通用准则(CC)与信息安全管理体系(ISMS)是信息安全领域最常见的两大体系,两者建立在不同的方法论基础之上,也针对不同的应用场景。但是在实践中,虽然大部分读者能了解CC是针对产品的,ISMS是针对组织的,但是两者的区别与联系依然难于清晰,下文对CC和ISMS进行了比较分析。
谢宗晓(特约编辑)
通用准则(CC)与信息安全管理体系(ISMS)的比较分析
谢宗晓(中国金融认证中心)
李宽(中国农业银行)
通用准则(Common Criteria,CC)和信息安全管理体系(Information Security Management System,ISMS)是目前两组应用最广泛的信息安全国际标准族。CC所依据的标准主要为ISO/IEC15408,由ISO/IEC JTC 1/SC 27/WG 31)发布,ISMS所依据的主要标准为ISO/IEC 27000标准族,由ISO/IEC JTC 1/SC 27/WG 12)发布。
CC和ISMS在标准的起源和架构方面存在诸多相似之处,在应用场景方面又存在较大的差异。下文中,我们结合其发展过程对两者的异同进行初步的分析。
1 CC与ISMS的发展过程比较
CC最早来源于TCSEC(Trusted Computer System Evaluation Criteria)。
TCSEC常被称为“桔皮书”或DoDD 5200.28-STD,1985年,作为彩虹系列(Rainbow Series)出版物的一部分,以美国国防部(Department of Defense,DoD)标准的形式发布。实际上,之前在1983年,TCSEC已经由美国国家安全署(National Security Agency,NSA)的分支機构国家计算机安全中心(National Computer Security Center,NCSC)发布,1985年的桔皮书是改版后的正式标准,其全称应该为DoD TCSEC。
ITSEC(Information Technology Security Evaluation Criteria)发布于1990年,是英国、法国、德国和荷兰四国共同开发的标准,大量参考了TCSEC。ITSEC与TCSEC相比较,有两个很大的进步:1)将功能要求与保证措施分开,从而最大化地隔离开了安全要求和安全实现;2)从主要关注机密性,转至关注机密性、完整性和可用性[1-4]。
之后各国都开始陆续开发此类标准,例如,1993年,加拿大发布了CTCPEC(Canadian Trusted Computer Product Evaluation Criteria)。直到1996年,以上国家或机构联合在一起,开发了一个共同的标准,命名为:信息技术安全评估3)通用准则(Common Criteria for Information Technology Security Evaluation),这就是最早版本的CC v1.0。
ISMS则主要起源于TCSEC与ITSEC的公布。
对于产品标准而言,CC的主要作用在于“评估结果可以帮助客户确定该IT产品或系统对他们的预期应用是否足够安全以及使用该IT产品或系统带来的固有安全风险是否可容忍”,可见,CC关注的是产品“预期应用”和“固有安全风险”,也就是说,CC最重要的关注点并不是应用中的安全。
问题是,再安全的产品,最终也需要落地,需要考虑应用场景。因此,ISMS的产生是自然而言的选择,即一系列的产品或制度如何在应用场景中保障安全。1993年,由James Backhouse4)等学者在一些自愿参与的公司的基础上组成了一个项目组,开始开发这样一个“实践指南”。最早,项目的发包方英国商务部(Department of Trade and Industry,DTI)的商业计算机安全中心(Commercial Computer Security Centre,CCSC)期望这样的指南能够与ITSEC整合在一起,但工作组认为“ITSEC并不是实践化,于是委婉地避开了CCSC的要求,坚持保持BS 7799面向实践”[5]。
该项目的成果在1993年以“实用规则(A Code of Practice)”的形式发布,即DISC PD003,也就是后来的BS 7799。2000年,成为国际标准ISO/IEC 17799。2005年,重新编号成为ISO/IEC 27002。更详细的演化过程,请参考文献[6]。
需要指出的是,和CC不同,ISMS原则上并不是一个专用术语,在较早版本的标准中对其进行了定义,满足其中描述条件的应该都是。但实际情况是,由于这个术语起源于ISO/IEC 27002和ISO/IEC 27001的早期版本,属于新生出来的一个词汇,其他文献中,就很少见到。所以在实践中,ISMS几乎成了一个专用术语。这如同,一提“质量管理体系(Quality Management System,QMS)”,大家就认为是ISO 9000标准族道理是一样的。
因为某种产品过于普及,就成为某类行为的代名词,这是很常见的现象。例如,你把快递地址微信给我,或者,回头我把文件QQ给你。由于ISO/IEC 27000标准族在全球范围内实施广泛,在实践中,就会有此类对话,例如:我们在做27001,意思是说,我们在部署ISMS,或者说,我们在根据ISO/IEC 27001部署信息安全。
换个说法,ISMS是一整套的保障组织信息安全的方案(或方法),是组织管理体系的一部分,定义和指导ISMS的标准是ISO/IEC 27000标准族,而这其中,ISO/IEC 27002和ISO/IEC 27001是最重要也是出现最早的2个标准。由于这个原因,导致这一堆词汇在实践中开始混用,而不必刻意地去区分。因此,这几个词汇都认为是同义词:
· 信息安全管理体系(ISMS);
· ISO/IEC 27000标准族;
· ISO/IEC 27002或ISO/IEC 27001视上下文,也可能是指代ISMS。
2 CC与ISMS的现状比较
目前,CC和ISMS在研发路径上开始存在较大不同。
CC的开发状况与ITIL(Information Technology Infrastructure Library)类似,存在比较统一的开发联盟5),随着版本的更新,将其中的一部分采纳为国际标准,这种模式与ITIL和ISO/IEC 20000之间的关系基本是一致的。本质而言,这是“事实标准”的推进途径,即某方法或某技术路线在事实上已经广为采纳,成为国际标准是一个顺理成章的过程。ISMS则缺乏常驻的开发联盟,在成为英国国家标准之后,基本沿袭了标准开发的工作流程,如上文所述,ISO/IEC JTC 1/SC 27/WG 1目前已经成为专门开发和推广ISMS的机构。
所以,CC存在版本与标准之间的映射关系,ISMS则只存在标准版本的更新。CC在1999年被采纳为国际标准ISO/IEC 15408,之后被等同采用为国家标准GB/T 18336,期间的版本关系如表1所示。
表1 CC版本与标准采用情况
CC的版本发布国际标准采用情况国家标准采用情况
CC v2.1ISO/IEC 15408:1999GB/T 18336—2001
CC v2.3ISO/IEC 15408:2005GB/T 18336—2008
CC v3.1 ISO/IEC 15408:2012GB/T 18336—2015
在这期间,CC也发布了诸多中间版本。但整体而言,框架并未做太大改变,最新版的国家标准采用情况为:
· GB/T 18336.1—2015 / ISO/IEC 15408-1:2009《信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般模型》;
· GB/T 18336.2—2015 / ISO/IEC 15408-2:2008《信息技术 安全技术 信息技术安全评估准则 第2部分:安全功能组件》;
· GB/T 18336.3—2015 / ISO/IEC 15408-3:2008《信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件》。
· ISMS所依据的标准ISO/IEC 27000标准族,标准数量更丰富,我们下文中描述其架构,标准族中最主要的两个标准的国家标准采用情况如下:
· GB/T 22080—2016 / ISO/IEC 27001:2013《信息技术 安全技术 信息安全管理体系 要求》;
· GB/T 22081—2016 / ISO/IEC 27002:2013《信息技术 安全技术 信息安全控制实践指南》。
3 CC与ISMS的风险模型比较
ISMS和CC都是为了控制风险,因此两者用到的风险模型没有本质的区别。不同的是CC针对“固有安全风险”,ISMS考虑的则是“情境(context)中的安全风险”。两者的大致区别如图1所示。
CC为客户、开发者和评估者提供一个“独立于实现的结构,即保护轮廓(Protection Profile,PP)”,其中对特定类型的产品面临的安全问题、评估目标(Target of Evaluation,ToE)和安全技术要求进行了规定[1]。评估具体的产品时,开发者需要编写安全目标(Security Target,ST)文档,根据产品的具体实现情况,细化PP中的要求,并通过明确陈述其安全和管理措施的办法,来论述产品可以有效地抵抗威胁。
威胁是独立于资产存在的,或者说,对于资产而言,威胁是外部因素。脆弱性不同,脆弱性是资产设计或部署不当所导致的,是内部因素,因此对策(countermeasure)6)主要用于減少脆弱性。资产所有者“允许将其资产暴露给特定的威胁之前”,就已经意识到这可能存在风险,但是“所有者自己可能没有能力对对策的所有方面加以判断”,于是寻求对对策进行评估(evaluation),这个评估的输出就是保证所达到程度的一个陈述。
CC评估的需求正源于此,简单来说,通过评估及其他技术提供保证,通过保证为客户提供信心。但是,如上文中强调,CC评估的本意是评价(evaluation),而不是评估(assessment)。在ISMS中,对良好实践(Good Practice)的需求来源也是信息安全风险,由于已经在应用场景中,因此在部署过程中,用到了完整的风险评估流程。其中应该注意一点,无论是CC还是ISMS都只是利用了风险模型,对于风险评估方法等并无实质性的贡献。
4 CC与ISMS的框架设计比较
虽然CC和ISMS的需求本质上都是起源于信息安全风险管理,但是由于两者存在完全不同的目标,因此在框架设计上肯定也大相径庭。CC评估的对象是产品或系统,ISMS应用的对象是组织,该体系基本沿袭了ISO 9000标准族的框架。
CC关注的核心是IT产品或系统,ISMS关注的核心是组织业务。通过CC评估的产品或系统,在假设的安全环境中,可以提供相应等级的安全保证。这些产品或系统一旦部署到应用场景,客户关注点就转至支撑业务的资产或系统,或者说关注的资产价值体现为其对业务的重要程度。到此时,ISMS才开始起作用。那么假设的安全环境应该什么样子或者如何实现?ISMS被证明是良好实践之一,至少是提供了一条可行的路径。
CC的核心思想是安全工程学,即通过对信息安全产品的开发、评价、使用全过程的各个环节实施安全工程来确保产品的安全性[3]。ISMS的核心思想是“最佳实践”,该词汇现在一般表述为“良好实践”,实际上就是一系列实践经验的集合,最有代表性的是全面质量管理(Total Quality Management,TQM)。
在认证框架方面,CC与ISMS也存在区别。信息技术评估通用方法(Common Methodology for Information Technology Security Evaluation,CEM)是与CC配套的标准,应用CEM是为了确保评估结果的可重复性和客观性,这与ISMS中的风险评估过程类似。在此基础上还需要一个独立的认证过程,之后才能获得证书。ISMS中虽然对风险评估有强制性要求,但是并不指定是否必须第三方实施。对ISMS整体符合性的评估过程称为“审核(audit)”,通过审核的组织,即可以获得证书。
5 小结
在本文中,首先对于CC和ISMS的起源和发展过程进行了比较,然后通过对比其开发过程的不同,给出了现有的支撑标准,接着通过分析风险模型得出其需求起源,最后分析了CC和ISMS两者框架设计的异同及原因。由于本文讨论的重点是CC和ISMS的整体逻辑或者核心思想,因此,没有涉及CC中很重要的概念PP和ST等,在后续讨论中,我们再对比其中细节的不同。
参考文献
石竑松,高金萍,贾炜,等. CC标准中安全架构与策略模型的分析方法[J]. 清华大学学报(自然科学版),2016,56(05):493-498.
谭良,佘堃,周明天. 信息安全评估标准研究[J].小型微型计算机系统,2006(04):634-637.
刘伟,张玉清,冯登国. 通用准则评估综述[J].计算机工程,2006(01):171-173.
黄元飞,陈晓樺. 国家标准GB/T 18336介绍(一)[J].信息安全与通信保密,2001(06):70-71.
James Backhouse, Carol W Hsu, Leiser Silva. Circuits of Power in Creating de jure Standards:
Shaping an International Information Systems Security Standard[J]. MIS Quarterly, 2006(30): 143-438.
谢宗晓,王静漪. ISO/IEC 27001与ISO/IEC 27002标准的演变[J]. 中国标准导报,2015(07):48-52.
