2.2　信息安全体系

本节将介绍信息安全体系结构、信息安全管理体系、信息安全测评认证体系和信息安全研究体系。

2.2.1　信息安全体系结构

ISO 7498标准是目前国际上普遍遵循的计算机信息系统互连标准，1989年12月ISO颁布了该标准的第二部分，即ISO 7498－2标准，并首次确定了开放系统互连（OSI）参考模型的信息安全体系结构。我国将其作为国家标准，并予以执行。下面就来详细介绍ISO 7498标准，其中包括了五大类安全服务以及提供这些服务所需要的八大类安全机制。

1．安全服务

安全服务是由参与通信的开放系统的某一层所提供的服务，它确保了该系统或数据传输具有足够的安全性。ISO 7498－2确定了五大类安全服务，即鉴别、访问控制、数据保密性、数据完整性和不可否认。

（1）鉴别。这种安全服务可以鉴别参与通信的对等实体和数据源，包括对等实体鉴别和数据源鉴别。

（2）访问控制。这种安全服务提供的保护，能够防止未经授权而利用通过OSI可访问的资源。这些资源可能是通过OSI协议可访问的OSI资源或非OSI资源。这种安全服务可用于对某个资源的各类访问（通信资源的利用，信息资源的阅读、书写或删除，处理资源的执行等）或用于对某个资源的所有访问。

（3）数据保密性。这种安全服务能够提供保护，以防止数据未经授权而泄露，包括连接保密性、无连接保密性、选择字段保密性和业务流保密性。

（4）数据完整性。这种安全服务用于对付主动威胁，包括带恢复的连接完整性、不带恢复的连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性。

（5）不可否认。其包括带数据源证明的不可否认和带递交证明的不可否认。

2．安全机制

ISO 7498－2确定了八大类安全机制，即加密、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务填充机制、路由控制机制和公证机制。

（1）加密。其包括保密性、加密算法和密钥管理几个部分。

（2）数字签名机制。这种安全机制决定于两个过程，即对数据单元签名和验证已签名的数据单元。第一个过程可以利用签名者私有的（即独有和保密的）信息，第二个过程则要利用公之于众的规程和信息，但通过它们并不能推出签名者的私有信息。

（3）访问控制机制。确定访问权，建立多个限制手段，访问控制在数据源或任何中间点用于确定发信者是否被授权与收信者进行通信，或被授权可以利用所需要的通信资源。

（4）数据完整性机制。一是数据完整性机制的两个方面，即单个的数据单元或字段的完整性以及数据单元串或字段串的完整性；二是确定单个数据单元的完整性；三是编序形式；四是保护形式。

（5）鉴别交换机制。这种安全机制是通过信息交换以确保实体身份的一种机制。

（6）业务填充机制。这是一种制造假的通信实例、产生欺骗性数据单元或在数据单元中产生假数据的安全机制。该机制可用于提供对各种等级的保护，以防止业务分析。该机制只有在业务填充受到保密性服务保护时才有效。

（7）路由控制机制。其包括路由选择、路由连接和安全策略。

（8）公证机制。保证由第三方公证人提供，公证人能够得到通信实体的信任，而且可以掌握按照某种可证实方式提供所需保证的必要信息。每个通信场合都可以利用数字签名、加密和完整性机制以适应公证人所提供的服务。在用到这样一个公证机制时，数据便经由受保护的通信场合和公证人在通信实体之间进行传送。

2.2.2　信息安全管理体系

信息安全的建设是一个系统工程，它需要对整个网络中的各个环节进行统一的综合考虑，规划和构架，并要时时兼顾组织内不断发生的变化。任何单个环节上的安全缺陷都会对系统的整体安全构成威胁。据权威机构统计表明，信息安全事件中有70%以上的问题都是由管理方面的原因造成的，这正应了人们常说的“三分技术，七分管理”的箴言。

信息安全＝信息安全技术＋信息安全管理体系

1995年ISO制定了《信息安全管理体系标准》，2000年12月国际标准化组织将其第一部分正式转化为国际标准。该标准提供了127种安全控制指南，并对计算机网络与信息安全的控制措施做出了详尽的描述。具体说来，该标准的内容主要包括信息安全政策、信息安全组织、信息资产分类与管理、个人信息安全、物理和环境安全、通信和操作安全管理、存取控制、信息系统的开发和维护、持续运营管理等。

1．建立信息安全管理框架

信息安全管理框架的搭建必须按照下面的程序来进行：

①定义信息安全政策。

②定义信息安全管理体系的范围。

③进行信息安全风险评估。

④信息安全风险管理。

⑤确定管制目标和选择管制措施。

⑥准备信息安全适用性声明。

2．具体实施构架的信息安全管理

信息安全管理体系管理框架的建设只是建设信息安全管理体系的第一步。在具体实施信息安全管理体系的过程中，还必须充分考虑其他方方面面的因素，如实施的各项费用因素、与组织员工原有工作习惯的冲突、不同部门／机构之间在实施过程中的相互协作问题等。

3．在信息安全管理体系基础上建立相关的文档

在信息安全管理体系建设和实施的过程中，还必须建立起各种相关的文档、文件，如信息安全管理体系管理范围中所规定的文档内容、对管理框架的总结、在信息安全管理体系管理范围内规定的管制采取过程、信息安全管理体系管理和具体操作过程等。文档可以以各种形式保存，但必须划分为不同的等级或类型。同时，为了今后信息安全认证工作的顺利进行，文档还必须能够非常容易地被指定的第三方访问和理解。

4．安全事件的记录和反馈

必须对实施信息安全管理体系（ISMS）过程中发生的各种与信息安全有关的事件进行全面记录。安全事件的记录对高效实现ISMS具有很重要的作用，它为组织进行信息安全政策的定义、安全管制措施的选择等修正提供了现实的依据。安全事件记录还必须清晰，并进行适当保存以及加以维护，使得当记录被破坏、损坏或丢失时能够容易地挽救。

2.2.3　信息安全测评认证体系

1．信息安全性的度量标准

信息技术安全性评估通用准则，通常简称为通用准则（CC），它是评估信息技术产品和系统安全特性的基础准则。此标准是现阶段最完善的信息技术安全性评估标准，我国也将采用这一标准对产品、系统和系统方案进行测试、评估和认可。通用准则内容分为3部分：第1部分是“简介和一般模型”；第2部分是“安全功能要求”；第3部分是“安全保证要求”。

2．国际测评认证体系的发展

1995年，CC项目组成立了代国际互认工作组，该工作组于1997年制定了过渡性CC互认协定。同年10月，美国的NSA和NIST、加拿大的CSE以及英国的CESG签署了该协定。1998年5月德国的GISA、法国的SCSSI也签署了此协定。由于当时是依照了CC1.0版，因此互认的范围也就限于评估保证级1～3。

1999年10月澳大利亚和新西兰的DSD也加入了CC互认协定。此时互认范围已发展为评估保证级1～4，但证书发放机构还限于政府机构。

2000年，荷兰、西班牙、意大利、挪威、芬兰、瑞典和希腊等国也加入了该互认协定，日本、韩国、以色列等国也正在积极准备加入此协定。目前的证书发放机构已不再限于政府机构，非政府的认证机构也可以加入此协定，但必须有政府机构的参与或授权。

3．组织结构

从目前已建立的CC信息安全测评认证体系的有关国家来看，每个国家都具有自己的国家信息安全测评认证体系，而且基本上都成立了专门的信息安全测评认证机构，并由认证机构管理通过了实验室认可的多个CC评估／测试实验室，认证机构一般受国家安全或情报部门和国家标准化部门控制。归纳起来，常见的组织结构如图2-1所示。在这样的组织结构中，认证机构在国家安全主管部门的监管和国家技术监督主管部门的认可／授权下，负责对安全产品实施评估和认证，并颁发认证证书。认证机构作为公正的第三方，它的存在对于规范信息安全市场、强化产品生产者和使用者的安全意识都将起到积极的作用。

4．信息安全测评认证体系

目前，基于CC的信息安全测评认证体系如图2-2所示。

5．中国信息安全测评认证体系

2002年4月3日，国家信息安全测评认证体系工作组成立暨第一次工作会议在北京召开，16个部门的专家和领导参加了会议。这标志着国家信息安全认证体系的建立。随后，研究小组的成员讨论并初步确定了国家信息安全认证体系框架初稿。

中国国家信息安全测评认证中心是经国家授权，依据国家认证的法律、法规和信息安全管理的政策，并按照国际通用准则建立的中立技术机构。它代表国家对信息技术、信息系统、信息安全产品以及信息安全服务的安全性实施测试、评估和认证，为社会提供相关的技术服务，为政府有关主管部门的信息安全行政管理和行政执法提供必要的技术支持。“中华人民共和国国家信息安全证”是国家对信息安全技术、产品或系统安全质量的最高认可。中国国家信息安全测评认证中心开展4种认证业务，即产品型号认证、产品认证、信息系统安全认证及信息安全服务认证。

2.2.4　信息安全研究体系

信息安全领域人们所关注的焦点主要有以下几个方面，即密码理论与技术、安全协议理论与技术、安全体系结构理论与技术、信息对抗理论与技术以及网络安全与安全产品。

1．密码理论与技术研究

密码理论与技术主要包括两部分，即基于数学的密码理论与技术（包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等）和非数学的密码理论与技术（包括信息隐形、量子密码、基于生物特征的识别理论与技术）。

2．安全协议理论与技术研究

安全协议研究主要包括两方面内容，即安全协议的安全性分析方法研究和各种实用安全协议的设计与分析研究。安全协议的安全性分析方法主要有两类：一类是攻击检验方法；另一类是形式化分析方法。其中形式化分析是安全协议研究中最关键的研究问题之一。

3．安全体系结构理论与技术研究

安全体系结构理论与技术主要包括：安全体系模型的建立及其形式化描述与分析，安全策略和机制的研究，检验和评估系统安全性的科学方法和准则的建立，符合这些模型、策略和准则系统的研制（如安全操作系统、安全数据库系统等）。

4．信息对抗理论与技术研究

信息对抗理论与技术主要包括黑客防范体系、信息伪装理论与技术、信息分析与监控、入侵检测原理与技术、反击方法、应急响应系统、计算机病毒、人工免疫系统在反病毒和抗入侵系统中的应用等。

5．网络安全与安全产品研究

网络安全是信息安全中的重要研究内容之一，也是当前信息安全领域中的研究热点。研究内容包括网络安全整体解决方案的设计与分析、网络安全产品的研发等。网络安全包括物理安全和逻辑安全。物理安全指网络系统中各通信、计算机设备及相关设施的物理保护，免于破坏、丢失等。逻辑安全包含信息完整性、保密性、非否认性和可用性。它涉及网络、操作系统、数据库、应用系统、人员管理等方面。