BS7799与等级保护系列标准对比研究
2010-07-12王艳玮王闪闪陕西师范大学国际商学院西安710062
●王艳玮,王闪闪(陕西师范大学 国际商学院;西安 710062)
BS7799是颁布较早且在包括我国在内的世界范围内受到普遍关注和应用的信息安全管理标准。BS7799-1[1]和 BS7799-2[2]已经被国际标准化组织ISO采纳,成为ISO/IEC27000系列信息安全标准族的主要标准之一。
我国国家质量技术监督局发布的GB17859-1999[3]《计算机信息安全保护等级划分准则》,是建立安全等级保护制度、实施安全等级管理的重要基础性国家标准。目前已发布GB22239、GB22240、GB20269、GB20270、GB20271等配套标准十余个。
本文对BS7799和等级保护系列标准进行对比研究,旨为等级保护系列标准的进一步完善提供建议。
1 标准概述
1.1 BS7799
BS7799由英国标准协会(British Standards Institute,BSI) 于1995年颁布,分为两部分。BS7799-1是信息安全管理实施细则,主要提供了信息安全最佳实践的汇总集,最初从10个方面定义了127项控制措施。BS7799-1几经改版,最终转化为ISO/IEC17799:2005,2007年编号改为ISO/IEC27002,其内容也增加到11个方面的133项控制措施。BS7799-2是建立信息安全管理体系(ISMS)的管理要求和规范,指导相关人员如何去应用BS7799-1。BS7799-2规定了组织基于PDCA模型建立、实施、运行、监视、评审、保持和改进ISMS的总要求及相关文件要求,并规定了在这个过程中的管理职责和管理评审要求。
1.2 等级保护系列标准
我国等级保护系列标准主要包括GB17859-1999《计算机信息系统安全等级保护划分准则》及其配套的定级指南、基本要求、实施指南、测评要求等标准。其中GB17859是这一系列标准中的基础性标准,该标准共包含5个安全等级,定义了不同等级信息系统的安全保护能力,从第一级至第五级对信息系统安全保护能力的要求逐渐增强。等级保护基本要求标准主要规定了对不同等级信息系统的保护能力的要求,分为技术和管理两个方面。等级保护定级指南主要介绍了定级原理、定级方法和等级变更的内容。等级保护实施指南标准为等级保护的实施给出了详细的说明和指导,包括从信息系统定级、总体安全规划、安全设计与实施、安全运行与维护到信息系统终止的每一个过程。信息安全等级保护测评准则提出了为验证计算机信息系统是否满足信息安全等级保护必须执行的测评工作要求,主要针对安全技术和安全管理各个层面的安全控制分别提出了不同安全等级的测试评估要求。
2 BS7799与我国等级保护系列标准的比较研究
本文主要从标准涉及的内容、发展历程、实施流程、涵盖范围、实施对象及综合应用现状等五个方面对两类标准进行比较研究。
2.1 发展历程
BS7799是英国标准协会于1995年颁布的针对信息安全管理制定的一个标准。BS7799最初是由英国贸工部(DTI)立项,经业界、政府和商业机构共同倡导的,旨在开发一套可供开发、实施和测量有效信息安全管理惯例并提供贸易伙伴间信任的通用框架。1995年,《BS7799-1:1995》首次出版,1998年,BSI颁布了《信息安全管理体系规范》(BS7799-2:1998)。随着BS7799在越来越多的国家得到广泛的认可与应用,2000年12月,国际标准化组织ISO/IEC JTC 1/SC27工作组认可《BS7799-1:1999》,正式将其转化为国际标准,即《信息技术—信息安全管理实施细则》(ISO/IEC 17799:2000)。2005年 6月15日修订版《ISO/IEC17799:2005》发布,原来版本废止。同时 BS7799-2转化为 ISO/IEC27001,于 2005年 10月15日正式发布。
GB17859-1999《计算机信息系统安全保护等级划分准则》于1999年9月13日经国家质量技术监督局发布,并于2001年1月1日起实施。GB17859-1999的制定主要参考了美国的TCSEC。1983年美国国防部首次公布了《可信计算机系统评估准则》(TCSEC),这是IT历史上的第一个安全评估标准。TCSEC主要规范了计算机应用系统和产品的安全要求,侧重于对保密性的要求。它把安全分为安全策略、责任、保证和文档4个方面和8个安全级别,着重点是基于大型计算机系统的机密文档处理应用方面的安全要求。GB17859吸取了TCSEC分等级保护的基本思想,并根据我国的信息安全需要进行了改进和完善,把计算机信息系统安全保护能力精简为更具可操作性的5个等级。
从两个标准的产生背景可以看出,BS7799旨在建立可供贸易伙伴间彼此信任的可有效开发、实施和测量信息安全惯例的通用框架,主要应用于工商业企业及大中小型组织。BS7799侧重于管理要求,虽然后来的改版充分考虑了信息处理技术的发展,但BS7799中没有涉及对系统和产品技术指标的评估,总体上是偏重于管理的信息安全标准。GB17859-1999是为了从整体上形成多级信息系统安全保护体系,提高我国计算机信息系统安全保护水平。由公安部提出并组织制定的强制性国家标准,主要借鉴了TCSEC的分等级保护思想,对重要信息系统进行重点保护。GB17859的文本中更明确说明该标准的制定目的主要有三个:一是为计算机信息系统安全法规的制定和执法部门的监督检查提供依据,二是为安全产品的研制提供技术支持,三是为安全系统的建设和管理提供技术指导,因此GB17859-1999及其配套的等级保护标准体系是综合技术要求和管理要求的全面评估标准。
2.2 实施流程
BS7799主要遵循风险管理的思想,通过识别和评估风险来建立组织的信息安全管理体系(ISMS),并应用PDCA模型对ISMS进行实施、运行、监视、评审、保持与改进。首先根据组织的业务特征、地理位置、资产、技术等要素来确定ISMS的范围和ISMS方针。组织对ISMS范围内的资产进行风险识别后,通过风险分析选择风险处理的控制目标和控制方式。其次,实施和运行ISMS。这一阶段的工作主要包括实施风险处理计划、实施已选的控制措施、实施培训方案、管理ISMS的运行、管理ISMS的资源、及时检测、响应安全事故等。再次,监视和评审ISMS。组织应执行监视和评审程序,定期审核ISMS的有效性,按照计划的时间进行风险评估并评估残余风险的等级和已识别的可接受风险,记录可能影响ISMS有效性或业绩的措施和事件。最后,保持和改进ISMS。主要包括采取适当的纠正和预防措施,总结组织取得的安全经验教训,对已采取的措施和改进意见与所有相关方进行沟通等。
等级保护的实施主要包括五个步骤。第一步:信息系统定级。从业务信息安全和系统服务安全两大方面来确定定级对象的安全等级,形成定级报告。第二步:进行基本安全需求分析,按照不同等级的评价指标制定评估方案,对于重要资产进行特殊安全需求分析并进行综合风险评估,形成总体安全规划。第三步:从技术和管理两大方面进行安全设计并实施。第四步:安全运行和维护。主要包括运行管理控制、变更管理控制、安全状态监控、安全时间处置和应急预案、安全检查和持续改进、等级测评等。第五步:信息系统终止。当信息系统被转移、终止或废弃时,应对有关信息进行转移、暂存和清除,对有关设备进行迁移或废弃,对存储介质进行清除或销毁。
BS7799与等级保护标准在安全需求分析阶段的流程有所不同,见图1和图2。
图1 BS7799安全需求分析流程
图2 等级保护安全需求分析流程
BS7799遵循风险评估的方法,通过对ISMS范围内的资产、资产面临的威胁、资产本身的脆弱性以及可能被威胁利用的脆弱点进行识别,选择适用于组织的风险评估方法或模型进行风险估算,分析评价风险并选择控制目标和控制措施。
等级保护的安全需求分析首先是对信息系统进行描述,主要包括系统边界、网络拓补、设备部署等,对于大型的信息系统要在综合分析的基础上进行划分,确定可作为定级对象的信息系统个数。信息系统的定级由受侵害客体和对客体的侵害程度两个因素决定,通过综合判定客体的受侵害程度来确定系统的安全保护等级。在等级确定之后从信息系统安全等级保护基本要求中选择相应的等级评价指标,通过现场观察、询问、检查、测试等方式进行评估,确定信息系统安全保护的基本需求。对于有特殊保护要求的信息系统重要资产,其安全需求分析则采用风险评估的方法来进行。
2.3 涵盖范围
BS7799-1(现为ISO/IEC27002) 包括10个主要的安全类别,汇集了33个安全控制目标和127项安全控制措施,涉及信息安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统的获取、开发和维护、信息安全事故管理、业务连续性管理和符合性规定等方面。
等级保护标准从技术和管理两大方面对每一级的信息系统安全保护能力提出了不同的要求。技术要求主要包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等,管理要求包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等。总的来说,BS7799更多地体现了信息安全管理方面的要求,等级保护标准则全面地包含了管理和技术两方面的要求。
2.4 实施对象与应用现状
BS7799覆盖了所有类型的组织(如商业企业、政府机构和非盈利组织),涉及的范围遍布整个系统或组织,包括所有的信息系统及其外部接口。但是BS7799主要处理的是与IT系统相关的非技术问题,包括人员、过程、物理安全管理等,适用于各种类型的安全组织,公共的或私人的部门和任何商业环境。信息安全等级保护是我国信息安全保护的基本制度,GB17859-1999是我国第一部信息安全保护强制性国标,主要保护国家重要领域的高级别信息系统、国家基础信息网络和重要信息系统的安全。国家实行信息系统安全等级保护的形式有国家意志、政府主导、科研单位和企业及社会广泛参与等,涉及的部门有信息系统主管部门、信息系统运营、使用单位、安全服务提供方、安全产品提供方、测试评估机构、信息安全监管部门等。
2005年BS7799转化为ISO/IEC27001至今世界上已有73个国家的5206家企业通过了ISO27001认证。我国的等级保护工作也在逐步开展中。2005年12月28日公安部与国信办下发《关于开展信息系统安全等级保护基础调查工作的通知》,要求2006年在全国范围内开展信息安全等级保护基础调查工作;在调研的基础上,2006年6月15日公安部、国家保密局、国家密码管理局和国信办发布了《关于开展信息安全等级保护试点工作的通知》,试点单位包括北京、山西、上海等13个省、市、自治区以及中组部、中联部、航天科技集团等3个部门。[4]试点工作验证了等级保护工作理论政策的正确性,并对有关标准提出了很多修改意见,有助于标准的进一步成熟与完善。
2.5 标准的综合应用
BS7799-2转化为ISO/IEC27001:2005之后,采用与ISO9001、ISO14001等国际知名管理体系标准相同的风格,使组织的信息安全管理体系更容易和其他管理体系相协调,有利于管理的标准化和规范化。但是BS7799也有其自身存在的问题。首先,在BS7799的10个核心控制领域中,没有对任何一个领域或控制目标的权重分配,因此在进行风险 评估时,没有一个标准依据来对这127项控制目标进行加权,不同的评估人员得出的评估结果可能也不相同。其次,BS7799中没有划分评估等级,无法体现对重要信息系统的重点保护,特别是面对一个大型的信息系统时,识别所有的资产及威胁要耗费大量的时间。因此组织在实施BS7799的过程中,可以学习和借鉴等级保护、重点保护的原则,对大型的信息系统先进行系统划分,选出支持关键业务的重要信息系统,在此基础上再进行风险评估和安全需求分析。
等级保护的定级主要是通过对受侵害客体和客体的受侵害程度两个因素来综合评定的,基本安全需求的确定主要是通过等级保护基本要求中相应等级的指标来综合评价。但是对于重要信息系统来说,简单的观察、询问、测试以及指标评价无法满足其特殊安全保护的需求,在此可以借鉴BS7799中风险评估的方法,对重要资产进行分析,对其脆弱点和面临的威胁进行风险评估,进行综合风险分析,最终确定其风险等级,实行相应的保护措施。
3 结束语
通过BS7799与等级保护标准的对比研究,发现两类标准在内容、发展历程、实施流程、涵盖范围、实施对象及应用现状方面各有优势,可以相互借鉴。建议我国信息安全标准化技术委员会组织工作组,细化等级保护标准对BS7799标准的借鉴内容,为ISO/IEC提供来自中国的建议稿,提升中国在国际标准中的地位。
[1] ISO/IEC17799:2005,Information Technology-Code of Practice for Information Security Management[S].2005:4-12.
[2] ISO/IEC27001:2005,Information Technology-Security Techniques-Information Security Management Systems-Requirements[S].2005:11-14.
[3]GB 17859.计算机信息系统安全保护等级划分准则 [S].1999:1-6.
[4]崔书昆.解读信息安全等级保护有关文件[J].信息网络安全,2007(12):14-15.