的《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（簡稱27號文），就明確提出了“立足國情，以我為主，堅持技術(shù)管理并重”的信息安全管理方針。技術(shù)和管理并重，是信息安全保障工作的基本要求[1]。

1國際標(biāo)準(zhǔn)化組織（ISO）安全管理標(biāo)準(zhǔn)研發(fā)步伐加快[2]

近年來，ISO高度重視信息安全管理體系標(biāo)準(zhǔn)的研究和制定，為加速推進有關(guān)信息安全管理標(biāo)準(zhǔn)的制定工作，2006年在西班牙召開的ISO/IECJTC1/SC27工作組會議上，在原來設(shè)立的三個工作組的基礎(chǔ)上增設(shè)了兩個工作組，五個工作組中WG1和WG4兩個工作組的任務(wù)均與信息安全管理標(biāo)準(zhǔn)有關(guān)。WG1的工作任務(wù)調(diào)整為專門開發(fā)信息安全管理體系(ISMS)的標(biāo)準(zhǔn)與指南，WG4則從事控制措施的實現(xiàn)及應(yīng)用服務(wù)的安全管理標(biāo)準(zhǔn)和指南的開發(fā)。西班牙會議后，WG1和WG4分別加快了標(biāo)準(zhǔn)制定的進度。為引起關(guān)注與重視，兩個工作組所制定的標(biāo)準(zhǔn)的編號均列入270XX序列。

我國作為ISO/IECJTC1/SC27成員國，參與了ISMS國際標(biāo)準(zhǔn)的制定和研討。我國選擇了信息安全審核和安全事件分級分類作為參與國際合作的切入點，得到了認(rèn)可，并成為相關(guān)國際標(biāo)準(zhǔn)的編輯者。

WG1已經(jīng)逐步理清了ISOSC27WG1ISMS標(biāo)準(zhǔn)體系和路線圖（如圖1）。

ISMS具有如下特點：（1）基于一個組織；（2）目標(biāo)是體系化建設(shè)（；3）立足于風(fēng)險管理思想；（4）貫穿了“規(guī)劃-實施-檢查-處置”（PDCA）持續(xù)改進的過程和活動；（5）根據(jù)組織自身的任務(wù)和應(yīng)對安全風(fēng)險需求來選擇安全控制措施；（6）通過安全控制的測度和審核來檢查信息安全技術(shù)和管理運用的合規(guī)性。

目前為止，WG1圍繞信息安全管理體系（ISMS）的國際標(biāo)準(zhǔn)的研究編制內(nèi)容已確定了14個。其中，8個已，分別為：

-ISO/IEC27000《信息安全管理體系概述和術(shù)語》

-ISO/IEC27001《信息安全管理體系要求》

-ISO/IEC27002《信息安全管理實用規(guī)則》

-ISO/IEC27003《信息安全管理體系實施指南》

-ISO/IEC27004《信息安全管理測量》

-ISO/IEC27005《信息安全風(fēng)險管理》

-ISO/IEC27006《信息安全管理體系審核和認(rèn)證機構(gòu)的要求》

-ISO/IEC27011《基于ISO/IEC27002的電信組織的信息安全管理指南》

2美國聯(lián)邦信息安全管理法（FISMA）的實施和改進

2002年美國頒布《聯(lián)邦信息安全管理法案》（FISMA），旨在通過采取適當(dāng)?shù)陌踩刂拼胧_(dá)到保障聯(lián)邦機構(gòu)的信息系統(tǒng)安全的目標(biāo)。為此，F(xiàn)ISMA專門指定美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）負(fù)責(zé)開展信息安全標(biāo)準(zhǔn)、指導(dǎo)方針的制

定工作。

2.1信息系統(tǒng)安全建設(shè)和安全管理

2003年以來，NIST根據(jù)FISMA的要求，原定分三階段開展工作：

1）第一階段：標(biāo)準(zhǔn)和準(zhǔn)則的制定（2003—2008）

NIST已基本完成這一階段任務(wù)，形成了一套全面權(quán)威的信息安全保障體系和標(biāo)準(zhǔn)體系。

2）第二階段：組織認(rèn)證計劃（2007—2010）

NIST在這一階段的主要任務(wù)是依據(jù)標(biāo)準(zhǔn)形成能力、提供服務(wù)、進行評估、給出憑據(jù)。NIST提出了三種能力和服務(wù)給出憑據(jù)：基于客戶的憑據(jù)、來自公眾領(lǐng)域和私人領(lǐng)域的憑據(jù)以及來自政府發(fā)動的憑據(jù)。

3）第三階段：安全工具驗證計劃

NIST原定從2008年到2009年開展第三階段工作，著重解決安全工具的驗證認(rèn)可，以發(fā)揮IT技術(shù)在IT安全中的自動化的效率和效益。

目前，NIST根據(jù)實際進展情況，已將第三階段納入第二階段，使用現(xiàn)有的IT產(chǎn)品測試，評價和審定程序。

FISMA規(guī)定，聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS）對聯(lián)邦機構(gòu)具有強制性和約束力，因此，各機構(gòu)不得放棄其使用。特別出版物（SP）作為建議和指南文本由NIST發(fā)行，除國家安全計劃和系統(tǒng)外，其他聯(lián)邦各機構(gòu)必須在FIPS中遵循NIST的這些特別出版物規(guī)定的要求。其他與安全有關(guān)的出版物，包括跨部門的報告（NISTIR）和信息技術(shù)實驗室（ITL）公告，提供了技術(shù)和NIST的其他有關(guān)活動信息。這些出版物只有在由OMB說明后是強制性的規(guī)定。對于NIST安全標(biāo)準(zhǔn)和指南遵循的既定時間表由OBM在其政策、指示或備忘錄中確定（例如FISMA年度報告指南）。

2.2信息系統(tǒng)風(fēng)險管理框架

在已經(jīng)實施完成的第一階段，NIST制定了如下的具體標(biāo)準(zhǔn)和指南：

-FIPS199《美國聯(lián)邦信息和信息系統(tǒng)安全分類標(biāo)準(zhǔn)》（已完成）

-FIPS200《聯(lián)邦信息和信息系統(tǒng)的最低安全要求》（已完成）

-SP800-18《開發(fā)聯(lián)邦信息系統(tǒng)和組織的安全計劃指南》（已完成）

-SP800-30版本1，《實施風(fēng)險評估指南》

-SP800-37版本1，《對聯(lián)邦信息系統(tǒng)運用風(fēng)險管理框架指南：安全生命周期方法》（已完成）

-SP800-39《業(yè)務(wù)范圍的風(fēng)險管理：組織，任務(wù)和信息系統(tǒng)的視圖》

-SP800-53版本3，《推薦的聯(lián)邦信息系統(tǒng)和組織的安全控制》（已完成）

-SP800-53A版本1，《聯(lián)邦信息系統(tǒng)和組織安全控制評估指南》

-SP800-59《確定一個信息系統(tǒng)作為國家安全系統(tǒng)的指南》（已完成）

-SP800-60：修訂1，《信息和信息系統(tǒng)安全分類映射類型指南》

-SP800-XX：《信息系統(tǒng)安全工程指南》

-SP800-yy：《軟件應(yīng)用安全指南》

SP800-53版本3為聯(lián)邦信息系統(tǒng)和組織提供了涉及管理、運行和技術(shù)三個大類，含十八個族以應(yīng)對低、中、高風(fēng)險的基線安全控制措施，共計207項。

2008年4月頒布的SP800-39《來自一個組織視野的信息系統(tǒng)風(fēng)險管理》，聲稱此草案是FISMA標(biāo)準(zhǔn)系列中的旗艦性文件（flagshipdocument），把風(fēng)險的管理層次提高了，標(biāo)志著美國信息安全等級保護從技術(shù)系統(tǒng)平臺向組織和業(yè)務(wù)提升，文件明確提出結(jié)合聯(lián)邦業(yè)務(wù)體系框架（FEA），并明確提出要關(guān)注供應(yīng)鏈的安全問題。

他們將這一套標(biāo)準(zhǔn)成為風(fēng)險管理框架，這套標(biāo)準(zhǔn)體系與聯(lián)邦信息系統(tǒng)安全的認(rèn)證認(rèn)可的工作體系形成了緊密關(guān)聯(lián)的映射。如圖2所示

聯(lián)邦信息系統(tǒng)認(rèn)證認(rèn)可的工作步驟最初劃分為八個步驟。分別為：信息系統(tǒng)的分類（相當(dāng)于我們的系統(tǒng)定級）；安全控制措施的選擇；選擇的安全控制措施的細(xì)化；選擇的安全控制措施的文檔化；安全控制措施的實施；安全控制措施的評估（認(rèn)證）；系統(tǒng)的認(rèn)可；持續(xù)監(jiān)控。圖2外圍標(biāo)注了該工作步驟所依據(jù)的上述標(biāo)準(zhǔn)和指南。

目前版本的SP800-37對風(fēng)險管理框架進行了改進，整個工作由原來的8個步驟改為如圖3所示的6個步驟：NIST圍繞風(fēng)險管理框架編寫了常用問題解答（FAQ）和快速啟動指南（QuickStartGuides，QSGs），這些FAQs和OSGs文檔將和NISTSP系列標(biāo)準(zhǔn)、FIPS標(biāo)準(zhǔn)一起指導(dǎo)風(fēng)險管理框架6步驟的具體實施。

2.2.1風(fēng)險管理框架的特點

NIST將上述標(biāo)準(zhǔn)體系稱為認(rèn)證認(rèn)可的風(fēng)險管理框架，該框架具有如下特點：

1）創(chuàng)立實時的風(fēng)險管理的概念，并通過實施強有力的連續(xù)監(jiān)測過程推動信息系統(tǒng)的授權(quán)；2）鼓勵使用自動化操作來向高級領(lǐng)導(dǎo)人提供必要的信息，產(chǎn)生成本效益，以關(guān)注組織的信息系統(tǒng)支持的核心任務(wù)和業(yè)務(wù)職能進行基于風(fēng)險的決策；3）將信息安全結(jié)合到業(yè)務(wù)安全體系結(jié)構(gòu)和系統(tǒng)開發(fā)的生命周期；4）規(guī)定強調(diào)安全控制的選擇、實施、評估、監(jiān)測和信息系統(tǒng)的授權(quán)；5）在信息系統(tǒng)一級結(jié)合風(fēng)險管理的過程，在組織一級行使風(fēng)險管理的責(zé)任；6）為組織的信息系統(tǒng)安全控制的部署建立責(zé)任制和問責(zé)制，并使這些制度得到傳承。

2.2.2遞升的風(fēng)險管理方法

在NIST的SP800-37中，給出了如圖4所示的遞升的風(fēng)險管理方法。

該圖提出了一個觀點：要從一個組織的戰(zhàn)略風(fēng)險和戰(zhàn)術(shù)兩個方面來進行風(fēng)險管理。可以把一個組織關(guān)注的信息安全問題展開為三個階梯。第一階梯是組織，要通過安全治理來解決信息安全問題；第二階梯是使命和業(yè)務(wù)過程，體現(xiàn)在信息和信息流；第三個階梯是信息系統(tǒng)，體現(xiàn)為信息的運行環(huán)境。如圖中箭頭所示，越向上（階梯1）越體現(xiàn)為戰(zhàn)略風(fēng)險，越向下（階梯3）越體現(xiàn)為戰(zhàn)術(shù)風(fēng)險。

以這個觀點來看我國目前進行的信息系統(tǒng)安全等級保護工作，主要關(guān)注的是信息系統(tǒng)（含信息）的安全，而對使命和業(yè)務(wù)過程以及組織的信息安全強調(diào)不夠。從某種程度來看，我們重視了戰(zhàn)術(shù)風(fēng)險，而對戰(zhàn)略風(fēng)險的關(guān)注度有所欠缺。

2.3對測試實驗室能力的要求

FISMA第二階段的工作目標(biāo)是形成能力，開展服務(wù)，為安全評估者提供評估的憑據(jù)。為約束信息安全測評機構(gòu)，確保信息安全實驗室具備為聯(lián)邦相關(guān)機構(gòu)的信息系統(tǒng)進行測評的服務(wù)能力進行規(guī)范性的測評服務(wù)。2006年，NIST推出了HANDBOOK150，為自愿申請成為國家實驗室的單位提出了規(guī)范性通用要求，明確了自愿成為國家實驗室的認(rèn)可計劃、程序及一般規(guī)定，用以考核國家級實驗室的能力和服務(wù)水平。2008年推出的NISTHANDBOOK150-17從自愿成為國家實驗室評審計劃、密碼及安全測試方面提出了補充要求。

2.4美國推動信息安全自動化計劃

2007年5月，NIST提出信息安全自動化計劃（ISAP），旨在讓漏洞的管理和安全測試及符合性能夠自動化起來；同時，推出配套的姊妹篇——安全內(nèi)容自動化協(xié)議（SCAP），它通過明確的、標(biāo)準(zhǔn)化的模式使漏洞管理、安全監(jiān)測和政策符合性與FISMA的要求一致。此外，NIST還提出聯(lián)邦桌面系統(tǒng)核心配置（FDCC）的規(guī)范要求（現(xiàn)在又改稱其為美國政府配置基線（USGCB）），專門對Windows系統(tǒng)主機的安全漏洞和安全配置進行檢查。為達(dá)到認(rèn)證和監(jiān)控的目的，機構(gòu)和IT提供者必須獲得SCAP批準(zhǔn)的FDCC掃描器并進行自動化檢查。ISAP計劃、SCAP方法和FDCC要求把漏洞管理、資產(chǎn)管理、補丁管理、配置管理綜合起來，以CVE、CCE、CPE、XCCDF、OVAL、CVSS等六個技術(shù)支柱，研究開發(fā)配置掃描器、脆弱性掃描器、補丁檢查、入侵檢測系統(tǒng)、Malware工具、資產(chǎn)數(shù)據(jù)庫、漏洞庫等等工具，形成12種特有的能力，使其得以自動或半自動執(zhí)行。信息安全保障的最高要求是對法律法規(guī)的符合性，NIST用如下模型來形象地闡述對FISMA的符合性。圖5FISMA合規(guī)模型

3我國信息安全管理標(biāo)準(zhǔn)現(xiàn)狀[3]

國家的有關(guān)信息安全管理規(guī)范和技術(shù)標(biāo)準(zhǔn)是進行等級保護工作的科學(xué)依據(jù)。為落實27號文件有關(guān)精神，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會成立后，隨即成立第七工作組（WG7）負(fù)責(zé)信息安全管理類標(biāo)準(zhǔn)研究與制定，并制定和引進了一批重要的信息安全管理標(biāo)準(zhǔn)。《國家信息安全標(biāo)準(zhǔn)化“十一五”規(guī)劃》分析了我國信息安全標(biāo)準(zhǔn)化工作情況與面臨的形勢，要求重點關(guān)注下列管理類標(biāo)準(zhǔn)的制定：政府監(jiān)管標(biāo)準(zhǔn)；信息安全管理體系標(biāo)準(zhǔn)；信息安全服務(wù)標(biāo)準(zhǔn)；事件處理與應(yīng)急災(zāi)備有關(guān)標(biāo)準(zhǔn)以及信息安全管理體系標(biāo)準(zhǔn)。

目前，WG7在信息安全管理標(biāo)準(zhǔn)方面取得了一定的進展：通過研究，決定我國信息安全管理體系標(biāo)準(zhǔn)等同采用ISMS；配合信息安全等級保護體系制定了管理要求，正在制定管理評估規(guī)范；自主制定了事件處理與應(yīng)急災(zāi)備的相關(guān)標(biāo)準(zhǔn)；政府監(jiān)管類標(biāo)準(zhǔn)和安全服務(wù)類的標(biāo)準(zhǔn)也在積極研究過程中。在信息安全管理體系標(biāo)準(zhǔn)方面，已經(jīng)了14項標(biāo)準(zhǔn)，如：

-GB/T19715.1-2005信息技術(shù)信息技術(shù)安全管理指南第1部分：信息技術(shù)安全概念和模型

-GB/T19715.2-2005信息技術(shù)信息技術(shù)安全管理指南第2部分：管理和規(guī)劃信息技術(shù)安全

-GB/T19716-2005信息技術(shù)信息安全管理實用規(guī)則

-GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求

-GB/T20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求

-GB/T20984-2007信息系統(tǒng)安全風(fēng)險評估指南

-GB/T20988-2007信息系統(tǒng)災(zāi)難恢復(fù)指南

-GB/T20986-2007信息安全事件分類指南

-GB/T20985-2007信息安全事件管理

-GB/T22080-2008信息安全管理體系要求

-GB/T22081-2008信息安全管理實用規(guī)則

-GB/Z24364-2009信息安全風(fēng)險管理指南

-GB/Z24294-2009基于互聯(lián)網(wǎng)的電子政務(wù)信息安全實施指南

-GB/T24363-2009信息安全應(yīng)急響應(yīng)計劃規(guī)范

4信息安全保障概念的幾個新提法

眾所周知，對信息安全的認(rèn)識，經(jīng)歷了如圖6圖所示的從保密、保護到保障的認(rèn)識過程。

美國國家安全局負(fù)責(zé)信息保障的官員丹尼爾.沃爾夫在RSA年會上提出了對信息安全面臨的下一個階段的看法(如圖7所示)。在丹尼爾沃爾夫看來，美軍的信息化應(yīng)用不是基于國際互聯(lián)網(wǎng)這一張大網(wǎng)，全球駐軍的格局和作戰(zhàn)任務(wù)使其要利用根據(jù)作戰(zhàn)任務(wù)需要臨時形成的全球網(wǎng)格（GIG），以支持其網(wǎng)絡(luò)中心戰(zhàn)法。因此，需要從信息保障（IA）發(fā)展到有保障的共享（AssuedSharing）。在有保障的共享目標(biāo)下，保密原則也需要從傳統(tǒng)的“需則可知”（NeedtoKnow）發(fā)展到“需則共享”（NeedtoShare）。這個觀點強化了信息化時代保密工作的積極性，不僅要消極的保，更應(yīng)該在根據(jù)任務(wù)要求實現(xiàn)授權(quán)信息共享的前提下實現(xiàn)信息保密。

2009年的RSA年會上，美國國防部的一位官員又提出了一個對信息安全的報告。該報告認(rèn)為，信息化的發(fā)展，開拓了人類生存的新疆域-網(wǎng)際空間（SyberSpace）。這個新空間和傳統(tǒng)的陸、海、空、天的互依賴、互影響關(guān)系是全面相關(guān)、全局影響的。信息安全的內(nèi)涵可以看成在網(wǎng)際空間這樣一個新的時空中，人類活動產(chǎn)生了大量的信息內(nèi)容和信息服務(wù)，要保障信息安全就需要管理身份，使授權(quán)者可以享用這些信息和服務(wù)（概括為CIIA）。信息安全的外延和信息保障（IA）的概念比較起來有更實質(zhì)的變化。IA被看成是一種IT服務(wù)，是另外分配的任務(wù)，他利用檢查表，運用技術(shù)手段，管理著技術(shù)漏洞，評價商業(yè)定制產(chǎn)品，形成了煙筒式的防護。而CIIA則是不可或缺的任務(wù)，是領(lǐng)導(dǎo)的責(zé)任，要貫穿生命周期全過程來管理風(fēng)險，要結(jié)合使命的需要和系統(tǒng)保障，運用劍與盾的最佳結(jié)合與入侵者決戰(zhàn)。這些觀點和最近美國組建網(wǎng)絡(luò)司令部，任命四星上將為其司令，組建網(wǎng)絡(luò)戰(zhàn)的實體部隊，揚言在網(wǎng)際空間發(fā)動“先發(fā)制人”的攻擊的動態(tài)不謀而合，值得我們深思。

訪問控制是保障信息安全必須的機制。2009年9月，NIST舉辦了授權(quán)管理的研討會。會議對訪問控制的發(fā)展給出了一個發(fā)展階段的表述（如圖9所示）表述認(rèn)為，訪問控制模式經(jīng)歷了訪問控制表（ACL）、基于角色的訪問控制（RBAC）、基于屬性的訪問控制（ABCA）和基于策略的訪問控制（PBAC）階段，現(xiàn)已發(fā)展到風(fēng)險適應(yīng)的訪問控制（RAdAC）階段。

美國國家安全局在研討會上的報告分析了RAdAC。報告人認(rèn)為，風(fēng)險適應(yīng)的訪問控制基于安全風(fēng)險和運行需求來決定訪問。他不僅要正確的比較屬性，而且要適應(yīng)操作需要來決斷訪問門檻，可以在滿足適當(dāng)?shù)陌踩L(fēng)險的不同條件下，使用業(yè)務(wù)策略，為安全風(fēng)險和運營需求建立門檻，它要求考慮多個因數(shù)：對請求訪問者的信賴；被訪問信息的敏感性；可能提供信息的防護質(zhì)量；人的角色；對運行的信息的危險性；不確定性；訪問決策的歷史。我認(rèn)為：RAdAC不但關(guān)注身份，而且關(guān)注行為和結(jié)果。只有實現(xiàn)了這樣的全面關(guān)注，才能把可信落到實處。我們應(yīng)該研究和注意相關(guān)技術(shù)的發(fā)展。