什么是信息网络?
标准对于任何一个产业来说都是至关重要的,因为没有规矩,何来方圆?对于方兴未艾的信息安全产业来说,同样如此。对广大产品供应商来说,生产符合标准的信息安全产品、参与信息安全标准的制定、通过相关的信息安全方面的认证,对于提高厂商形象、扩大市场份额具有重要意义;对用户而言,了解产品标准有助于选择更好的安全产品,了解评测标准则可以科学地评估系统的安全性,了解安全管理标准则以建立实施信息安全管理体系;对普通技术人员来讲,了解信息安全标准的动态,可以站在信息安全产业的前沿,有助于把握信息安全产业整体的发展方向。在这里,我们就想通过以下这组文章对当今网络安全界最权威的五个标准CVE 、CC/ISO 15408、SSE-CMM、BS7799、ISO13335,从信息安全的三方面——互操作性标准、技术与工程标准、网络与信息安全管理标准做一简要介绍,来帮助大家有个基础的了解。
原动力催生安全标准
网络与信息安全的标准,是在如下一些“原动力”的作用下发展起来的。
安全产品间互操作性的需要。加密与解密、签名与认证、网络之间安全的互连互通等等,都需要来自不同厂商的产品能够顺利地进行互操作,共同实现一个完整的安全功能。这种需求导致了最初一批网络信息安全标准的诞生,它们是以“算法”、“协议”或者“接口”的面目出现的。比如著名的对称加密算法DES的英文全称就是“数据加密标准”。
对安全等级认定的需要。人们不可能百分之百地听信厂家说自己有哪些安全功能,大多数用户自己又不是安全专家,于是就需要一批用户信得过的、恪守中立的安全专家,对安全产品的安全功能和性能进行认定。经过总结提炼,就形成了一些“安全等级”,每个安全等级在安全功能和性能上有特定的严格定义,对应着一系列可操作的测评认证手段。这些用客观的、可操作的手段定义的安全等级,使得安全产品的评测认定走向科学的正轨。
对服务商能力进行衡量的需要。随着网络信息安全逐渐成长为一个产业,安全等级认定的弱点——周期长、代价高就逐步暴露了出来。于是,除了对“蛋”(安全产品)的等级进行认定以外,人们想到了通过对下蛋的“鸡”(安全服务商)等级的认定来间接地对“蛋”进行认定。这样,使得以产品提供商和工程承包商为评测对象的标准大行其道,同以产品或系统为测评认证对象的测评认证标准形成了互补的格局。网络的普及,使以网络为平台的网络信息服务企业和使用网络作为基础平台传递工作信息的企业,比如金融、证券、保险和各种类型的电子商务企业纷纷重视安全问题。因此,针对使用网络和信息系统开展服务的企业的信息安全管理标准应运而生。
现行主要的三种安全标准
综上所述,目前国际上通行的与网络和信息安全有关的标准,大致可分成三类:
互操作标准
比如, 对称加密标准DES、3DES、 IDEA以及被普遍看好的AES; 非对称加密标准RSA; VPN标准IPSec;传输层加密标准SSL;安全电子邮件标准S-MIME; 安全电子交易标准SET;通用脆弱性描述标准CVE。这些都是经过一个自发的选择过程后被普遍采用的算法和协议,也就是所谓的“事实标准”。
技术与工程标准
比如,信息产品通用测评准则(CC/ISO 15408); 安全系统工程能力成熟度模型(SSE-CMM)。
网络与信息安全管理标准
比如,信息安全管理体系标准(BS 7799,正在争取成为ISO 17799的进程之中);信息安全管理标准(ISO 13335)。
以开放原则推进安全标准
首先,我认为信息产品之间的互操作是大势所趋。在涉及到安全的问题上,对互操作的趋势产生抵触和警惕是可以理解的,但是不遵守互操作的游戏规则,最后吃亏的只能是我们自己
其次,我认为安全产品的等级认定标准在中国已经基本具备了推广的条件。长期以来,我国对安全产品的认证采取的是“检查是否有厂家声称的功能”而不是“检查是否有标准规定的某个安全级别的功能”,这样不利于对产品进行客观的测评,也不利于用户按照正确的方式理解测评的结果。为了实现从前者到后者的转变,有关部门做了大量的工作,积累了足够的基础,用户对等级认证也已经有了初步的认识。在这样的条件下,加大力度推广等级认
|