基于产品和基于流程的信息安全标准及其分析

李军（内蒙古公安厅）

谢宗晓（中国金融认证中心）

基于产品和基于流程的信息安全标准及其分析

李军（内蒙古公安厅）

谢宗晓（中国金融认证中心）

将信息安全标准分为基于产品和基于流程两大类，从信息安全的发展历程对这两类标准进行了分析。

信息安全 信息安全标准

1 产品标准和流程标准

1989年，英国工业与贸易部（DTI1）Department of Trade and Industry，United Kingdom，英国工业与贸易部。）启动了一个信息安全意识提高项目，这其中发现信息安全标准与企业需求之间严重脱节。此外，一个叫SEMA2）SEMA是英国的信息服务公司，开展了一个“业务需求（business need）”的调查，其结论强调了业界安全管理标准与认证的需要。的英国商业公司在1989年做调查也发现，业界亟待新的标准。这个项目就是最早的信息安全管理体系（Information Security Management System，ISMS）标准族的前身[1]。

同时间，DTI下属的商业计算机安全中心（CCSC3）CCSC，Commercial Computer Security Centre，商业计算机安全中心。）也开始开发信息安全产品标准，这就是在1990年发布的信息技术安全评价标准（ITSEC4）ITSEC，Information Technology Security Evaluation Criteria，信息技术安全评价标准。）。

ITSEC是欧洲的安全测评标准，主要由英国、德国、法国和荷兰开发。ITSEC参考了美国可信计算机系统评价标准（TCSEC5）TCSEC，Trusted Computer System Evaluation Criteria，美国可信计算机系统评价标准。），即业界常说的“橘皮书”6）因为封面颜色是橘色的。。加拿大也自己开发了一个可信计算机产品评价标准（CTCPEC7）CTCPEC，Canadian Trusted Computer Product Evaluation Criteria，加拿大可信计算机产品评价标准。）。最后，他们联合开发了一个标准，叫通用准则（Common Criteria，CC）。CC后来就成了国际标准ISO/IEC 15408，国内等同采用这个标准后，标准号为GB/T 18336。

CC是关于产品测评的标准，而ISMS是偏重于流程（或管理）的标准。换句话说，CC关注的是产品是否符合安全要求，不太关注怎么用；ISMS恰好相反，则是直接把那些通过测评的产品拿来用，关注的是产品买回来之后在组织内部如何安全地用，这个“用”，跟人关系很大，所以其中更核心的部分还是流程。

信息安全产品做出来之后送去评价是否合格的过程，这个评价在实践中也经常被称为 “测评”。信息安全流程或者ISMS做完了之后找第三方机构确认是否合格的过程，一般称为“审核”。第三方派来的技术人员叫“审核员”。这两者都可以称为“认证”，产品认证或体系认证。这几个词汇的中英文对照及解释如表1所示。

表1 几个词汇的中英文对照及解释

从产品设计开始就控制安全，直至测评结束，至少在没有具体用户掺和的情况下是满足安全要求的，于是，这本身做了一个“可信”的产品，因此，这一摊子事情，称为“可信计算”。

显然，中间还缺一个环节，就是通过测评的信息安全产品非常多，我怎么知道用哪一个？即怎么选择信息安全产品，这又是另外一类标准。例如，现在ISO/IEC 27000标准族中有专门关于信息安全产品选型、部署和运维的8）例如，ISO/IEC 27039：2015 Information technology—Security techniques—Selection, deployment and operations of intrusion detection and prevention systems （IDPS）《信息技术 安全技术 入侵防御系统选择、部署和运维》。。

制造安全的产品、选择安全的产品以及在具体组织内安全地应用产品，这整个的过程如图1所示。

图1 以IDPS为示例的产品测评选择、部署和运维的过程

2 从发展过程的视角分析两类标准的形成

Basie von Solms根据信息安全的发展历程，将其划分为四个阶段[2,3]，如图2所示。

图2 信息安全的发展历程

第一个阶段为技术浪潮（the technical wave）。用技术系统解决信息安全问题是最直接也最有效的方法之一。例如，在通信安全时代，比较常见的方式是搭线窃听，信息加密传输是解决这个问题的主流技术。再如，在计算机安全时代，病毒是最常见的问题，因此诞生了各类防病毒软件。现在市场上流行的各种软件，都是针对某一种问题而产生的。

但是，以“以技术手段解决技术问题”，本身就存在悖论，可能会引进其他问题。实际情况是，信息安全就是这么产生的。对于信息安全而言，目标就是为了保障“信息的安全”。随着处理信息的载体发展，分别出现了通信安全、计算机安全和网络安全等不同的时代[1]，本质都是强调“载体（或介质）”重于强调“信息本身”。如果说在通信安全时代，加解密还占据最重要的工作量，在后续发展中，控制载体的工作量变得更大。

这其中，能够直接处理信息的，实际只有加解密，即密码学（Cryptography）。因此，也只有密码学是科学，称之为“学”9）这段引用自武汉大学张焕国教授在重庆召开的“2016高等学校网络空间安全人才培养高峰论坛”讲演中的论述，由于未能找到公开文献，只能靠个人理解，因此不一定准确，若有谬误之处，可能是我的理解有问题。张老师当时的描述才是正解。，而不同时期的称呼，包括通信安全、计算机安全、网络安全和信息安全等，都是技术/工程问题。如上文所述，这是因为未增加信息处理的便利性引入新的载体，同时引入的风险。

第二阶段为管理浪潮（the management wave）。毫无疑问，单纯的技术不会解决任何问题。因为，所有的技术最终决策者都是靠人。换个角度看，再强大的安全技术，都架不住一群怀有恶意的或严重无知的使用者。即使在安全至上的航空领域，依然解决不了人为错误的发生。管理的重要性也是显而易见的，虽然在很长时间内都被忽视[4]。从这个时候开始，很多组织开始增加专门的信息安全管理岗位，并开始设计信息安全制度，但是并不是非常成体系（system）化。

第三阶段为制度浪潮（the institutional wave）。简单理解就是不再纠缠于技术还是管理，而是围绕安全目标进行体系化的设计，代表就是ISO/IEC 27000标准族。ISO/IEC 27002：2013就给出了14个安全控制类，35个安全控制目标，114项具体的安全控制。制度或制度化（institutionalization）是一个广义词汇，对组织之间而言是体制化，在组织内部则偏向于合法化[5]。

第四阶段为信息安全治理（governance）。信息安全上升为治理问题表明信息安全已经成为组织问题，是一个需要在更高层次协调解决的，而不仅仅是管理层或技术层能够解决的问题。

综上所述，产品标准和流程标准正是随着信息安全发展阶段而产生，我们以CC和ISMS分别为其中代表。加入CC与ISMS的信息安全发展阶段，如图3所示。

图3 结合信息安全发展阶段的CC和ISMS开发历程

3 小结

信息安全的发展阶段同时也伴随着标准化的过程，在不同的阶段，对于信息安全手段的理解不同。但整体而言，解决信息安全问题，无非是通过“技术”或者通过“管理”，前者主要依赖于各种安全产品，后者更偏重于强调流程化。因此，与之对应，现有的信息安全标准可以分为产品标准和流程标准两大类。

（注：本文仅做学术探讨，与作者所在单位观点无关）

[1]谢宗晓，甄杰，董坤祥，等. 网络空间安全管理[M]. 北京：中国质检出版社/中国标准出版社，2017.

[2]Basie von Solms. Information security—the third wave?[J]. Computer& Security，2000 (19)：615-620.

[3]Basie von Solms. Information security—the fourth wave[J]. Computer& Security, 2006（25）：165-168.

[4]林润辉，谢宗晓，王兴起，等. 制度压力、信息安全合法化与组织绩效——基于中国企业的实证研究[J]. 管理世界，2016（02）：112-127，188.

[5]谢宗晓，林润辉. 信息安全制度化3I模型[J]. 中国标准导报，2016（06）：30-33.

Analysis of Information Security Standards Based on Products or Procedure

Li Jun ( Inner Mongolia Autonomous Region Public Security Department )Xie Zongxiao ( China Financial Certi fi cation Authority )

In this paper, information security standards are divided into two categories based on product and process,and from the history of these two types of information security standards were analyzed.

Information Security, Information Security Standards

谢宗晓 博士

“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起，从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前，已发表论文80多篇，出版专著近20本。

信息安全管理系列之三十五

根据目前的规划，仅ISO/IEC 27000标准族就包括了60多个标准。如何更好地理解众多的信息安全标准？本文在整体上将其分为基于产品和基于流程，当然这只是一个粗的分类。产品标准又有产品测评、产品选型、部署和运维等各个方面，流程标准也可以细分为安全架构、安全规划和安全服务等。下文中结合信息安全的发展阶段对这两类标准进行了初步的分析。

谢宗晓（特约编辑）