信息安全評(píng)估

1、信息安全評(píng)估信息安全評(píng)估基本問(wèn)題信息安全評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段， 系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅以及存在的脆弱性，評(píng)估安 全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防 護(hù)對(duì)策和整改措施。并為防范和化解信息安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制 在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)和信息安全提供科學(xué)依 據(jù)。信息安全評(píng)估作為信息安全保障工作的基礎(chǔ)性工作和重要環(huán) 節(jié)，應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過(guò)程。在網(wǎng)絡(luò)與信息系統(tǒng) 的設(shè)計(jì)、驗(yàn)收及運(yùn)行維護(hù)階段均應(yīng)當(dāng)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。信息安全風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全工程的重要組成部分，是建 立信息系統(tǒng)安全體系的基礎(chǔ)和前提。信息

2、安全評(píng)估標(biāo)準(zhǔn)簡(jiǎn)述安全評(píng)估需要目標(biāo)及良好定義的評(píng)估標(biāo)準(zhǔn)和方法，目前已有若 干個(gè)國(guó)際上認(rèn)可的該類標(biāo)準(zhǔn)和方法。美國(guó)是最早進(jìn)行IT安全評(píng)估標(biāo) 準(zhǔn)開(kāi)發(fā)工作的國(guó)家，如今這項(xiàng)工作已經(jīng)成為一項(xiàng)世界性的工作。為提高我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)水平，1999年國(guó)家質(zhì)量技 術(shù)監(jiān)督局參照美國(guó)的TCSEC及TNI發(fā)布了國(guó)家標(biāo)準(zhǔn)GB17859-1999計(jì) 算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則，它是建立安全等級(jí)保護(hù)制度、實(shí) 施安全等級(jí)管理的重要基礎(chǔ)性標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)是我國(guó)計(jì)算機(jī)信息系統(tǒng)保 護(hù)等級(jí)系列標(biāo)準(zhǔn)的第一部分，其他數(shù)十個(gè)相關(guān)標(biāo)準(zhǔn)的制定工作還在緊 張進(jìn)行。自從CC1.0版公布后，我國(guó)相關(guān)部門(mén)就一直密切關(guān)注著它的 發(fā)展情況，并對(duì)該版本做

3、了大量的研究工作。2001年，國(guó)家質(zhì)量技 術(shù)監(jiān)督局正式頒布了援引CC的國(guó)家標(biāo)準(zhǔn)GB/T18336-2001信息技術(shù) 安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則下面介紹幾種國(guó)際上認(rèn)可的信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)。（1）可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）1983年美國(guó)國(guó)防部首次公布了可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）用于對(duì)操作系統(tǒng)的評(píng)估，這是IT歷史上的第一個(gè)安全評(píng)估 標(biāo)準(zhǔn)，1985年公布了第二版。TCSEC為業(yè)界所熟知的名字是“橘皮 書(shū)”。為了針對(duì)網(wǎng)絡(luò)、安全系統(tǒng)和數(shù)據(jù)庫(kù)具體情況來(lái)應(yīng)用橘皮書(shū)準(zhǔn)則， 美國(guó)國(guó)防部計(jì)算機(jī)安全評(píng)估中心又制定并出版了三個(gè)解釋性檔：可 信網(wǎng)絡(luò)解釋、計(jì)算機(jī)安全子系統(tǒng)解釋和可信數(shù)據(jù)庫(kù)解釋，這

4、三個(gè)解釋性檔和橘皮書(shū)被合稱為美國(guó)計(jì)算機(jī)系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)彩虹 系列。（2）信息技術(shù)安全性評(píng)估準(zhǔn)則（ITSEC）信息技術(shù)安全性評(píng)估準(zhǔn)則（ITSEC）是英國(guó)、德國(guó)、法國(guó)和荷 蘭四個(gè)歐洲國(guó)家安全評(píng)估標(biāo)準(zhǔn)的統(tǒng)一與擴(kuò)展，由歐共體委員會(huì)（CEC） 在1990年首度公布。ITSEC的目標(biāo)在于成為國(guó)家認(rèn)證機(jī)構(gòu)所進(jìn)行的 認(rèn)證活動(dòng)的一致基準(zhǔn)，并使評(píng)估結(jié)果相互承認(rèn)。自1991年7月起， ITSEC一直被實(shí)際應(yīng)用在歐洲國(guó)家的評(píng)估和認(rèn)證方案中。（3）可信網(wǎng)絡(luò)解釋（TNI）美國(guó)國(guó)防部計(jì)算機(jī)安全評(píng)估中心在完成TCSEC的基礎(chǔ)上，又組 織專門(mén)的研究組對(duì)可信網(wǎng)絡(luò)安全評(píng)估進(jìn)行研究，并于1987年發(fā)布了 以TCSEC為基礎(chǔ)的可信網(wǎng)絡(luò)解釋，即TNI。TN1 包括兩部分（Parti 和 PartII）及三個(gè)附錄（APPENDIXA、B、C）0TNI 第一部分提供了在網(wǎng)絡(luò)作為一個(gè)單一系統(tǒng)進(jìn)行評(píng)估時(shí)TCSEC中各個(gè) 等級(jí)（從1類八類）的解釋。第二部分以附加安全服務(wù)的形式提出 了在網(wǎng)絡(luò)互聯(lián)時(shí)出現(xiàn)的一些附加要求，這些要求主要是針對(duì)完整性、 可用性和保密性的。TNI的附錄A是第一部分的擴(kuò)展，主要是關(guān)于網(wǎng) 絡(luò)