本站小編為你精心準備了信息安全研究進展綜述參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

引言

隨著全球信息化水平的日益提高，各國政府建立和加強國家信息安全保障體系的工作步伐不斷加快。國家信息安全保障體系的落實，既需要信息技術支持，更需要管理技術支撐，而信息安全管理體系是信息安全保障體系中不可或缺的重要組成部分。2003年9月中共中央辦公廳、國務院辦公廳轉發的《國家信息化領導小組關于加強信息安全保障工作的意見》（簡稱27號文），就明確提出了“立足國情，以我為主，堅持技術管理并重”的信息安全管理方針。技術和管理并重，是信息安全保障工作的基本要求[1]。

1國際標準化組織（ISO）安全管理標準研發步伐加快[2]

近年來，ISO高度重視信息安全管理體系標準的研究和制定，為加速推進有關信息安全管理標準的制定工作，2006年在西班牙召開的ISO/IECJTC1/SC27工作組會議上，在原來設立的三個工作組的基礎上增設了兩個工作組，五個工作組中WG1和WG4兩個工作組的任務均與信息安全管理標準有關。WG1的工作任務調整為專門開發信息安全管理體系(ISMS)的標準與指南，WG4則從事控制措施的實現及應用服務的安全管理標準和指南的開發。西班牙會議后，WG1和WG4分別加快了標準制定的進度。為引起關注與重視，兩個工作組所制定的標準的編號均列入270XX序列。

我國作為ISO/IECJTC1/SC27成員國，參與了ISMS國際標準的制定和研討。我國選擇了信息安全審核和安全事件分級分類作為參與國際合作的切入點，得到了認可，并成為相關國際標準的編輯者。

WG1已經逐步理清了ISOSC27WG1ISMS標準體系和路線圖（如圖1）。

ISMS具有如下特點：（1）基于一個組織；（2）目標是體系化建設（；3）立足于風險管理思想；（4）貫穿了“規劃-實施-檢查-處置”（PDCA）持續改進的過程和活動；（5）根據組織自身的任務和應對安全風險需求來選擇安全控制措施；（6）通過安全控制的測度和審核來檢查信息安全技術和管理運用的合規性。

目前為止，WG1圍繞信息安全管理體系（ISMS）的國際標準的研究編制內容已確定了14個。其中，8個已，分別為：

-ISO/IEC27000《信息安全管理體系概述和術語》

-ISO/IEC27001《信息安全管理體系要求》

-ISO/IEC27002《信息安全管理實用規則》

-ISO/IEC27003《信息安全管理體系實施指南》

-ISO/IEC27004《信息安全管理測量》

-ISO/IEC27005《信息安全風險管理》

-ISO/IEC27006《信息安全管理體系審核和認證機構的要求》

-ISO/IEC27011《基于ISO/IEC27002的電信組織的信息安全管理指南》

2美國聯邦信息安全管理法（FISMA）的實施和改進

2002年美國頒布《聯邦信息安全管理法案》（FISMA），旨在通過采取適當的安全控制措施，達到保障聯邦機構的信息系統安全的目標。為此，FISMA專門指定美國國家標準與技術研究所（NIST）負責開展信息安全標準、指導方針的制

定工作。

2.1信息系統安全建設和安全管理

2003年以來，NIST根據FISMA的要求，原定分三階段開展工作：

1）第一階段：標準和準則的制定（2003—2008）

NIST已基本完成這一階段任務，形成了一套全面權威的信息安全保障體系和標準體系。

2）第二階段：組織認證計劃（2007—2010）

NIST在這一階段的主要任務是依據標準形成能力、提供服務、進行評估、給出憑據。NIST提出了三種能力和服務給出憑據：基于客戶的憑據、來自公眾領域和私人領域的憑據以及來自政府發動的憑據。

3）第三階段：安全工具驗證計劃

NIST原定從2008年到2009年開展第三階段工作，著重解決安全工具的驗證認可，以發揮IT技術在IT安全中的自動化的效率和效益。

目前，NIST根據實際進展情況，已將第三階段納入第二階段，使用現有的IT產品測試，評價和審定程序。

FISMA規定，聯邦信息處理標準（FIPS）對聯邦機構具有強制性和約束力，因此，各機構不得放棄其使用。特別出版物（SP）作為建議和指南文本由NIST發行，除國家安全計劃和系統外，其他聯邦各機構必須在FIPS中遵循NIST的這些特別出版物規定的要求。其他與安全有關的出版物，包括跨部門的報告（NISTIR）和信息技術實驗室（ITL）公告，提供了技術和NIST的其他有關活動信息。這些出版物只有在由OMB說明后是強制性的規定。對于NIST安全標準和指南遵循的既定時間表由OBM在其政策、指示或備忘錄中確定（例如FISMA年度報告指南）。

2.2信息系統風險管理框架

在已經實施完成的第一階段，NIST制定了如下的具體標準和指南：

-FIPS199《美國聯邦信息和信息系統安全分類標準》（已完成）

-FIPS200《聯邦信息和信息系統的最低安全要求》（已完成）

-SP800-18《開發聯邦信息系統和組織的安全計劃指南》（已完成）

-SP800-30版本1，《實施風險評估指南》

-SP800-37版本1，《對聯邦信息系統運用風險管理框架指南：安全生命周期方法》（已完成）

-SP800-39《業務范圍的風險管理：組織，任務和信息系統的視圖》

-SP800-53版本3，《推薦的聯邦信息系統和組織的安全控制》（已完成）

-SP800-53A版本1，《聯邦信息系統和組織安全控制評估指南》

-SP800-59《確定一個信息系統作為國家安全系統的指南》（已完成）

-SP800-60：修訂1，《信息和信息系統安全分類映射類型指南》

-SP800-XX：《信息系統安全工程指南》

-SP800-yy：《軟件應用安全指南》

SP800-53版本3為聯邦信息系統和組織提供了涉及管理、運行和技術三個大類，含十八個族以應對低、中、高風險的基線安全控制措施，共計207項。

2008年4月頒布的SP800-39《來自一個組織視野的信息系統風險管理》，聲稱此草案是FISMA標準系列中的旗艦性文件（flagshipdocument），把風險的管理層次提高了，標志著美國信息安全等級保護從技術系統平臺向組織和業務提升，文件明確提出結合聯邦業務體系框架（FEA），并明確提出要關注供應鏈的安全問題。

他們將這一套標準成為風險管理框架，這套標準體系與聯邦信息系統安全的認證認可的工作體系形成了緊密關聯的映射。如圖2所示

聯邦信息系統認證認可的工作步驟最初劃分為八個步驟。分別為：信息系統的分類（相當于我們的系統定級）；安全控制措施的選擇；選擇的安全控制措施的細化；選擇的安全控制措施的文檔化；安全控制措施的實施；安全控制措施的評估（認證）；系統的認可；持續監控。圖2外圍標注了該工作步驟所依據的上述標準和指南。

目前版本的SP800-37對風險管理框架進行了改進，整個工作由原來的8個步驟改為如圖3所示的6個步驟：NIST圍繞風險管理框架編寫了常用問題解答（FAQ）和快速啟動指南（QuickStartGuides，QSGs），這些FAQs和OSGs文檔將和NISTSP系列標準、FIPS標準一起指導風險管理框架6步驟的具體實施。

2.2.1風險管理框架的特點

NIST將上述標準體系稱為認證認可的風險管理框架，該框架具有如下特點：

1）創立實時的風險管理的概念，并通過實施強有力的連續監測過程推動信息系統的授權；2）鼓勵使用自動化操作來向高級領導人提供必要的信息，產生成本效益，以關注組織的信息系統支持的核心任務和業務職能進行基于風險的決策；3）將信息安全結合到業務安全體系結構和系統開發的生命周期；4）規定強調安全控制的選擇、實施、評估、監測和信息系統的授權；5）在信息系統一級結合風險管理的過程，在組織一級行使風險管理的責任；6）為組織的信息系統安全控制的部署建立責任制和問責制，并使這些制度得到傳承。

2.2.2遞升的風險管理方法

在NIST的SP800-37中，給出了如圖4所示的遞升的風險管理方法。

該圖提出了一個觀點：要從一個組織的戰略風險和戰術兩個方面來進行風險管理。可以把一個組織關注的信息安全問題展開為三個階梯。第一階梯是組織，要通過安全治理來解決信息安全問題；第二階梯是使命和業務過程，體現在信息和信息流；第三個階梯是信息系統，體現為信息的運行環境。如圖中箭頭所示，越向上（階梯1）越體現為戰略風險，越向下（階梯3）越體現為戰術風險。

以這個觀點來看我國目前進行的信息系統安全等級保護工作，主要關注的是信息系統（含信息）的安全，而對使命和業務過程以及組織的信息安全強調不夠。從某種程度來看，我們重視了戰術風險，而對戰略風險的關注度有所欠缺。

2.3對測試實驗室能力的要求

FISMA第二階段的工作目標是形成能力，開展服務，為安全評估者提供評估的憑據。為約束信息安全測評機構，確保信息安全實驗室具備為聯邦相關機構的信息系統進行測評的服務能力進行規范性的測評服務。2006年，NIST推出了HANDBOOK150，為自愿申請成為國家實驗室的單位提出了規范性通用要求，明確了自愿成為國家實驗室的認可計劃、程序及一般規定，用以考核國家級實驗室的能力和服務水平。2008年推出的NISTHANDBOOK150-17從自愿成為國家實驗室評審計劃、密碼及安全測試方面提出了補充要求。

2.4美國推動信息安全自動化計劃

2007年5月，NIST提出信息安全自動化計劃（ISAP），旨在讓漏洞的管理和安全測試及符合性能夠自動化起來；同時，推出配套的姊妹篇——安全內容自動化協議（SCAP），它通過明確的、標準化的模式使漏洞管理、安全監測和政策符合性與FISMA的要求一致。此外，NIST還提出聯邦桌面系統核心配置（FDCC）的規范要求（現在又改稱其為美國政府配置基線（USGCB）），專門對Windows系統主機的安全漏洞和安全配置進行檢查。為達到認證和監控的目的，機構和IT提供者必須獲得SCAP批準的FDCC掃描器并進行自動化檢查。ISAP計劃、SCAP方法和FDCC要求把漏洞管理、資產管理、補丁管理、配置管理綜合起來，以CVE、CCE、CPE、XCCDF、OVAL、CVSS等六個技術支柱，研究開發配置掃描器、脆弱性掃描器、補丁檢查、入侵檢測系統、Malware工具、資產數據庫、漏洞庫等等工具，形成12種特有的能力，使其得以自動或半自動執行。信息安全保障的最高要求是對法律法規的符合性，NIST用如下模型來形象地闡述對FISMA的符合性。圖5FISMA合規模型

3我國信息安全管理標準現狀[3]

國家的有關信息安全管理規范和技術標準是進行等級保護工作的科學依據。為落實27號文件有關精神，全國信息安全標準化技術委員會成立后，隨即成立第七工作組（WG7）負責信息安全管理類標準研究與制定，并制定和引進了一批重要的信息安全管理標準?！秶倚畔踩珮藴驶笆晃濉币巹潯贩治隽宋覈畔踩珮藴驶ぷ髑闆r與面臨的形勢，要求重點關注下列管理類標準的制定：政府監管標準；信息安全管理體系標準；信息安全服務標準；事件處理與應急災備有關標準以及信息安全管理體系標準。

目前，WG7在信息安全管理標準方面取得了一定的進展：通過研究，決定我國信息安全管理體系標準等同采用ISMS；配合信息安全等級保護體系制定了管理要求，正在制定管理評估規范；自主制定了事件處理與應急災備的相關標準；政府監管類標準和安全服務類的標準也在積極研究過程中。在信息安全管理體系標準方面，已經了14項標準，如：

-GB/T19715.1-2005信息技術信息技術安全管理指南第1部分：信息技術安全概念和模型

-GB/T19715.2-2005信息技術信息技術安全管理指南第2部分：管理和規劃信息技術安全

-GB/T19716-2005信息技術信息安全管理實用規則

-GB/T20269-2006信息安全技術信息系統安全管理要求

-GB/T20282-2006信息安全技術信息系統安全工程管理要求

-GB/T20984-2007信息系統安全風險評估指南

-GB/T20988-2007信息系統災難恢復指南

-GB/T20986-2007信息安全事件分類指南

-GB/T20985-2007信息安全事件管理

-GB/T22080-2008信息安全管理體系要求

-GB/T22081-2008信息安全管理實用規則

-GB/Z24364-2009信息安全風險管理指南

-GB/Z24294-2009基于互聯網的電子政務信息安全實施指南

-GB/T24363-2009信息安全應急響應計劃規范

4信息安全保障概念的幾個新提法

眾所周知，對信息安全的認識，經歷了如圖6圖所示的從保密、保護到保障的認識過程。

美國國家安全局負責信息保障的官員丹尼爾.沃爾夫在RSA年會上提出了對信息安全面臨的下一個階段的看法(如圖7所示)。在丹尼爾沃爾夫看來，美軍的信息化應用不是基于國際互聯網這一張大網，全球駐軍的格局和作戰任務使其要利用根據作戰任務需要臨時形成的全球網格（GIG），以支持其網絡中心戰法。因此，需要從信息保障（IA）發展到有保障的共享（AssuedSharing）。在有保障的共享目標下，保密原則也需要從傳統的“需則可知”（NeedtoKnow）發展到“需則共享”（NeedtoShare）。這個觀點強化了信息化時代保密工作的積極性，不僅要消極的保，更應該在根據任務要求實現授權信息共享的前提下實現信息保密。

2009年的RSA年會上，美國國防部的一位官員又提出了一個對信息安全的報告。該報告認為，信息化的發展，開拓了人類生存的新疆域-網際空間（SyberSpace）。這個新空間和傳統的陸、海、空、天的互依賴、互影響關系是全面相關、全局影響的。信息安全的內涵可以看成在網際空間這樣一個新的時空中，人類活動產生了大量的信息內容和信息服務，要保障信息安全就需要管理身份，使授權者可以享用這些信息和服務（概括為CIIA）。信息安全的外延和信息保障（IA）的概念比較起來有更實質的變化。IA被看成是一種IT服務，是另外分配的任務，他利用檢查表，運用技術手段，管理著技術漏洞，評價商業定制產品，形成了煙筒式的防護。而CIIA則是不可或缺的任務，是領導的責任，要貫穿生命周期全過程來管理風險，要結合使命的需要和系統保障，運用劍與盾的最佳結合與入侵者決戰。這些觀點和最近美國組建網絡司令部，任命四星上將為其司令，組建網絡戰的實體部隊，揚言在網際空間發動“先發制人”的攻擊的動態不謀而合，值得我們深思。

訪問控制是保障信息安全必須的機制。2009年9月，NIST舉辦了授權管理的研討會。會議對訪問控制的發展給出了一個發展階段的表述（如圖9所示）表述認為，訪問控制模式經歷了訪問控制表（ACL）、基于角色的訪問控制（RBAC）、基于屬性的訪問控制（ABCA）和基于策略的訪問控制（PBAC）階段，現已發展到風險適應的訪問控制（RAdAC）階段。

美國國家安全局在研討會上的報告分析了RAdAC。報告人認為，風險適應的訪問控制基于安全風險和運行需求來決定訪問。他不僅要正確的比較屬性，而且要適應操作需要來決斷訪問門檻，可以在滿足適當的安全風險的不同條件下，使用業務策略，為安全風險和運營需求建立門檻，它要求考慮多個因數：對請求訪問者的信賴；被訪問信息的敏感性；可能提供信息的防護質量；人的角色；對運行的信息的危險性；不確定性；訪問決策的歷史。我認為：RAdAC不但關注身份，而且關注行為和結果。只有實現了這樣的全面關注，才能把可信落到實處。我們應該研究和注意相關技術的發展。