信息安全研究进展综述安全工程论文.docVIP

信息安全研究进展综述安全工程论文 引言 随着全球信息化水平的日益提高，各国政府建立和加强国家信息安全保障体系的工作步伐不断加快。国家信息安全保障体系的落实，既需要信息技术支持，更需要管理技术支撑，而信息安全管理体系是信息安全保障体系中不可或缺的重要组成部分。2003 年9月中共中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（简称 27 号文），就明确提出了“立足国情，以我为主，坚持技术管理并重”的信息安全管理方针。技术和管理并重，是信息安全保障工作的基本要求[1]。 1 国际标准化组织（ISO）安全管理标准研发步伐加快[2] 近年来，ISO 高度重视信息安全管理体系标准的研究和制定，为加速推进有关信息安全管理标准的制定工作，2006 年在西班牙召开的 ISO/IEC JTC1/SC27 工作组会议上，在原来设立的三个工作组的基础上增设了两个工作组，五个工作组中 WG1 和 WG4两个工作组的任务均与信息安全管理标准有关。WG1 的工作任务调整为专门开发信息安全管理体系 (ISMS) 的标准与指南，WG4则从事控制措施的实现及应用服务的安全管理标准和指南的开发。西班牙会议后，WG1 和 WG4 分别加快了标准制定的进度。为引起关注与重视，两个工作组所制定的标准的编号均列入 270ＸＸ序列。 我国作为 ISO/IECJTC1/SC27 成员国，参与了ISMS 国际标准的制定和研讨。我国选择了信息安全审核和安全事件分级分类作为参与国际合作的切入点，得到了认可，并成为相关国际标准的编辑者。 WG1已经逐步理清了ISO SC27 WG1 ISMS 标准体系和路线图（如图 1）。 ISMS 具有如下特点：（1）基于一个组织；（2）目标是体系化建设（；3）立足于风险管理思想；（4）贯穿了“规划 - 实施 -检查 - 处置”（PDCA）持续改进的过程和活动；（5）根据组织自身的任务和应对安全风险需求来选择安全控制措施；（6）通过安全控制的测度和审核来检查信息安全技术和管理运用的合规性。 目前为止，WG1围绕信息安全管理体系（ISMS）的国际标准的研究编制内容已确定了14 个。其中，8 个已发布，分别为： - ISO/IEC 27000《信息安全管理体系概述和术语》 - ISO/IEC 27001《信息安全管理体系 要求》 - ISO/IEC 27002《信息安全管理实用规则》 - ISO/IEC 27003《信息安全管理体系实施指南》 - ISO/IEC 27004《信息安全管理测量》 - ISO/IEC 27005《信息安全风险管理》 - ISO/IEC 27006《信息安全管理体系审核和认证机构的要求》 - ISO/IEC 27011《基于 ISO/IEC 27002 的电信组织的信息安全管理指南》 2美国联邦信息安全管理法（FISMA）的实施和改进 2002 年美国颁布《联邦信息安全管理法案》（FISMA），旨在通过采取适当的安全控制措施，达到保障联邦机构的信息系统安全的目标。为此，FISMA专门指定美国国家标准与技术研究所（NIST）负责开展信息安全标准、指导方针的制 定工作。 2.1 信息系统安全建设和安全管理 2003 年以来，NIST 根据 FISMA 的要求，原定分三阶段开展工作： 1）第一阶段 ：标准和准则的制定（2003—2008） NIST 已基本完成这一阶段任务，形成了一套全面权威的信息安全保障体系和标准体系。 2）第二阶段 ：组织认证计划（2007—2010） NIST 在这一阶段的主要任务是依据标准形成能力、提供服务、进行评估、给出凭据。NIST 提出了三种能力和服务给出凭据：基于客户的凭据、来自公众领域和私人领域的凭据以及来自政府发动的凭据。 3）第三阶段 ：安全工具验证计划 NIST 原定从 2008 年到 2009 年开展第三阶段工作，着重解决安全工具的验证认可，以发挥 IT 技术在 IT 安全中的自动化的效率和效益。 目前，NIST 根据实际进展情况，已将第三阶段纳入第二阶段，使用现有的 IT 产品测试，评价和审定程序。 FISMA 规定，联邦信息处理标准（FIPS）对联邦机构具有强制性和约束力，因此，各机构不得放弃其使用。特别出版物（SP）作为建议和指南文本由 NIST 发行，除国家安全计划和系统外，其他联邦各机构必须在 FIPS 中遵循 NIST 的这些特别出版物规定的要求。其他与安全有关的出版物，包括跨部门的报告（NISTIR）和信息技术