国外信息系统安全保护政策和标准中国科学院研究生院信息安全国家重点实验室全国信息安全技术标准化委员会WG7赵战生2010年5月16日
概要信息安全概念和认识的深化信息安全政策概要信息安全标准概要
信息安全概念和认识的深化
信息化应用不断深化ICT技术的发展1997年,David Moschella对IT技术发展的历史和趋势给出了一个总结和预测
保障从保密,保护到保障IA预警(W)保护(P)保护检测(D)INFOSEC反应(R)保密恢复(R)COMSEC反击(C)保密性保密性完整性完整性可用性可用性真实性保密性不可否认性80年代90年代现在
IACIIAIT服务集成的Cyber -NetOpsIA是另外分配的职责网际保障是不可或缺的业务遵守检查表使命/指挥官的责任IA是技术网际保障是业务的生命周期管理漏洞管理风险外围准备战斗的网络空间保持坏人离开决战COTS产品评价结合使命需要的系统保障和供应链风险更多更好(功能、带宽、占用空间、签名)走向绿色;只使用你需要的防御和进攻烟囱行动和英特尔剑与盾牌的最佳结合
许多信息技术新应用出现在信息化的进程中当前热议的话题云计算:Cloud Computing 物联网:Internet of Things传感网:Sensor net 泛在网:Ubiquitous Network无边界网络(Borderless Networks-思科)智慧地球(Smarter Planet)3G三网融合需要我们冷静思考,从容应对
U1信息安全政策概要
幻灯片 10USER, 2010/3/17U1
俄罗斯的信息安全保障工作《俄罗斯国家安全构想》(2000年1月10日№ 24 )俄罗斯联邦到2020年国家安全战略研究(2009 年5月12日)《俄罗斯联邦信息安全学说》(2000年9月)俄罗斯联邦信息安全的国家利益-在信息领域,个人、社会和国家利益的综合平衡。把俄罗斯的信息安全定义为“在平衡个人、社会和国家总体利益的基础上定义的信息领域保护国家利益的状态”。
法律工具构成了实现纲要所述信息安全的三大手段之一——另外两个手段是组织-技术措施和经济措施。
特点:1.宏观全面思考:考虑了俄罗斯的具体社会、经济情况和长期改革,以及它的反恐经验。不仅包括(技术)信息安全,同时还包括保护国家机密。
2.结合信息化发展:《为教育开发统一信息环境》(2001-2005年)《信息技术用于联邦组织机构的概念》(2004年)《2007-2011年国家技术基础》的联邦计划(2007年)《俄罗斯信息社会发展战略》2008年
《电子俄罗斯》的(2002-2010年)联邦计划(2005年)是一个核心IT计划,它将为通过大规模推广信息和电信技术提高经济和政府管理效率打下坚实基础。“电子俄罗斯”有一个9年规划期,主要涉及5个重要方面:监管环境机构框架;互联网基础设施;电子政务;电子教育。《确保俄罗斯联邦信息安全的措施》。
3.法律保障:俄罗斯的信息安全法律框架包括3个主要部分:信息安全的法律保障信息基础设施安全的法律保障信息安全主体法律地位的法律保障。
信息安全法律框架的基础是《俄罗斯联邦大众媒体法》、《联邦广告法》《联邦反极端主义活动法》、《联邦政党法》《俄罗斯联邦行政违规法》《俄罗斯联邦国家机密法》《俄罗斯联邦档案立法基本原则》《联邦信息、信息化和信息保护法》《俄罗斯联邦合法保护计算机程序和数据库法》
信息基础设施安全的法律框架所基于的是《联邦通信法》;该法还涵盖了紧急情况下的通信管理。《电子数字签名(EDS)法》新的《俄罗斯技术监管法》提出了安全概念的新定义。该法指出,“安全是不存在无法忍受伤害风险的情况”。此外,该法第7章还指出,“考虑了伤害风险程度的技术规定决定了保证供电安全等最低必要要求”。
有关信息安全主体法律地位的法律是《俄罗斯联邦宪法》《俄罗斯联邦刑法》《俄罗斯联邦大众媒体法》以及其他强化了保证公民、组织和国家实体在信息相关活动中的权利的准则的法律法案。
4.国际合作:国际合作是俄罗斯联邦信息安全保护领域的一大重要成分。俄罗斯在这方面的国际合作有两个独有的特点:争夺技术和信息资源以及称雄市场的国际竞争愈演愈烈;世界列强已经取得越来越大的技术领先优势,这使它们具有创造“信息武器”的潜力。
俄罗斯联邦信息安全领域的国际合作主要涉及以下方面:禁止发展、扩散和应用“信息武器”;确保国际信息交流的安全,其中包括通过国家电信渠道传送的信息的安全;在世界范围内协调执法机构的活动,开展反计算机犯罪的斗争;禁止未经授权访问国际银行、电信网络和信息支持系统中赖以维持全球贸易的保密信息;与国际执法组织共享信息,打击有组织的跨国犯罪、国际恐怖主义、麻醉品和精神药品的非法交易、武器和核燃料的非法交易和人口贩卖;俄罗斯积极参加活跃在信息安全领域的所有国际组织,其中包括标准化和认证组织。
英国2009年6月25日,英国出台首个国家网络安全战略。
欧盟2009年,欧盟公布了《物联网——欧洲行动计划》的通讯,对如何确保信息安全、互联网治理等问题做了新的解释,从企业和个人角度分别界定了信息安全的概念。
2009年2月,欧洲网络与信息安全局首次发表了多达600页的关于欧洲经济区(27个欧盟成员国和冰岛、列支敦士登和挪威)的网络与信息安全情况的报告,简称“国家报告”(Country Reports)。报告中,对成员国正在实施的以及计划实施的网络与信息安全行为进行评估,介绍了各国的突出特点、行动、发展趋势等。例如国家电子ID计划的情况、安全入侵应急响应等。报告的一个重要目标就是将各国涉及网络和信息安全的相关利益人及其关系进行梳理,其中分析了对网络和信息安全有重大影响的国家层面的组织及其行动。
2009年2月,欧盟公布了“关于修改电子隐私指令的第1/2009号意见”,意见指出,为了更好的保护欧洲全体人民的个人数据,有必要扩展信息社会服务中个人数据被破坏后的披露义务的范围,同时对处理流量数据的程序进行了规定。欧盟一直都非常重对视个人信息安全的保护,并且根据技术和社会发展,不断的修改已有指令。
日本日本政府于2000年7月设立了“IT战略本部”,并随后制定了“IT基本战略”,通过了“IT基本法”。2001年又先后制定了“电子日本”(e-Japan)战略和“电子日本”(e-Japan)重点计划,以加速建设高水平的信息通信网络,全面走向高度信息化的社会,打造“电子国家”。
2005年12月8日,日本E战略本部讨论并通过了最新的信息化国家战略《IT新改革战略》2006年1 月18 日正式向公众发布了该战略。《IT新改革战略》是日本政府在完成了《e-Japan战略II》建设目标后提出的最新信息化建设计划,是日本政府2006—2010年间信息化建设的基本纲领。
2006年制定的首个信息安全国家战略,即FY2006-FY2008三年计划
2009年2月3日,国家信息安全政策委员会又公布了旨在强壮IT时代“个人”和“社会”的信息安全国家战略,战略分为四部分:(1)首个信息安全国家战略的行动及2009情况报告;(2)第二个信息安全国家战略基本理念和2012年目标;(3)下个三年的重要政策;(4)政策促进计划及持久改善。战略的基本目标就是建立IT安全环境,实施的主体仍然分为中央和地方政府、关键基础设施、企业和个人。战略强调要促进信息安全技术战略的实施,促进国际合作,以及打击网络犯罪。
韩国韩国国防部官员称,将于明年2010月1日成立“信息安全司令部”,以维护韩国的国家网络安全。负责该项目的官员金宰民(Kim Jae-min)称,信息安全司令部将由原计划的2012年提前到明年1月设立,预计明年7月能完全发挥作用。金宰民称,今年内将研究信息安全司令部的详细情况,一旦成立,将制定可操作的防卫计划。新建的“信息安全司令部”将设于国防情报本部门下,是一支由少将级军官指挥的200 多人的独立部队。“信息安全司令部”不仅将保护韩国的国防电脑网络,还将具备“在有事时发动网络攻击扰乱别国电脑网络的能力”。
美国的信息安全保障从国家安全战略考虑信息安全美国的战略20世纪90年代以PDD63为代表2000年1月-2001年9月以克林顿政府国家信息保障计划为代表2002-2008年小布什在“911”后制定了一系列相关战略2009-奥巴马走向何方?
国家安全的四个目标避免和终止怖份子的攻击;保护美国人,关键基础设施和重要资源;对确实发生的事件响应与恢复复原;而且继续加强基础确保长期成效。
《保护网络空间的国家战略》的目标是:防止对美国关键基础设施的网络攻击;减少国家对网络攻击的脆弱性;在出现网络攻击时,尽量减少损失并缩短恢复时间。
美国信息安全保障工作的布局三条线展开军需DISCAP DIACAP政需FISMA : 联邦信息系统认证认可民需关键基础设施保护
布什在位出笼的政策《国土安全国家战略》2002年7月。《保护网络空间安全国家战略》NSSC2003年2月《国土安全战略》2007年10月
国土安全总统令第5号《国内事件管理》2003年2月28日第7号《关键基础设施的确定、优先分级、和保护》2003年12月17日第8号《国家有准备》2003年12月17日
DHS发布的政策与计划《国家响应计划》(NRP)2004年12月《国家响应框架》(NRF)取代NRP2008年1月《国家基础设施保护计划》(NIPP)2006年6月《关键基础设施和重要资产物理保护国家战略》《临时的国家有准备目标》2005年3月,
《国家有准备指南》(NPG)2007年9月,《国土安全部安全信息共享策略》2008年4月18《增强国际供应链安全的策略》2007年7月《国家基础设施保护计划改进合伙人的保护和弹性》2009年
共识的方针基于风险管理思想分等级保护全面主动
关键基础设施+重要资产(13+4)
近期强调有准备:Preparedness就绪:Readiness
布什离任前(2008年1月8日)颁布总统令54号(NSPD-54)/ 国土安全总统令23号(HSPD-23)《全面国家网络安全计划》(Comprehensive National Cybersecurity Initiative,CNCI)
CNCI的总体战略目标1、建立防御前线目的是减少脆弱性和预防网络入侵,保护永久的防御和预防入侵2、防御全部范围的威胁防御任何是来自网络,经由供应链,或者内部人员的威胁3、塑造未来的环境通过研究和教育塑造未来环境,培养下一代的网络专家,定义新的技术、威胁战略和创造保持领先对手的跨跃技术,保护国家的基础设施
部署三个阶段12项核心工程关注的是:第一阶段1.用可信互联网连接,向管理单一联邦事业网络方向发展(预算5+亿美元)2.加强入侵检测系统(预算15+亿美元)3.开发和配置入侵预防系统,改进入侵预防(预算35+亿美元)4.协调和重定向研究和投资方向(预算30+亿美元)
第二阶段:5.连接政府重要网络操作中心,加强态势感知(预算20亿美元)6.制定政府范围的网络反情报计划(预算10亿美元)7.增强保密网络的安全(预算1亿美元)8.发展网络教育(预算亿美元)
第三阶段:9.描述与开发跨越技术、战略和规划(预算20亿美元)10.描述和开发持久的威慑技术和计划(预算1亿美元)11.为全球供应链风险管理,开发多方位涵盖的方法(预算5亿美元)12.描述在加强基础设施领域网络安全中联邦的角色(预算亿美元)
项目一解析用可信互联网连接(TIC)向管理单一联邦业务网络发展目标:是将从联邦机构到外部计算机网络连接的数目从2008年1月所确认的4300多个减少100个以下合并的结果将是单一综合的联邦网络防御前线。TIC计划的主要好处是联邦安全环境的一致性
先期的经验美国军事网络减少和合并互联网接入点003年,DOD开始军事网络几千个互联网接点的合并工程2004年,DOD确定在其非安全的IP网络与互联网间的互联网接入点的基准数目为60 2007年,DOD已经将其60多个接入点合并为15个,其最终目标是10个DOD关于网络合并的经验及其教训提供了宝贵的指导2007年,OMB发布可信互联网连接(TIC)计划
美国空军的安全桌面配置2004年,美国空军开始对其网络中40000多个计算机和190多个应用采用安全配置最初动机是改善桌面计算机的安全,结果使空军网络打补丁时间由57天减少到少于72小时计划完成后,空军削减了30%的信息技术管理预算2007年,OMB发布联邦桌面核心配置(FDCC)计划
实施:在实施过程中,OMB将其主管的几个计划统一管理(这些计划都成为CNCI的一部分,但是在CNCI发布之前他们已经分别出现)向下一代互联网协议Ipv6过渡联邦桌面核心配置(FDCC)可信互联网连接(TIC)安装爱因斯坦计划的网关监控技术继续进行完全的安全保密审查,注册机构职员并发放个人身份验证卡(HSPD12)
项目二解析加强入侵检测系统目的:收集相关数据以使分析家能够检测在联邦网络上的潜在的恶意网络活动为政府官员提供预警系统以得到更好的态势认知,更早地识别恶意活动,以及更全面的网络防御
先期的准备-爱因斯坦计划2004年,US-CERT开发了入侵检测系统爱因斯坦爱因斯坦要收集有严格限制的特殊数据数据包括:自治系统编号、ICMP类型/代码、数据包长度、协议、传感器识别和连接状态、源和目的IP地址、源和目的端口、TCP标记信息、时间戳和持续时间信息US-CERT通过爱因斯坦计划建立了一个跨联邦部门和机构的实时共享态势感知信息的网络
2008年,US-CERT开发和测试爱因斯坦增加了网络入侵检测技术对恶意活动收集,分析和实时预警2008年12月5日,爱因斯坦通过了初步操作能力的测试
US-CERT正在开发爱因斯坦将具有实际停止攻击的能力,实现实时地操作和预防在恶意模式可能伤害联邦网络之前,阻塞或缓解恶意入侵
实施:将爱因斯坦配置到所有的联邦部门和机构使用DHS的认可和认证授权,以确保所有联邦机构的检测和响应能力达到最低的基准水平,即具有24/7监视和响应能力DHS必须能够按分钟检测和分析异常活动,并且在非常短的时间内采取有效的响应;不仅通过恢复缓解攻击,而且警告其他人以及反制措施
与合作伙伴和其他机构(包括情报部门)合作。不断增强爱因斯坦系统的能力,以更深入地观察什么可能出现在互联网上,而且也是一个预警系统扩充US-CERT,US-CERT具备24小时预警和检测能力以提供对接点的监管
项目三解析开发和配置入侵预防系统改进入侵预防目的:US-CERT通过爱因斯坦计划建立了一个跨联邦部门和机构的实时共享态势感知信息的网络实施:配置正在开发的入侵预防系统爱因斯坦将从被动的检测向积极的检测设备转变具有实际停止攻击的能力,实现实时地操作和防御,在恶意模式可能伤害联邦网络之前,阻塞或缓解恶意入侵。
项目四解析:连接政府重要网络操作中心加强态势感知目的:提供更一致的威胁检测和更迅速的响应,增加预警和全球态势感知实施:在DHS创建国家网络安全中心(NCSC)NCSC将作为跨领域态势感知的网络中心NCSC将连接将以下六个联邦政府网络安全中心:FBI的中心,US-CERT,DOD网络犯罪中心,DOD全球网络行动联队(JTF-GNO),NSA的威胁行动中心和情报部门的事件响应中心
NCSC将联合和调动负责防御的联邦机构的操作状态,以提供跨联邦政府的全面态势感知,对联邦网络的全面安全情景得到更清楚的了解NCSC将整理来自各机构的信息以帮助保护信息网络和系统并促进协作NCSC将来自各操作中心的信息合并,并且将合并的结果再提供给六个中心
项目九解析描述与开发跨越技术、战略和规划目的跨越下一个十年所开发和部署的比赛规则变换技术将根本地把网络比赛变换成一个好人有好报的情势实施RFI寻找比赛规则变换概念:变形赛场(Morph the gameboard):改变防御的地形(永久地或有适应性地)以使其攻击者更难于调遣和完成其目标变换规则(Change the rules):通过改变网络协议和规范为网络文明奠定基础以支持我们的社会价值提高攻击成本(Raise the stakes):通过提高风险、降低价值等等,使行动的成本较不利于攻击者
CNCI要求跨越的研究和技术以减少在网络空间中面对非对称攻击的脆弱性。跨越的努力仅仅探索一些革命性的有潜能改造前景的观念2008年10月14日,国家科学基金会发布国家网络跨越年: 信息请求(RFI)
项目十一解析:全球供应链风险管理需求:全球供应链的现实呈现出重大的挑战,阻碍必须处理的伪造或恶意地设计的硬件和软件产品目的:努力实现更强壮的供应链防御,以减少IT和通信产品在进口到美国之前被对手利用的可能性,确信从国外市场进口的产品没有安装恶意硬件或软件实施:制定多方位的战略以减少在IT和通信产品生命周期的最适当阶段的风险
对CNCI的反响国土安全部部长切尔托夫:进行重大跨越的时刻已经到来几乎类似于曼哈顿计划防护我们的信息网络
美国国会参议院国土安全与政府事务委员会主席Lieberman:CNCI将根本地改变,政府保护关键信息网络的努力将导致你部(DHS)解决美国网络安全路线的根本转变
判断: “重大跨越”和“根本转变”指什么:从美国自2003年以来在网络安全方面的努力分析:就是美国的网络安全将从被动响应向主动全面防御跨越
新总统奥巴马的态度今年2月,奥巴马决定对前总统信息安全保障政策给予为期两个月(60天)的复审奥巴马计划整顿国家安全委员会,扩大其成员,并更有效地集中白宫工作人员的决策。
网际政策审查-确保信任和富有活力的通信基础设施信息和负责网络安全遍布各种各样的联邦部门和机构,许多机构重叠,没有足够的决策权力,直接行动,处理往往相互冲突的问题,一致的方式。政府需要综合考虑各种相互竞争的利益制定出一个全面的设想和计划,以解决美国面临的网际安全相关的问题。国家需要制定的政策,流程,人才和技术的需要,以减轻网络安全相关的风险。
国家现在处于一个十字路口。现状已不再是可以接受的。全国对话的网络安全,必须从今天开始。如果孤立的工作,美国不能取得确保网络空间的成功。联邦政府不能完全代表或取消其作用,确保全国的网络事件或事故。与私营部门合作,必须定义下一代的基础设施的性能和安全的目标。白宫必须领导前进的道路。
表1 :近期行动计划1.任命一名网络安全政策的官员,负责协调全国的网络安全的政策和活动;建立一个强大的国家安全委员会主任的指导下的网络安全政策正式双盔的国家安全委员会和全国选举委员会,以协调部门间的发展网络安全有关的战略和政策。2.准备总统的批准的更新的国家战略,以确保信息和通信基础设施。这一战略应包括继续评价CNCI活动,并在适当情况下,促其成功。3.指定网络安全作为总统的重点管理的优先事项并制定业绩指标。4为.国家安全委员会网际安全司指定一个隐私和公民自由的官员。5.聚集适当的跨部门的机制,引导跨部门清理法律,在优先分析网际安全相关问题的过程中,确定政策,发展进程,并制定协调一致的统一的政策指导,明确任务,职责,为跨越联邦政府的网际安全活动委托授权机构。6.发起一个国家的公众意识和教育运动,以促进网际安全。7.为国际网络安全的政策框架显示美国政府的立场,加强我们的国际伙伴关系,以创造主动行动,以解决的全部活动,政策和机会与网络安全。8 .起草网络安全事件响应计划;展开对话,以加强公私合作伙伴关系的效率,调整,并提供资源,以优化他们的贡献和保证。9.与其他EOP合作,制订一个框架,用于研究和发展战略,侧重于以改变游戏规则的技术,有潜力,以提高安全性,可靠性,弹性和可信赖的数字基础设施,提供了研究界获得活动数据便利的开发工具,测试理论,并找出可行的解决办法。10.建立一个网络安全的身份管理的远景和战略,以解决隐私和公民自由的利益,为国家促进隐私增强技术的改变。
表3 :中期行动计划1 .为解决跨部门的有关法律解释、适用的政策和网际操作授权的分歧,改进过程。2 .在追求网络安全的目标中,使用OMB的程序评估框架,以确保各部门和机构使用基于绩效编制预算。3 .更多地支持关键的教育和研究和开发项目,以确保信息时代经济的国家的持续竞争能力。4 .制定一项战略,扩大和培训劳动力,包括在联邦政府吸引和留住网际安全专家。5 .确定高效和实际的机制,以获得战略预警,保持态势意识和检举事件的反应能力。6 .制定一套威胁的情况和数据,可以用于风险管理的决定,恢复的规划,和研发的优先序。7. 在政府和私营部门间,制定一个进程,以协助预防、侦查和响应网络事件。8 .建立网络安全相关的信息共享机制,解决关注隐私和专利信息,使信息共享互利。9 .开发在自然灾害、危机或冲突时,应急通讯能力的解决方案,同时确保网络的中立性。10. 与主要盟国和寻求双边和多边安排,扩大有关网络事件和脆弱性的信息共享,改善经济和安全利益,同时保护公民自由和隐私权利。11鼓励学术研究和工业实验室之间的协作,开发转化路径,并奖励快速采用的研究和技术开发创新。12.用基础设施目标和研究和开发框架,来为国家和国际标准机构确定目标。13为使有高度活力的技术(如智能网格)生效,选择一系列的互操作身份管理系统,以建立网上交易的信任,并加强隐私。14.完善政府采购战略,并对安全和富有活力的硬件和软件产品和新的安全创新,安全管理服务提高市场奖励,。
2009 12 月17日,宣布奧巴馬任命具有40 多年计算机安全政府、商业和法律的执法经验的的霍華德.施密特为新的白宫网络安全官
2010 年2月4 日美国众议院通过‘‘Cybersecurity Enhancement Act of 2010’’.法案()法案的目的:To advance cybersecurity research, development, andtechnical standards, and for other
法案要求:在国家协调办公室组织领导下,制定和实施网络和信息技术研究开发计划协调办公室,应在评估网络安全风险的基础上向国会提交指导联邦网络安全和信息保障研究和开发总体方向的战略规划。每3年更新提交这样的计划。计划应侧重说明如何引进与转换潜在的技术,以提高安全性,可靠性,弹性,数字基础设施的可信性,确保联邦机构敏感信息的共享
规划的内容要求:近、中、长期的目标引进和转换的潜在技术有利于国家和社会的网际安全技术和应用的研发结果,包括先进经验和跨越行动为设计、测试、评估下一代的安全网络和信息技术系统而建立和维护一个国家的研究基础设施如何减少科研机构访问事件表述数据,现实的威胁和脆弱性的困难如何与国际伙伴在网际安全研发适当合作的战略各种级别的网际安全的教育培训
开发路线图说明联邦机构在完成和赞助满足战略规划研发目标的职责,评估研究目标的进程说明每个主要研究目标的资金分配,来源机构和年度评估资金需求
建议:在高性能计算机法(1991)一节下提出建立顾问委员会利益相关的广泛性:包括工业界、学术界,有代表性的名流、社区学院、国家实验室以及其他相关的组织和名流
信息安全标准概要-信息安全主要标准的发展脉络安全技术信息安全保障技术框架产品评估系统安全建设与安全管理与测评测评队伍与能力要求
安全技术的发展
信息保障技术框架(IATF)
信息保障技术框架的章节内容1.介绍2.深度保卫目标纵览3.信息系统安全工程过程4.技术上的安全对策5.保卫网络和基础设施6.保卫边界/外部连接7.保卫计算环境8.支撑基础设施9.战术环境的信息保障10.对综合解决方案的观察
背景定义对信息基础设施做了定义,并介绍了信息的分类以及边界的概念。把信息保障技术化分为四个领域:局域计算环境区域边界(保卫局域计算环境)网络和基础设施支撑基础设施
信息保障技术框架关注的领域
提出纵深防御的思想
纵深防御战略的原则人技术操作培训深度保卫技术框架领域评估意识培养安全标准监视物理安全IT/IA 采购入侵检测人事安全风险评估警告系统安全管理认证和授权响应恢复
信息系统安全工程(ISSE)解决用户的信息保障需求,是系统工程学、系统采购、风险管理、认证和鉴定以及生命周期的支持的过程。
根据技术保障框架形成保护要求保卫网络和保卫边界和保卫局域计支撑性基础设施系统轮廓基础设施外部连接算环境交换机和路防火墙操作系统PKI/KMI检测和响应多国信息由器共享无线VPN生物识别技证书管理IDS术外部设备单级WEB密钥恢复远程访问令牌第四级PKI目录多域解决方案移动代码移动代码消息安全门卫数据库
信息安全产品测评1990年欧洲信息技术安全评价准则ITSEC1990年加拿大1995年1985年美国计算机产品安全评价准则可信计算机系统评价准则国际通用准则CTCPECCCTCSEC1990年美国联邦政府评价准则FC
密码算法和模块标准OISLSWIFT Operations Forum Europe -9-11 December 2002 -Jeroen 3
产品不等同与系统
橘皮书与彩虹系列美国国防部及国家计算机安全中心DoD-Department of Defence(NCSC-National Computer Security Center)DoD早在80年代就针对国防部门的计算机安全保密开展了一系列有影响的工作,后来成立了所属的机构国家计算机安全中心(NCSC)接续进行有关工作。1983年他们公布了可信计算机系统评价准则(TCSEC-Trusted Computer System Evaluation Criteria(俗称橘皮书)1985年再版),以后NCSC又出版了一系列有关可信计算机数据库、可信计算机网络等的指南等(俗称彩虹系列)。
特点准则中,从用户登录、授权管理、访问控制、审计跟踪、隐通道分析、可信通道建立、安全检测、生命周期保障、文本写作、用户指南均提出了规范性要求。
几个基本概念:可信计算基(TCB-Trusted Computing Base)计算机系统中的负责执行一个安全策略的包括硬件、软件、固件组合的保护技巧的全体。一个TCB由一个或多个在产品或系统上一同执行统一的安全策略的部件组成。一个TCB的能力是正确的依靠系统管理人员的输入有关安全策略的参数,正确独立的执行安全策略。
访问控制机制自主性访问控制(DAC--Discretionary Access Control)用口令管理用户进入系统(ID,PW)用权限管理用户对信息的读、写、删(ACL)强制性访问控制(MAC--Mandatory Access Control)用敏感度标识(Labels)把主体、客体的密级和范畴加以严格的标注。在主客体间严格以初始的授权机制在BLP模型原则下强制操作。
审计跟踪(Audit Tail)TCB能够创立、维护和保护一个客体免于被修改或非授权访问或破坏一个访问的审计跟踪。审计数据是被TCB保护的,对审计的读访问被限制在有审计权限的用户上。TCB能够记录如下类型的事件:识别与授权机制的使用、客体引入的用户地址空间(例如,文件打开,程序初始化等)、客体删除、计算机操作员和管理员的活动、系统安全管理员与其它安全相关事件。
TCB能够审计任何超越人的可读输出标记的现象。TCB能够审计识别使用隐蔽存储通道的事件。TCB将包括能够监视安全审计事件的积累机制,它指明违背安全策略的现象。这个机制能够在门限值超过时,向信息安全官员、系统管理员报告,由于这些安全事件的连续积累,系统将要求信息安全官员或系统管理员作出反应处理。
TCSEC主要依据的安全模型主要考虑的安全问题大体上还局限于信息的保密性,他所依据的安全模型—Bell&Lapadula安全模型所制定的最重要的安全(保密)原则:严禁上读、下写(noreadupnowritedown)就是主要针对信息的保密要求。
Bell-la Padula(BLP)安全模型简介基本思想运用状态机模型和状态转换的概念形式化的定义了系统、系统状态、状态间的转换规则定义了一组安全特性,并以此来限制和约束系统状态和状态转换规则要求:如果一个系统的初始状态是安全的,并且所经过的一系列规则都是保持安全的,则可以证明该系统是安全的
TCSEC安全级化分表
TCSEC安全策略实施及评估方评估标准C1C2B1B2B3A1面自主访问控制目标重用标识标识完整性安被标识信息输出全多层设备输出策单层设备输出略标记人可读输出强制访问控制目标敏感标识设备标识可确认和授权说审计跟踪明可信路径性
TCSEC安全策略实施及评估方C1C2B1B2B3A1评估标准面系统体系系统完整性安全测试安设计说明和确认全隐通道分析保可信装置管理证配置管理可信恢复可信分发安全特性用户指南文可信装置手册档测试文件设计文件
ITSEC (又称欧洲百皮书)90年代初西欧四国(英、法、荷、德)联合提出了信息技术安全评价标准(ITSEC)。除了吸收TCSEC的成功经验外,首次提出了信息安全的保密性、完整性、可用性的概念,把可信计算机的概念提高到可信信息技术的高度上来认识。他们的工作成为欧共体信息安全计划的基础,并对国际信息安全的研究、实施带来深刻的影响。
ITSEC也定义了七个安全级别,即:E6:形式化验证;E5:形式化分析;E4:半形式化分析;E3:数字化测试分析;E2:数字化测试;E1:功能测试;E0:不能充分满足保证。
ITSEC还对系统定义了10个安全功能,前5中与TCSEC的C级要求类似,其他是:·系统完整性需求;·系统可用性需求;·交换期间数据保密需求;·交换期间系统数据完整性需求;·信息交换时网络完整性和保密性需求。
通用评价准则(CC)美国为了保持他们在制定准则方面的优势,不甘心TCSEC的影响被ITSEC取代,他们采取联合其他国家共同提出新的评估准则的办法体现他们的领导作用。91年1月宣布了制定通用安全评价准则(CC)的计划。它的全称是:Common Criteria for IT security Evaluation 。
制定的国家涉及到六国七方,他们是美国的国家标准及技术研究所(NIST)和国家安全局(NSA),欧州的荷、法、德、英,北美的加拿大。它的基础是欧州的ITSEC,美国的包括TCSEC 在内的新的联邦评价标准,加拿大的CTCPEC,以及国际标准化组织ISO :SC27 WG3 的安全评价标准。1995年颁布版,1996年1月出版了1.0版。1997年8月颁布 Beata版, 版于1998年5月颁布。
CC标准中未包含的内容:行政管理安全的评价准则电磁泄露行政管理方法学和合法授权的结构产品和系统评价结果的使用授权密码算法质量的评价
CC标准的读者对象:用户:通过风险和策略的分析,比较评价的不同产品和系统,选择适合自己使用的产品和系统。开发者:支持开发者认识满足自己产品和系统的安全要求,制定保护轮廓(PP),确定安全目标(ST),支持开发者开发自己的评价目标(TOE),在评价方法学帮助开发者,以共识的评价结果评价自己开发的产品和系统。
评价者:正式审查评价目标时为评价者提供一个评价准则,用于评价评价目标(TOE)和安全要求的一致性
其它:对于对IT安全有兴趣和有责任的人起到一个导向和参考材料的作用机构中的系统监管和安全官员确定安全策略和要求内外部系统安全的稽核人员系统和产品的体系结构的设计者特定环境使用系统的鉴定责任人请求和支持评价的责任发起人IT安全计划管理和失误评价责任人
ISO/IEC 15408(CC)第一部分介绍和一般模型第二部分安全功能需求第三部分安全认证需求
CC评价准则的结构:第一部分:介绍和总体模型对CC评价准则的介绍。定义IT安全评价和描述模型的一般概念和原则,提出选择和定义说明产品和系统IT安全客体的明确的组织的安全要求。
第二部分:安全功能要求用标准化的方法对评价目标(TOE)建立一个明确的安全要求的部件功能集合。功能集合分类为部件(components)、族(families)和类(classes)
第三部分:安全保证要求用标准化的方法对评价目标(TOE)建立一个明确的安全要求的保证部件的集合。对保护轮廓(PP)和安全目标(ST)进行定义,并且对安全评价目标(TOE)提出安全评价保证级别(EAL)
ISO15408安全模型ISO/IEC 15408-1 安全概念和关系模型所有者对策漏洞攻击者风险威胁资产
对抗模型所有者对策漏洞攻击者风险威胁资产
动态模型/风险模型所有者对策漏洞攻击者风险威胁资产
效益安全模型所有者对策漏洞攻击者风险威胁资产
评价的概念和关系保证评价技术保证主人信心对策风险财富
评价目标的开发模式精确安全设计要求和实现功能说明高级设计分析源代码测试硬件实现
评价目标的评价过程评价准则TOE安全要求开发(PP&ST)评价方法学TOE评价评价评价证据计划TOE评价工作结果
安全要求的组织结构Class bFamilycomponent可重用k保护的安全方案component功能和(PP)保证的PP&STcomponent包Class aFamilycomponentjcomponentFamilycomponenti可选择安全componentcomponent的安全目标要求(ST)(非CC)component
Part 2 --Security Functional ClassesClasses of Security Functional Requirements:ClassNameAuditFAUCommunicationsFCOFCSCryptographic SupportUser Data ProtectionFDPFIAIdentification & AuthenticationFMTSecurity ManagementFPRPrivacyFPTProtection of TOE Security FunctionsFRUResource UtilizationFTATOE AccessFTPTrusted Path / Channels
安全功能要求的类示例安全审计1(FAU)安全审计自动响应(FAU-ARP)1安全审计数据产生(FAU-GEN)22安全审计分析(FAU-SAA)13412安全审计评论(FAU-SAR)3安全审计事件选择(FAU-SEL)112安全审计事件存储(FAU-SRG)34
Part 3 --Security Assurance ClassesClasses of Security Assurance Requirements:ClassNameConfiguration ManagementACMDelivery & OperationADOADVDevelopmentGuidance DocumentsAGDALCLife Cycle SupportATETestsAVAVulnerability AssessmentAPEProtection Profile EvaluationASESecurity Target EvaluationAMAMaintenance of Assurance
安全保证要求类示例测试(ATE)123覆盖范围(ATE-COV)123深度(ATE-DPT)功能测试(ATE-FUN)12独立的测试(ATE-IND)123
脆弱性评定(AVA)123隐蔽信道分析(AVA-CCA)123滥用(AVA-MSU)TOE安全功能强度(AVA-SOF)1脆弱性分析(AVA-VLA)1234
Evaluation Assurance Levels (EALs)EALTCSECNameEAL1功能化测试C1EAL2结构化测试EAL3C2方法学测试和检查B1EAL4方法学设计测试和检查B2EAL5半形式化设计和检查B3EAL6半形式化校验,设计和测试A1EAL7形式化校验设计和测试
访问控制模式的发展
什么是RAdAC?RAdAC 是一个访问控制的概念:他基于安全风险和运行需求决定访问,不仅是正确的比较属性;能适应操作需要的决断门槛,可以满足适当的安全风险在不同条件下,使用业务策略,为安全风险和运营需求建立门槛
他要对每次访问的决断考虑安全风险和运行需求的多个因数:对请求访问的人的信赖被访问信息的敏感性可能提供信息的防护质量人的角色对运行的信息的危险性不确定性访问决策的历史
系统安全建设和安全管理FISMA三阶段第一阶段:标准和准则的制定2003-2008年第二阶段:组织认证计划2007-2010年第三阶段:安全工具验证计划原定2008-2009年,现在纳入第二阶段和使用现有的IT产品测试,评价和审定程序
遵守NIST的标准与指南的要求按照FISMA的规定,商务部长应以NIST开发的指导方针为基础标准,规定准联邦信息系统的标准和指南。为提高联邦信息系统的操作和安全效率,部长须视需要作出标准的强制性和约束力。标准规定应包括信息安全标准提供最低限度的信息安全要求和在联邦信息和信息系统安全的其他方面需要的改进。
与FISMA相一致的联邦信息处理标准(FIPS)是经商务部长的批准由并的NIST发行。FIPS对联邦机构是强制性的,遵守这些FISMA规定的标准的对联邦机构具有约束力,因此,各机构不得放弃其使用。
特别出版物(SP)是作为建议和指南文本由NIST发行。除了国家安全计划和系统,其他联邦各机构必须在联邦信息处理标准中遵循NIST的这些特别出版物规定的要求。FIPS 200要求使用特别出版物800-53的修订。此外,OMB(行政预算管理局)的政策(包括OMB对FISMA的报告和机构隐私管理)规定,除了国家安全方案和系统,其他联邦机构必须遵循某些具体NIST的特别出版物。
其它与安全有关的出版物,包括跨部门的报告(NISTIRs)和信息技术实验室(ITL)公告,提供了技术和NIST的其他有关活动信息。这些出版物只有在由OMB说明后是强制性的规定。对于NIST安全标准和指南遵循的既定时间表由OBM在其政策、指示、或备忘录中确定(例如,FISMA年度报告指南)。
FISMA第一阶段完成情况
NIST为第一阶段制定的标准与指南FIPS 199:美国联邦信息和信息系统安全分类标准FIPS 200:联邦信息和信息系统的最低安全要求SP 800-18:开发联邦信息系统和组织的安全计划指南SP 800-30:版本1,实施风险评估指南SP 800-37:版本1,对联邦信息系统运用风险管理框架指南:安全生命周期方法SP800-39:业务范围的风险管理:组织,任务和信息系统的视图
SP800-53:版本3,推荐的联邦信息系统和组织的安全控制SP 800 -53A:版本1,联邦信息系统和组织安全控制评估指南SP800-59:确定一个信息系统作为国家安全系统的指南SP800-60:修订1,信息和信息系统安全分类映射类型指南SP 800 -XX: 信息系统安全工程指南SP 800 -yy:软件应用安全指南
NIST最早提出的认证认可的风险管理框架
第一阶段完成的相关指导文件
开展了FAQ和快速启动指南的编写第1步:分类第2步:选择第3步:实施常见问题常见问题常见问题角色和责任角色和责任角色和责任快速启动指南快速启动指南快速启动指南o管理角度看o管理角度看o管理角度看o组织角度o组织角度o组织角度o技巧与技术组o技巧与技术组o技巧与技术组织织织o系统角度o系统角度o系统角度o技巧与技术系o技巧与技术系o技巧与技术系统统统
NIST Special Publication 800-37 Revision 1对联邦信息系统运用风险管理框架的指南一个安全生命周期方法February 2010第一章导言第三章过程 背景 RMF第1步-分类信息系统 目的与适用性 RMF第2步-选择安全控制 对象 RMF第3步-实施安全控制 本特别出版物的结构 RMF第4步-评估安全控制 RMF第5步-授权信息系统第二章基本原理 RMF第6步-监控安全控制 整体的组织范围内的风险管理 系统开发生命周期 信息系统边界 安全控制分配
附录A 参考附录B 词汇附录C 缩略语附录D 角色和职责附录E RMF任务概要附录F 安全授权附录G 连续监测附录H 操作设想附录I 外部环境中的安全控制
风险管理框架的特点创立近实时的风险管理的概念,并通过实施强有力的连续监测过程推动信息系统的授权;鼓励使用自动化操作来向高级领导人提供必要的信息,产生成本效益,以关注组织的信息系统支持的核心任务和业务职能进行基于风险的决策;将信息安全结合到业务安全体系结构和系统开发的生命周期;
规定强调安全控制的选择、实施、评估、监测和信息系统的授权;在信息系统一级结合风险管理的过程,在组织一级行使风险管理的责任;为组织的信息系统安全控制的部署建立责任制和问责制,并使这些制度得到传承。
递升的风险管理方法
安全控制的配备
目前版本的SP 800-37对风险管理框架进行的改进
六个步骤任务分解风险管理框架的任务主要的责任者支持的角色RMF 第一步: 信息系统分类任务1‐1安全分类信息系统的业主风险执行(功能)信息的业主/管理员将信息系统分类,并在安全授权的官方或指定的代表计划中将安全分类的结果行成文件。首席信息官高级信息安全官信息系统安全官任务1‐2信息系统描述信息系统业主授权的官方或授权的代表描述信息系统(包括系统边高级信息安全主任界)和在安全计划文件中表述信息所有者/管理员信息系统安全官任务1‐3信息系统注册信息系统业主信息系统安全官注册信息系统与相关的组织程序/管理部门。
风险管理框架的任务主要的责任者支持的角色RMF 第二步:选择安全控制任务2‐1通用控制确认风险主管(功能)首席信息官或高级信息安全官官方或授权代表确定由组织作为通用控制信息安全架构师信息系统的所有者提供组织的安全控制,并将其在安全计划(或相当通用控制供应商信息系统安全工程师的文件)中成文任务的2‐2安全控制选择信息安全架构师官方或授权代表信息系统的所有者信息所有者/管理员为信息系统选择的安全控制,并在安全计划中将其信息系统安全官成文。信息系统安全工程师任务2‐3监控策略风险主管(功能)信息系统业主或通用控制供应商官方或授权代表制定一项战略持续监控安首席信息官全控制效果和任何信息系统建议/实际变化及其运高级信息安全官作环境。信息所有者/管理员信息系统安全官任务2‐4安全计划的审批官方或授权代表风险主管(功能)审查和批准的安全计划。首席信息官高级信息安全官
RMF第3步:RMF第4步:实现安全控制评估安全控制3-1安全控制任务的实4-1评估任务的准备现4-2安全控制的评估3-2任务的安全控制文4-3安全评估报告件4-4纠正活动
RMF第5步:RMF第6步:信息系统授权安全控制的监控5-1行动计划和里程碑6-1信息系统和环境变化5-2安全授权包6-2不间断的安全控制评估5-3风险测定6-3不间断的纠正行动5-4风险接受6-4密钥更新6-5安全现状报告6-6持续的风险的确定和接受6-7信息系统迁移和退役
NIST Special Publication 800-53 Revision 3为联邦信息系统和组织推荐的案控制(共207项)Recommended Security Controls for Federal Information Systems and Organizations August 2009INCLUDES UPDATES AS OF 05-01-2010序类族可选控制措施数目1规划62风险评估53管理系统和服务获得144安全评估和授权75程序管理116访问控制227标示与鉴别8技术8系统和通信保护349审计和责任追究1410意识与培训611配置管理912人员安全813物理和环境保护1914运营媒体保护615系统和信息完整性1316应急计划1017事件响应818维护6
可选控制项示例表-访问控制控制基准优先控制号‐低中高访问控制P1AC‐1AC‐1AC‐1AC‐1访问控制策略及规程P1AC‐2‐2(1)(2)(3)(4)AC‐2(1)(2)(3)(4)AC‐2账户管理P1AC‐3AC‐3AC‐3AC‐3强制访问P1不选AC‐4‐4AC‐4信息流强制P1不选AC‐5AC‐5AC‐5分权设职P1不选AC‐6(1)(2)AC‐6(1)(2)AC‐6最小特权P2AC‐7‐7‐7AC‐7不成功的注册尝试P1AC‐8AC‐8AC‐8AC‐8系统用户通知单P0不选不选不选AC‐9以前登录(访问)通知单P2不选不选AC‐10AC‐10并发会话控制P3不选AC‐11AC‐11AC‐11会话锁定‐‐‐‐‐‐‐‐‐‐‐‐AC‐12会话终止(隐含:成为SC‐10的一部分)‐‐‐‐‐‐‐‐‐‐‐‐AC‐13监督与检查—访问控制(隐含:成为AC‐2,AU‐6的一部分)P1AC‐14AC‐14(1)AC‐14(1)AC‐14不附带鉴别与认证情况下允许的行动‐‐‐‐‐‐‐‐‐‐‐‐AC‐15自动标记(隐含:作为AC‐16的一部分)P0不选不选不选AC‐16安全属性P1AC‐17AC‐17(1)(2)(3)(4)AC‐17(1)(2)(3)(4)AC‐17远程访问(5)(10)(5)(6)(10)‐‐‐‐‐‐‐‐‐‐‐‐AC‐18无线接入限制(隐含:作为AC‐17的一部分)P1AC‐19AC‐19(1)(2)(3)AC‐19(1)(2)(3)AC‐19移动装置的访问控制P1AC‐20AC‐20(1)(2)AC‐20(1)(2)AC‐20外部信息系统的用户P0不选不选不选AC‐21基于协作和信息共享的用户P2AC‐22AC‐22AC‐22AC‐22可理解的内容
可选控制项描述示例-访问控制政策和规程族:访问控制类:技术AC –1 访问控制政策和规程控制:组织开发,宣传,检查/更新[作业:按组织定义的频度]:a:一个正式的,成文的访问控制政策,针对各组织实体的目的、范围、作用、职责、管理的承诺、协调和遵守;及b. 正式的,文件化规程,方便的实施访问控制政策和相关的访问控制。
参考指南:这是个控制,旨在产生访问控制族中,有效执行安全控制和控制的增强所必须的政策和规程。该政策和规程与适用的联邦法律、执行命令,指示,政策,法规,标准和指南相一致。访问控制策略,可包括作为组织的总体信息安全政策的一部分。访问控制规程,可以发展为总体的安全方案和需要时一个特定的信息系统方案。该组织的风险管理战略,是在访问控制策略发展的关键因素。相关的控制:PM-9。
可选控制项描述示例-AC -2帐户管理控制:组织管理信息系统,包括帐户:a:[作业:按组织定义的频度]帐户的类型(即个人,团体,系统,客户/匿名的,暂时的);b:建立组成员的条件;c:识别授权用户的信息系统和指定的访问权限;d:要求建立帐户的请求适当批准;e:建立,激活,修改,禁用和删除帐户;f:具体来说,授权和监督客人使用/不记名,临时帐户;
g:通知客户经理临时账户不再需要时,信息系统和用户被终止,转让,或信息系统的使用或need-to-know/need-to-share变化;h:停用不再需要和终止或转让按照组织政策与用户帐户的临时帐户;i:授权访问系统的基础上:(i)有效的访问授权;(ii)拟应用的系统,及(iii)其他属性,由该组织或相关任务/业务功能需要;及j:检查[作业:按组织定义的频度]。
参考指导:对授权用户的信息系统和规范的访问权限的识别与安全计划与其他的安全控制要求相一致。用户需要的信息系统管理权限的帐户收到批准这些特权访问帐户和负责组织官员额外的审查。相关控制:,,,,,,,,,,,,,,,,,,。
控制改进:(1)该组织采用自动化的机制来,支持帐户管理信息系统。(2)信息系统将自动终止临时和紧急情况的帐户[作业:按组织确定的时间为期限,对每个类型的帐户。](3 )信息系统的自动禁用不活动的账户[作业:组织确定的时间期限]。(4)信息系统自动审核帐户的创建、修改、禁用和终止行动,并根据需要,通知适当的个人。
(5)组织:(a)要求用户退出登录时[作业:组织确定的时间和期限预期闲置/或说明何时登出];(b)确定正常的天时和持续使用信息系统的帐户的时间;(c)监测信息系统账户非典型用法;(d)向指定组织的官员报告非典型用法。
(6)动态管理信息系统用户权限和相关的访问授权。增强参考指引:相对于传统的访问控制方法,采用了静态信息系统用户权限的帐户和预设集,许多面向服务架构的实现依赖于运行时动态访问控制权限管理决策提供便利。对正在进行的任务/业务需求和本组织的业务需要,用户权限可能更频繁的改变。随着时间的推移,用户身份保持相对恒定。
(7)本组织:(a)制定和管理权限到角色权限的用户帐户和网络按照一个角色的计划,组织信息系统的访问;及(b)跟踪和监控特权的角色分配。增强参考指南:特权角色包括,例如,密钥管理,网络和系统管理,数据库管理,网络管理。参考资料:无
NIST Special Publication 800-53A Revision 1评估联邦信息系统和组织中的安全控制构建有效的安全评估计划Guide for Assessing the Security Controls in Federal Information Systems and Organizations Building Effective Security Assessment Plans May 2010在系统开发生命周期中进附录A参考.行评估附录B词汇进行安全控制评估的战略附录C缩略语建设一支有效的保证案例附录D评估方法的描述评估程序附录E渗透测试准备安全控制评估开发安全评估计划附录F评定程序目录进行安全控制评估附录G安全评估报告分析安全评估报告结果附录H评审个案.
SP 800-53A 的目的和适用性目的是为建立有效的安全评估准则计划和一套完整的程序,以评估支持联邦政府的行政机构在信息系统中采用的安全控制的有效性。该指引适用于在特殊的安全控制出版物800-53(修订本)定义的联邦信息系统和组织推荐的安全控制。该指导方针已经制定,以帮助实现更安全的范围内信息系统联邦政府方式:
使安全控制的评估有更多一致性,可比性和可重复性;促进更具成本效益的安全控制评估,为测定整体控制的有效性作出贡献;促进对组织、资产、个人,其他组织和国家的行动造成的风险的认识,更好地组织运作。创建更加完整,可靠,对组织的官员和值得信赖的信息风险管理决策支持,互惠的评估结果,信息共享,和FISMA的遵守情况。
确定在本组织框架内实施的风险管理潜在的问题或不足;确定信息系统的弱点和缺陷;优先级降低风险的决定和相关的风险缓解活动;确认查明的弱点和系统的缺陷在信息得到了处理;支持连续监测活动和信息安全形势的认识;促进安全授权决定;及通知预算和资本投资决策过程。
评估规程评估规程包括一系列的评估目标,与一组相关的潜在评估方法和评估对象。一个评估目标包括一套根据有关评估报告确定的安全控制。确定陈述与安全控制满足相联系(即安全控制功能)来确保评审结果返回到基本控制要求的可追溯性。评估规程用于产生对一个安全控制的评估结果。这些评估反映的结果,或随后使用,以帮助确定整体安全控制的效果。
评估方法:评估方法:检查定义:在检查过程中,检查、审核、观察、研究,或分析一个或多个评估对象,以便于理解、取得、说明,或获取证据,用于支持安全控制的存在性、功能、正确性、完整以及与时俱进的潜能的决定。
检查评价对象:说明书(例如:政策,计划,程序,系统要求,设计)机制(例如:功能硬件实现,软件,固件)活动(例如:系统操作,管理,演练)属性:深度:检查过程中的严格程度和详细程度(基本,重点,全面)覆盖:检查的处所和对象类型的范围广度(基本,重点,全面)。
补充指南:典型的评估行动可能包括,例如:浏览信息安全政策,计划和规程;分析系统设计文档和接口规范;观测系统的备份操作,检讨应急计划工作的结果;观察事件响应活动;研究技术手册和用户/管理员指南;检查,研究或观察在信息系统中的信息技术硬件/软件机制的运作;或检查,研究或观察一个信息系统相关运行的具体的安全措施。
评估方法:访谈定义:以组织内部的个人或群体进行讨论的过程,以便于理解、获得澄清,或导致证据的发现,其结果是用于支持安全控制的存在性,功能性,正确性,完整性以及与时俱进的潜能的决定。
评价对象:个人或群体。属性:深度:访谈过程处理的严格程度和详细程度。(基本,重点,全面)。检查过程中的严格程度和详细程度(基本,重点,全面)覆盖:访谈过程被采访的人(按组织的作用和相关责任)的范围和种类(基本,重点,全面)。
补充指南:典型评的估行动可能包括,例如,面试机构领导,首席信息官,信息安全机构的高级人员,授权人员,信息业主,业主信息系统和使命,信息系统安全人员,信息系统安全管理人员,人事干事,人力资源管理人员,设施经理,培训人员,信息系统运营商,网络和系统管理员,网站管理员,具体的安全人员和用户。
评估方法:测试评价对象:机制(如硬件,软件,固件)活动(例如,系统操作、管理、演练)定义:在特定条件下操练一个或更多的评估对象来对比其实际与鱼香行为的过程,其测定结果用于支持安全控制的存在性,功能性,正确性,完整性和改进的潜力。
属性:深度:涉及要进行测试的类型。(基本测试,集中测试;全面的测试)。覆盖:涉及测试过程包括的范围、广度和类型,测试对象的数量(基本,重点,全面)
补充指南:典型评估行动可能包括,例如:测试访问控制、标示与鉴别以及审计机制,测试安全配置设置,测试物理访问控制设备,进行渗透性关键信息系统组件测试;检验信息系统的备份操作,测试事件响应能力,以及行使应急计划的能力。
评估执行技巧提示#1:在批准的安全计划以及其所包含评估中,只从附录F选择对应于安全控制和包括在增强功能的评估规程。提示#2:从附录F选定评估规程简单的示范程序。这些程序是经专门审查与节开发安全评估计划指南相符合的恰当的,并补充必要的,以适应具体的组织要求和操作环境。
提示#3:关于在附录F的评估规程,评估员只适用于那些需要程序,方法和对象有必要作出最后决定一个具体的安全控制目标是满意或不满意(见节)。提示#4:评估员适用于每一个方法的深度和覆盖范围的建议值要与信息系统和具体的特点相称。
评估规程示例AC-1访问控制策略和规程 评估对象:确定如果:(i)组织制定和正式文件的访问控制策略;(ii)组织的访问控制策略涉及:-目的;-范围;-角色和责任;-管理层的承诺;-组织实体之间的协调;及-遵守;
(iii)组织宣传的访问控制策略正式文件要件中,有组织内相关的访问控制的角色和责任;(iv)组织开发和正式成文的访问控制规程;(v)有关组织的访问控制规程,可方便的执行访问控制政策和相关的访问控制;及(vi)组织宣传的正式文件的访问控制规程要件中,有组织内相关的访问控制的角色和责任。
潜在的评估方法和对象:检查:[选择:访问控制的政策和规程;其他有关文件或记录]。专访:[选择:与访问控制责任相关的组织人员] 。
评估对象确定如果:(i)组织定义的访问控制政策审查/更新频度;(ii)按照组织定义的组织访问控制政策审查/更新频度;(iii)组织定义的访问控制规程审查/更新的频度;和(iv)按照组织定义的组织访问控制规程审查/更新的频率。
潜在的评估方法和对象:检查:[选择:访问控制政策和规程;其他有关文件或记录]。访谈:[选择:与访问控制责任相关的组织人员]。
NIST HANDBOOK 1502006 EDITION国家自愿实验室认可计划程序及一般规定2 LAP的建立发展和实施前言导言建立基地1一般信息技术要求的发展目的和范围组织手册宣布一个LAP的建立的描述增加或修改一个参考文献术语和定义终止一个的信息保密引用了NVLAP认可(见附件一) 相互承认位于美国以外的实验室的认可投诉
3认可过程4管理要求的评审初次认证申请表(见评审) 组织更新管理系统现场评估前活动文件控制现场评估审查的要求,投标书和合同能力验证分包的试验和校准认证决定采购服务和用品给予认可服务的客户重新评审投诉监测访问控制不合格测试和/或校准工作变更认可范围改进暂停认可纠正措施拒绝和撤销认证. 预防行动自愿终止评审记录的控制上诉内部审计管理审查
5技术要求评审一般人员设施和环境条件检测和校准方法和方法验证设备测量的可追溯性抽样测试的处理和项目校准保证测试和校准结果的质量结果的报告
NIST HANDBOOK 150-172008 Edition国家自愿实验室评审计划密码及安全测试以对150通则补充专业要求的方式形成对密码及安全测试实验室的具体要求
NIST SP800-39《Managing Risk from Information Systems An Organizational Perspective》2008年四月初发布声称此草案是FISMA 标准系列中的flagship document 文件等保从技术系统平台向组织和业务提升明确提出结合联邦业务体系框架(FEA)
提出全球供应链风险管理需求:全球供应链的现实呈现出重大的挑战,阻碍必须处理的伪造或恶意地设计的硬件和软件产品目的:努力实现更强壮的供应链防御,以减少IT和通信产品在进口到美国之前被对手利用的可能性,确信从国外市场进口的产品没有安装恶意硬件或软件实施:制定多方位的战略以减少在IT和通信产品生命周期的最适当阶段的风险
技术管理并重,追求自动化美国推动信息安全自动化计划一个计划:ISAP《Information Security Automation Program》Version Beta, Last Revised 5/22/2007是一个美国政府多个机构发起的使技术安全操作能够自动化标准化的计划目标:Automating Vulnerability Management, Security Measurement, and Compliance
一个方法:SCAP《Security Content Automation Protocol》Version Beta Last Revised 5/22/2007 是为使用明确的标准使漏洞管理、度量以及政策符合性评价(如FISMA)自动化的一种方法
SCAP的六个技术支柱currently leverages six (6) open standards Standard identifiers and dictionary Common Vulnerabilities for security vulnerabilities related to CVEand Exposuressoftware flawsStandard identifiers and dictionary Common Configuration for system configuration issues CCEEnumerationrelated to securityCommon Platform Standard identifiers and dictionary CPEEnumerationfor platform/product namingeXtensible Configuration Standard XML for specifying XCCDChecklist Description checklists and for reporting results of FFormatchecklist evaluationStandard XML for testing procedures for security related Open Vulnerability and software flaws, configuration issues, OVALAssessment Languageand patches as well as for reporting the results of the testsCommon Vulnerability Standard for conveying and scoring CVSSScoring Systemthe impact of vulnerabilities
一个要求:FDCC《Federal Desktop Core Configuration》2007年3月20日美国电子政务和信息技术办公室官员(Administrator, Office of E-Government and Information Technology)Karen Evans对首席信息官发布里了《使用通用安全配置管理安全风险》(Managing Security Risk By Using Common Security Configurations)的备忘录
SCAP 的确认和能力SCAP将用于IT安全产品的宽广范围配置扫描器,脆弱性扫描器,补丁检查,入侵检测系统,Malware 工具,资产数据库,漏洞库。特有12能力为FDCC 认证和监控的目的,机构和IT提供者必须获得SCAP 批准的FDCC 扫描器
SCAP的产品确认NIST不是推荐或强制产品NIST确认这个产品符合SCAP要求FDCC测试产品正确的执行SCAP产品对所有FDCC设置进行矫正扫描产品使用政府和微软公司扫描推荐了技术方法
要干什么FISMA 合规模型FISMA 法律制定的30,000 英尺高层, 普遍的, 信息安全要求联邦信息处理标准15,000 英尺FIPS 199: 信息系统安全分类FIPS 200: 最低信息安全要求管理层的技术层的运行层的5,000 英尺安全控制措施安全控制措施安全控制措施信息系统安全配置设置传递下去NIST, NSA, DISA, 厂商, 第三方(例如,CIS) 检查表和实施指南
ISO ISMS标准加快了步伐
ISMS家族
信息安全管理体系标准发布情况(ISO SC27 WG1)序号项目号标准名称所处阶段ISO/IEC 27000信息安全管理体系概述和术语已发布1ISO/IEC 27001信息安全管理体系要求已发布2ISO/IEC 27002信息安全管理实用规则已发布3ISO/IEC 27003信息安全管理体系实施指南已发布4ISO/IEC 27004信息安全管理测量已发布5ISO/IEC 27005信息安全风险管理已发布6信息安全管理体系审核和认证结ISO/IEC 27006已发布7构的要求ISO/IEC 27007信息安全管理体系审核指南CD8ISO/IEC 27008关于ISMS控制措施的审核指南WD9
10ISO/IEC 27010用于行业间通信的信息安全管理WD基于ISO/IEC 27002的电信组织11ISO/IEC 27011已发布的信息安全管理指南ISO/IEC 20000-1 and 12ISO/IEC 27013WDISO/IEC 27001整合的实现指南13ISO/IEC 27014信息安全治理框架WD用于金融和保险服务行业的信息14ISO/IEC 27015WD安全管理体系
信息安全服务与控制类标准发布情况(ISO SC27 WG4)序号项目号标准名称所处阶段ISO/IEC27031业务连续性的ICT就绪指南CD1ISO/IEC27032网际安全指南WD2
3ISO/IEC 27033-1网络安全第1部分:概述和术语FDIS网络安全第2部分:网络安全的设计4ISO/IEC 27033-2CD和实施指南网络安全第3部分:涉及的网络情景-5ISO/IEC 27033-3CD威胁、设计技术和控制主题网络安全第4部分:使用安全网关的6ISO/IEC 27033-4网间通信安全保护-威胁、设计技术和WD控制主题网络安全第5部分:使用虚拟专用网7ISO/IEC 27033-5的跨网通信安全保护-威胁、设计技术NP和控制主题网络安全第6部分:使用IP8ISO/IEC 27033-6Convergence的跨网通信安全保护-NP威胁、设计技术和控制主题网络安全第7部分:使用无线和无线9ISO/IEC 27033-7电的跨网通信安全保护-威胁、设计技NP术和控制主题
ISO/IEC27034-1应用安全第1部分:概述和术语CD10ISO/IEC27034-2应用安全第2部分:组织规范性WD11框架ISO/IEC27034-3应用安全第3部分:应用安全管NP12理过程ISO/IEC27034-4应用安全第4部分:应用安全验NP13证ISO/IEC27034-5应用安全第5部分:应用安全控NP14制数据架构和规程ISO/IEC27035信息安全事件管理CD15ISO/IEC27036外包安全指南WD16ISO/IEC27037数字证据的识别、收集、获取和WD17保存指南
ISO/IECTR14516可信第三方服务的使已发布18用和管理指南ISO/IEC15816访问控制的安全信息已发布19对象ISO/IEC15945支持数字签名应用的已发布20可信第三方服务规范ISO/IEC18043入侵检测系统的选择、已发布21部署和操作ISO/IEC24762信息和通信技术灾难已发布22恢复服务指南ISO/IECTR29149关于提供时间戳服务WD23的最佳实践
小结我们正在考虑新时期信息安全保障的战略和工作部署信息系统安全等级保护进入建设整改和评估检查阶段他山之石,可资借鉴信息安全保障的科学的可持续发展有待大家的努力。思考,思考,再思考。行动,行动,再行动。
敬请各位领导指导
