管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。由于信息安全是一个动态的系统工程,组织应实时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况,使组织的信息资产得到有效、经济、合理的保护。 (6)准备信息安全适用性声明
信息安全适用性声明记录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备,一方面是为了向组织内的员工声明对信息安全面对的风险的态度,在更大程度上则是为了向外界表明组织的态度和作为,以表明组织已经全面、系统地审视了组织的信息安全系统,并将所有有必要管制的风险控制在能够被接受的范围内。
1.2.2.4 CC标准
CC (Common Criteria)即信息技术安全性评估准则,是评估信息技术产品和系统安全性的世界性通用准则,是信息技术安全性评估结果国际互认的基础。CC 是国际标准化组织统一多种评估准则努力的结果,是在美国和欧洲等国分别自行推出并实践测评准则及标准的基础上,通过相互间的总结和互补发展起来的。1985 年美国国防部正式公布了可信计算机系统评估准则(TCSEC ,即橘皮书),这个橘皮书也是大家公认的第一个计算机信息系统评估标准。在随后的十年里,不同的国家都开始主动开发建立在TCSEC 基础上的评估,包括:欧洲的信息技术安全性评估准则(ITSEC )、加拿大计算机产品评估准则(CTCPEC )、美国信息技术安全联邦准则(FC)等,这些准则更灵活、更适应了IT 技术的发展。
由于全球IT 市场的发展,需要标准化的信息安全评估结果在一定程度上可以互相认可,以减少各国在此方面的一些不必要的开支,从而推动全球信息化的发展。国际标准化组织(ISO)从1990 年开始着手编写通用的评估准则。1993 年6 月,与CTCPEC 、FC 、TCSEC 、和ITSEC 有关的六个国家中七个相关政府组织集中了他们的成果,并联合行动将各自独立的准则集合成统一的、能被广泛接受的IT 安全准则。该项结果作为对国际标准的贡献提交给了ISO,并于1996 年颁布了1 .0 版,1998 年颁布了2 . 0 版,1999 年12 月150 正式将CCZ . O 作为国际标准― 150 / IEC 15408 : 1999 发布。我国于2001 年等同采用ISO/ IEC 15408 为国标,标准号为GB / T 18336 : 2001 ,中国信息安全产品测评认证中心采用该标准作为对信息安全产品测评认证的重要依据之一。
CC 的主要目标用户包括消费者、开发者、评估者及其他用户,如系统管理员和系统安全管理员、内部和外部审核员、安全规划和设计者、认可者、评估发起者、评估机构等。CC 安全模型目的是为了保护资产不受威胁、减少资产所受到的安全风险。
CC 标准包括3个部分:
第一部分是标准内容简介和一般模型。主要介绍了CC 标准的一般概念和格式,描述了CC 的结构和适用范围,描述了安全功能、保证需求的定义,并给出了保护轮廓(Pro -tection Profile ,PP)和安全目标(Security Target ,ST)的结构。
第二部分是安全功能要求。这一部分为用户和开发者提供了一系列安全功能组件作为表示评估对象(TOE )功能要求的标准方法。
第三部分是安全保证要求。这一部分为开发者提供了一系列安全保证组件作为表示评估对象(TOE )保证要求的标准方法,同时还提出了7 个评估保证级别(Evaluation As -surance Levels , EALs ) :
? ? ? ? ? ? ?
EAL1 ― 功能测试; EAL2 ― 结构测试;
EAL3 ― 系统测试和检查;
EAL4 ― 系统设计、测试和复查; EAL5 ― 半形式化设计和测试;
EAL6 ― 半形式化验证的设计和测试; EAL7 ― 形式化验证的设计和测试。
CC 中的功能要求和保证要求都采用了类、族及组件的定义结构,同TCSEC和ITSEC 相比,CC的结构更接近于ITSEC,它支持易于表示安全需求的保护轮廓和安全目标。CC 与TCSEC 的不同在于其标准化的方法。在TCSEC 中定义了一些特定的安全功能和安全测试,通过这些测试来证实某个等级(如C2 )中预定义的安全功能被正确地实施;而CC 更像一个词典或语言,它提供了一个标准的、复杂的安全功能列表,以及可以用来验证其实施正确性的分析技术。CC 还提供了一个执行测试的通用评估方法。另外,TCSEC 将功能特性和保证组合起来,一定级别的保证与一定的功能特性集合捆绑在一起;而CC 采用了独立的原则,它包含了许多不同的功能特性集合和不同的保证级别,而且原则上两者之间可以根据具体情况实现不同的组合。CC 的结构允许生产商根据其产品的用途来选择安全特性和保证级别,定义其威胁环境,并进行相应的评估。
三 信息安全策略
(一) 信息安全策略的定义 (二) 信息安全策略的基本原则
(三) 信息安全策略的内容
1.2.3.1 信息安全策略的定义
信息安全策略是一组规则,它们定义了一个组织要实现的安全目标和实现这些安全目标的途径。信息安全策略可以划分为两个部分,问题策略(Issue Policy)和功能策略(Functional Policy)。问题策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。功能策略描述如何解决所关心的问题,包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略。信息安全策略必须有清晰和完全的文档描述,必须有相应的措施保证信息安全策略得到强制执行。在组织内部,一方面,必须有行政措施保证既定的信息安全策略被不打折扣地执行,管理层不能允许任何违反组织信息安全策略的行为存在;另一方面,也需要根据业务情况的变化不断地修改和补充信息安全策略。 信息安全策略的内容应该有别于技术方案,信息安全策略只是描述一个组织保证信息安全的途径的指导性文件,它不涉及具体做什么和如何做的问题,只需指出要完成的目标。信息安全策略是原则性的和不涉及具体细节,对于整个组织提供全局性指导,为具体的安全措施和规定提供一个全局性框架。在信息安全策略中不规定使用什么具体技术,也不描述技术配置参数。信息安全策略的另外一个特性就是可以被审核,即能够对组织内各个部门信息安全策略的遵守程度给出评价。信息安全策略的描述语言应该是简洁的、非技术性的和具有指导性的。比如一个涉及对敏感信息加密的信息安全策略条目可以描述为“任何类别为机密的信息,无论存储在计算机中,还是通过公共网络传输时,必须使用本公司信息安全部门指定的加密硬件或者加密软件予以保护”。这个叙述没有谈及加密算法和密钥长度,所以当旧的加密算法被替换,新的加密算法被公布的时候,无须对信息安全策略进行修改。
1.2.3.2 信息安全策略的基本原则
信息安全策略应遵循以下基本原则: 1、最小特权原则
最小特权原则是信息系统安全的最基本原则。最小特权原则的实质是任何实体仅拥有该主体需要完成其被指定任务所必需的特权,此外没有更多的特权。最小特权可以尽量避免将信息系统资源暴露在侵袭之下,并减少因特别的侵袭造成的破坏。 2、建立阻塞点原则
阻塞点就是在网络系统对外连接通道内,可以被系统管理人员进行监控的连接控制点。在那里系统管理人员可以对攻击者进行监视和控制。 3、纵深防御原则
安全体系不应只依靠单一安全机制和多种安全服务的堆砌,而应该建立相互支撑的多种安全机制,建立具有协议层次和纵向结构层次的完备体系。通过多层机制互相支撑来获取整个信息系统的安全。在网络信息系统中常常需要建立防火墙,用于网络内部与外部以及内部的子网之间的隔离,并满足不同程度需求的访问控制。但不能把防火墙作为解决网络信息系统安全问题的唯一办法,要知道攻击者会使用各种手段来进行破坏,甚至有的手段是无法想象的。这就需要采用多种机制互相支持,例如,安全防御(建立防火墙)、主机安全(采用堡垒主机)以及加强保安教育和安全管理,只有这样才能更好地抵御攻击者的破坏。
4、监测和消除最弱点连接原则
系统安全链的强度取决于系统连接的最薄弱环节的安全态势。防火墙的坚固程度取决于它最薄弱点的坚固程度。侵袭者通常是找出系统中最弱的一个点并集中力量对其进行攻击。系统管理人员应该意识到网络系统防御中的弱点,以便采取措施进行加固或消除它们的存在,同时也要监测那些无法消除的缺陷的安全态势。对待安全的各个方面要同样重视而不能有所偏重。 5、失效保护原则
安全保护的另一个基本原则就是失效保护原则。一旦系统运行错误,当其发生故障必须拒绝侵袭者的访问,更不允许侵袭者跨入内部网络。当然也存在一旦出现故障,可能导致合法用户也无法使用信息资源的情况,这是确保系统安全必须付出的代价。 6、普遍参与原则
为了使安全机制更为有效,绝大部分安全系统要求员工普遍参与,以便集思广益来规划网络的安全体系和安全策略,发现问题,使网络洗头的安全涉及更加完善。一个安全系统的运行需要全体人员共同维护。 7、防御多样化原则
像通过使用大量不同的系统提供纵深防御而获得额外的安全保护一样,也能通过使用大量不同类型、不同等级的系统得到额外的安全保护。如果配置的系统相同,那么只要知道如何侵入一个系统,也就会知道如何侵入所有的系统。 8、简单化原则
简单化作为安全保护策略有两方面的含义:一是让事物简单便于理解;二是复杂化
会为所有的安全带来隐藏的漏洞,直接威胁网络安全。 9、动态化原则
网络信息安全问题是一个动态的问题,因此对安全需求和事件应进行周期化的管理,对安全需求的变化应及时反映到安全策略中去,并对安全策略的实施加以评审和审计。首先,网络本身具有动态性,其次,信息安全问题具有动态性,这些动态性都决定了不存在一劳永逸的安全解决问题。因此,网络系统需要以动制动。这表现在一下三个方面: 第一,安全策略要适应动态网络环境发展和安全威胁的变化。我们的安全策略不能是简单的决策响应模式,而应是包含系统监测和实时响应的安全模型。安全系统要不断地监视网络,自动扫描系统和配置参数,分析和审计用户口令及访问授权,发现漏洞、弱点并实行安全措施;实时监控和快速检测未授权黑客行为,并进行实时响应以阻止进攻;对内部网络资源操作进行实时监控,避免内部员工的误操作和非授权访问。 第二,安全设备要满足安全策略的动态需要。动态安全策略的安全设备之间必须相互关联,并实现互动。举例来说,通常防火墙对内外网络之间的通信进行访问控制,它时限在网络层和应用层上,因此对于通过协议隧道绕过防火墙的安全威胁是无法防范的。同事,防火墙是一种基于策略的被动防御系统,无法自动调整策略设置来阻断正在进行的攻击。入侵检测系统虽然能检测到复杂的攻击事件,但是其自身只能及时发现攻击行为,却无法处理攻击行为。
第三,安全技术要不断发展,以充实安全设备。一方面,各安全组件之间互动策略的制定、接口标准的统一、互动设备之间通信安全的保障,都是值得研究的课题;另一方面,由于黑客攻击手段的不断推陈出新,我们还要采用各种新的技术来防御网络系统。
1.2.3.3 信息安全策略的内容
信息安全策略主要包括物理安全策略、系统管理策略、访问控制策略、资源需求分配策略、系统监控策略、网络安全管理策略和灾难恢复计划。 1、物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、认为破坏和搭线攻击;验证用户的身份和使用权限,防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室的各种偷窃、破坏活动的发生。抑制和防止电磁泄露是物理安全策略的一个主要问题。 2、系统管理策略