信息安全测评理论与技术专辑前言-计算机学报.DOC

《信息安全测评理论与技术》专辑前言 冯登国 　　由于信息安全问题直接影响到国家安全，世界各国都高度重视，并纷纷通过颁布标准、 实行有效的测评认证制度等方式，对信息技术产品和信息系统实行严格的管理与控制.各国政 府均投入巨资，由国家主导，针对不同的信息安全需求和技术领域研发相应的测评技术、方 法和工具，以建立有效的信息安全测评认证体系，为保障本国的信息安全发挥重要作用. 信息安全测评(又称信息安全测试与评估)作为信息系统安全工程过程(ISSE)中的关键环节， 在整个信息系统的生命周期中具有十分重要的作用，关系到信息系统安全建设的成败.信息安 全测评的对象从传统的通信系统、操作系统、网络系统发展到涵盖技术和管理在内的完整的 信息安全保障体系. 　　美国国家标准技术局(NIST)发布的信息系统安全自评估指南(SP80026)是一种定性的 风险评估方法，主要通过调查问卷对系统进行分析，并给出相应的管理控制措施、运行控制 措施和技术控制措施.美国首席信息官委员会(CIO Council)联合美国审计总署(GAO)提出的 联邦信息技术安全评估体系从五个层次来评估机构的安全状况，并帮助制定改善措施的优先 次序，从而为各机构进行风险分析与评估提供指导.卡内基·梅隆大学开发的OCTAVE操作指 南提供了对信息系统进行安全自评估的方法，它定义了一个资产驱动的、全面的、自定向的 安全风险评估方法，适用于大型机构复杂信息系统的安全评估. 　　在信息安全测评技术和工具研发方面，目前的热点问题是如何将信息安全测评工程的指 导模型、工作流程、评估方法、文档模板、测评工具和安全数据等方面进行规范化、自动化 和定量化.典型的测评工具包括基于专家系统的评估工具(如COBRA、@RISK、BDSS等)和基于 过程式算法的评估工具(如CRAMM、RA等).从量化程度来区分，包括定性评估工具(如CONTROL IT、Definitive Scenario、JANBER等)和半定量评估工具(如COBRA、@RISK、BDSS、The Buddy System、RiskCALC、CORA等)，目前还没有完全定量化的信息安全测评工具. 　　我国的多家信息安全测评机构、高等院校及科研机构在信息安全测评模型、关键技术及 平台工具的研发领域做了大量工作，并取得了一系列重要成果，研制了一批测评工具，有的 已经相继投入到实际的测评工作中，包括密码算法与产品测试工具、操作系统安全性测试工 具、信息安全产品测评工具、信息系统风险评估平台、系统交易处理性能测试系统、可信计 算测试平台，等等. 　　我国政府各部门、重要行业的信息化建设工作，涉及到系统规划、产品选型、质量监督、 运营维护等多个环节的安全性问题，迫切需要采用先进的信息安全测评方法、技术及配套工 具，对信息产品和信息系统进行全面、可靠、可控的安全测评，从而为我国的经济建设和社 会发展建立强有力的信息安全保障体系，因此，信息安全测评的自主化和产业化是必经之路. 信息技术发展迅速，信息安全测评方法、技术和工具的发展也具有鲜明的时效性.目前，信息 安全测评的发展趋势是智能化、综合化和服务一体化.与传统风险评估注重于脆弱性探测和威 胁分析不同，信息安全测评将逐渐融合静态脆弱性分析和动态安全态势评估，基于主动防御 思想挖掘各个层面的安全漏洞，利用数学模型和智能化分析算法对信息系统的安全脆弱性进 行量化评估，在此基础上通过安全态势指标的动态采集、归并、关联、融合及评估，提供信 息系统动态运行状况和安全态势的可视化表述及发展趋势预测.另一方面，信息安全测评与信 息安全服务(例如安全咨询、体系规划、安全管理、应急响应等)将逐渐融为一体，构成信息 系统生命周期的闭环保障体系，利用信息系统前期安全服务的分析数据，实现信息系统风险 状况及发展态势的动态评估，为后期安全服务的合理开展提供基础性指导.当前我国开展的等 级保护工作必将引领我国信息安全测评方法与技术的发展. 　　信息安全测评理论与技术是构建国家信息安全测评认证体系的基础，也是指导信息技术 产品和信息系统的安全性测评的科学依据.《计算机学报》特别推出信息安全测评理论与技术 专辑，目标是总结信息安全测评领域的热点问题和发展现状，展现信息安全测评理论与关键 技术的重大科技成果，开拓信息安全领域的新方向. 　　本专辑面向国内外征集到了一大批高质量的学术论文，在这里向这些投稿者表示衷心感 谢.但专辑收集的论文数量有限，不得不忍痛割爱，当然在取舍过程中也可能有不妥的地方， 敬请诸位投稿者原谅.经过初审、复审、终审等过程最后录用了24篇论文，这些论文反映了 当前信息安全测评领域的研究热点和最新研究进展，代表了中国在这一领域当前的最前沿的 研究水平.这里还要特别感谢审稿者和编辑部所付出的