信息安全领域检查机构认可的理解与实践.pdf 3页VIP

●●_1I_ -_渊删 _]● 实践 斌 顾 健 信息安全检查是中国合格评定国家认可委 息安全风险评估工作 ，对网络与信息系统安全 员会 (CNAS)对检查机构的重要认可领域之 的潜在威胁、薄弱环节、防护措施等进行分析 一 。 在全球范围内，信息安全已成为国家安全 评估，综合考虑网络与信息系统的重要性、涉 的基础。因此，推动信息安全领域检查机构认 密程度和面临的风险等因素，进行相应等级的 可工作，不断提高认可有效性，对促进信息安 安全建设和管理。随后，各地、各部门信息系 全检查机构提高对信息系统及信息安全产品的 统安全保障工作得到快速发展，信息安全技术 检查水平 ，从而加强信息安全保障能力建设具 迎来了一个新的发展高潮 ，信息安全等级保护、 有积极意义。 信息安全风险评估、信息安全管理规范等政策 措施在全国逐步实施，以信息安全等级保护测 信息安全领域检查机构认可 评体系建设为代表的信息安全保障体系建设得 发展现状 到了进一步加强。 党中央、国务院高度重视信息安全工作， 与此同时，随着我国认证认可工作的持续 2003年7月 《国家信息化领导小组关于加强信 快速发展，信息安全领域的认证认可工作也得 息安全保障工作的意见》明确提出：要重视信 到迅速普及和认同。而对信息安全产品安全性 (接上页) 还有一些缺陷和不易操作的方面，认证机构能 坚持不懈地实施这项工作，并不断总结经验、 从大局出发，从保护新生事物角度出发，没有 听取各方好的意见和建议。逐步完善该项制度。 求全责备，而是给予了足够的理解和配合。第 2．进一步完善分级评价制度，包括进一步 三是得益于认证机构的关心和帮助。分级管理 完善分级管理办法、评价标准、对应的管理措 在试点完成后 ，对文件进行了第一次修改。各 施 、评价实施程序 、评价结果的应用 以及与 机构积极的进言献策，提出了许多有价值的修 CNAS其他管理制度的协调等。 改意见，使这项措施进一步得到完善。 3．加强评审员管理，包括对评审员的培训、 指导和研讨，提高评价的一致性和有效性。 四、后续工作 的设想 分级管理工作是CNAS管理工作的创新 ， 目前在国内和国际同行中尚无可借鉴的经验 ， 近期将主要考虑以下几方面的工作： 只有通过实践不断改进和完善，使其更加科学 1．分级管理制度是相关管理部门关注和支 合理。同时认可风险分级管理是一套认可机构、 持的一项重要管理措施 ，也是国际同行关注和 认证机构都能受益的制度，需要各方，尤其是 认可的一项工作创新 ，同时引起认证机构的强 认证机构的关心和支持，帮助它成长，并认真 烈反响和高度重视 ，因JJ：P_,CNAS将坚定不移 、 实施，使我国整体认证能力得到增强。 32 认可技术 }AccreditationTechnology 实施测试、评估和认证是确保信息安全的重要 表 1信息安全检查领域典型检查内容一览表 事号 检查领域 检查项 目 主要检查 内容 手段之一。测评机构为了提高管理水平和技术 l 信息系 信息系统安全测 1．系统安全管理 统 评 1)物理与环境安全 能力，在等同采用国际信息安全评价标准开展 2)安全组织 3)系统运维管理 检测和评价工作时，还积极探讨采用国际通行 2．信息安全技术 的管理规则来建立质量管理体系，并通过获得 1)局域 网主机安全 2)网络边界安全 认可来进一步加强规范性，由此也推动了这一 3)网络 与网络基础设施安全 4)支撑基础设施 领域认可工作的发展。 3．业务系统安全 1)应用软件 继上世纪末部分从事软件产品检测及信息 2)数据保护 (数据交换平 台) 4系统运行安全等 安全测评的机构获得实验室认可资格以来 ，又 1)VPN同络性能 2)网络性能 有部分从事信息系统及信息安全产 品安全测评 3)门户 网站性能 4)数据交换平 台 的机构获得了检查机构认可资格，并且在这一 5)漏洞扫描 6)病毒防护 领域呈现普及发展态势。截至 目前，信息安全 信息系统风 险评 1网络安全风险 2应用安全风险 领域获准认可的检查机构已达1O家，获准认可 3数据安全风险 4信息安全系统风险 的实验室已达2O余家，另有获准认可的认证机 5．物理环境安全风险 6．管理安全风险 构1家。可以说 ，信息安全测评机构 申请检查机 信息系统安全等 I技术要求 级保护测评 1)物理安全 构认可已得到业内的普遍认同。 2)网络安全 3)主机安全 4)应用安全 信息安全检查活动的内容 5)数据安全及备份恢复 2．管理要求 I)安全管理制度 2)安全管理机构 信息系统是指基于计算机与通信技术等现 3)人员安全管理 4)系统建设管理 代信息技术手段之上的、集组织的各种信息流 5)系统运维管理 2 信 息安 配置管理 为一体、并为组织管理提供信息服务的系统 ； 全产品 交付和运行 信息系统安全是指在保证信息系统信息的保密 开发 指导性文档 性、完整性和可用性概念的基础上，增加了保 生命周期支持 测试 证信息和系统的可控性、信息行为的不可否认 脆弱性评定 性；信息系统安全保障能力是指对整个信息系 统和信息进行保护和防御的能力，主要包括对 检查 (inspection)：审查产品设计、产品、 信息系统的预警、保护、检测、应急和恢复五 过程或安装并确定其与特定要求的符合性，或根 个能力。 据专业判断确定其与通用要求的符合性的活动。 信息安全领域的合格评定活动涉及信息安 (其中，对过程的检查可以包括对人员、设施、技 全产品和体系认证、检测和检查。按照 格 术和方法的检查，检查有时也称为检验。) 评定术语和定义》 (ISO／IEC 17000：2005) 认证 (certification)：与产品、过程、体系 的规定，认证、检测和检查三者的定义如下： 或人员有关的第三方证明。 检测 (testing)：按照程序确定合格评定对 根据上述定义 。并结合信息安全测评活动 象的一个或多个特性的活动 (注 ： “检测”主 的对象和活动内容。可以发现 。信息安全认证 要适用于材料、产品或过程)。 适用于各类企业、政府组织的信息中心等机构， 统安全性的通用的基础准则，该标准将评估内 容从保障和功能需求两部分进行了划分 ，给出 了安全性评估的一系列技术参数，但并不针对 具体的评估对象。标准中，对评估 目标的评估 是建立在针对评估 目标的安全目标文件的基础 上 。对某类的安全需求通过保护轮廓文件 (PP)来描述。在使用这个标准来检测特定的 产品或系统时，需要有专门的PP来规范这个产 品或系统所需要的具体参数和要求。 GB17859和GB／1-18336这两个通用的基 础准则及后续的具体应用标准，构成了我国信 息安全检查领域的标准体系框架，并且在实际 的信息安全检测和检查活动中发挥了重要作用。 当然，由于信息系统和信息安全产品本身的特 点，特别是在其质量评价指标中除了定量检测 的内容之外，还有许多定性评价的内容 。因此 在国内信息安全测评领域，早期信息系统 实际的信息安全检查结果与检查人员的知识、 和信息安全产品检查可依据的标准主要有 计《 经验和技能关系密切。通过以往的评审实践也 算机信息系统安全保护等级划分准则》 (GB 发现 。如果没有更为具体的检查作业指导书 ， 17859—1999)和 《信息技术 安全技术信息技 不但无法保证标准中规定的检测和检查方法的 术安全性评估准则》 (GBT／18336—2008，等 要求，造成实际的检测、检查项目与国家标准、 同ISO／IEC15408：2005)。2002年之后，陆续 行业标准要求不一致，检测、检查结果的可比 出台了包括产品和系统在内的数十项国家和行 性和正确性也大打折扣。 业标准。 为了保证检查的一致性水平 ，申请认可机 GB17859是一个准则，在它之后出台了一 构应制定具体的作业细则，机构制定的PP需经 系列的信息安全产品标准和信息系统标准，如 过专家评审．并且原则上不再认可单独