通用準(zhǔn)則（CC）與信息安全管理體系（ISMS）是信息安全領(lǐng)域最常見的兩大體系，兩者建立在不同的方法論基礎(chǔ)之上，也針對(duì)不同的應(yīng)用場(chǎng)景。但是在實(shí)踐中，雖然大部分讀者能了解CC是針對(duì)產(chǎn)品的，ISMS是針對(duì)組織的，但是兩者的區(qū)別與聯(lián)系依然難于清晰，下文對(duì)CC和ISMS進(jìn)行了比較分析。

謝宗曉（特約編輯）

通用準(zhǔn)則（CC）與信息安全管理體系（ISMS）的比較分析

謝宗曉（中國(guó)金融認(rèn)證中心）

李寬（中國(guó)農(nóng)業(yè)銀行）

通用準(zhǔn)則（Common Criteria，CC）和信息安全管理體系（Information Security Management System，ISMS）是目前兩組應(yīng)用最廣泛的信息安全國(guó)際標(biāo)準(zhǔn)族。CC所依據(jù)的標(biāo)準(zhǔn)主要為ISO/IEC15408，由ISO/IEC JTC 1/SC 27/WG 31）發(fā)布，ISMS所依據(jù)的主要標(biāo)準(zhǔn)為ISO/IEC 27000標(biāo)準(zhǔn)族，由ISO/IEC JTC 1/SC 27/WG 12）發(fā)布。

CC和ISMS在標(biāo)準(zhǔn)的起源和架構(gòu)方面存在諸多相似之處，在應(yīng)用場(chǎng)景方面又存在較大的差異。下文中，我們結(jié)合其發(fā)展過程對(duì)兩者的異同進(jìn)行初步的分析。

1 CC與ISMS的發(fā)展過程比較

CC最早來源于TCSEC（Trusted Computer System Evaluation Criteria）。

TCSEC常被稱為“桔皮書”或DoDD 5200.28-STD，1985年，作為彩虹系列（Rainbow Series）出版物的一部分，以美國(guó)國(guó)防部（Department of Defense，DoD）標(biāo)準(zhǔn)的形式發(fā)布。實(shí)際上，之前在1983年，TCSEC已經(jīng)由美國(guó)國(guó)家安全署（National Security Agency，NSA）的分支機(jī)構(gòu)國(guó)家計(jì)算機(jī)安全中心（National Computer Security Center，NCSC）發(fā)布，1985年的桔皮書是改版后的正式標(biāo)準(zhǔn)，其全稱應(yīng)該為DoD TCSEC。

ITSEC（Information Technology Security Evaluation Criteria）發(fā)布于1990年，是英國(guó)、法國(guó)、德國(guó)和荷蘭四國(guó)共同開發(fā)的標(biāo)準(zhǔn)，大量參考了TCSEC。ITSEC與TCSEC相比較，有兩個(gè)很大的進(jìn)步：1）將功能要求與保證措施分開，從而最大化地隔離開了安全要求和安全實(shí)現(xiàn)；2）從主要關(guān)注機(jī)密性，轉(zhuǎn)至關(guān)注機(jī)密性、完整性和可用性[1-4]。

之后各國(guó)都開始陸續(xù)開發(fā)此類標(biāo)準(zhǔn)，例如，1993年，加拿大發(fā)布了CTCPEC（Canadian Trusted Computer Product Evaluation Criteria）。直到1996年，以上國(guó)家或機(jī)構(gòu)聯(lián)合在一起，開發(fā)了一個(gè)共同的標(biāo)準(zhǔn)，命名為：信息技術(shù)安全評(píng)估3）通用準(zhǔn)則（Common Criteria for Information Technology Security Evaluation），這就是最早版本的CC v1.0。

ISMS則主要起源于TCSEC與ITSEC的公布。

對(duì)于產(chǎn)品標(biāo)準(zhǔn)而言，CC的主要作用在于“評(píng)估結(jié)果可以幫助客戶確定該IT產(chǎn)品或系統(tǒng)對(duì)他們的預(yù)期應(yīng)用是否足夠安全以及使用該IT產(chǎn)品或系統(tǒng)帶來的固有安全風(fēng)險(xiǎn)是否可容忍”，可見，CC關(guān)注的是產(chǎn)品“預(yù)期應(yīng)用”和“固有安全風(fēng)險(xiǎn)”，也就是說，CC最重要的關(guān)注點(diǎn)并不是應(yīng)用中的安全。

問題是，再安全的產(chǎn)品，最終也需要落地，需要考慮應(yīng)用場(chǎng)景。因此，ISMS的產(chǎn)生是自然而言的選擇，即一系列的產(chǎn)品或制度如何在應(yīng)用場(chǎng)景中保障安全。1993年，由James Backhouse4）等學(xué)者在一些自愿參與的公司的基礎(chǔ)上組成了一個(gè)項(xiàng)目組，開始開發(fā)這樣一個(gè)“實(shí)踐指南”。最早，項(xiàng)目的發(fā)包方英國(guó)商務(wù)部（Department of Trade and Industry，DTI）的商業(yè)計(jì)算機(jī)安全中心（Commercial Computer Security Centre，CCSC）期望這樣的指南能夠與ITSEC整合在一起，但工作組認(rèn)為“ITSEC并不是實(shí)踐化，于是委婉地避開了CCSC的要求，堅(jiān)持保持BS 7799面向?qū)嵺`”[5]。

該項(xiàng)目的成果在1993年以“實(shí)用規(guī)則（A Code of Practice）”的形式發(fā)布，即DISC PD003，也就是后來的BS 7799。2000年，成為國(guó)際標(biāo)準(zhǔn)ISO/IEC 17799。2005年，重新編號(hào)成為ISO/IEC 27002。更詳細(xì)的演化過程，請(qǐng)參考文獻(xiàn)[6]。

需要指出的是，和CC不同，ISMS原則上并不是一個(gè)專用術(shù)語，在較早版本的標(biāo)準(zhǔn)中對(duì)其進(jìn)行了定義，滿足其中描述條件的應(yīng)該都是。但實(shí)際情況是，由于這個(gè)術(shù)語起源于ISO/IEC 27002和ISO/IEC 27001的早期版本，屬于新生出來的一個(gè)詞匯，其他文獻(xiàn)中，就很少見到。所以在實(shí)踐中，ISMS幾乎成了一個(gè)專用術(shù)語。這如同，一提“質(zhì)量管理體系（Quality Management System，QMS）”，大家就認(rèn)為是ISO 9000標(biāo)準(zhǔn)族道理是一樣的。

因?yàn)槟撤N產(chǎn)品過于普及，就成為某類行為的代名詞，這是很常見的現(xiàn)象。例如，你把快遞地址微信給我，或者，回頭我把文件QQ給你。 由于ISO/IEC 27000標(biāo)準(zhǔn)族在全球范圍內(nèi)實(shí)施廣泛，在實(shí)踐中，就會(huì)有此類對(duì)話，例如：我們?cè)谧?7001，意思是說，我們?cè)诓渴餓SMS，或者說，我們?cè)诟鶕?jù)ISO/IEC 27001部署信息安全。

換個(gè)說法，ISMS是一整套的保障組織信息安全的方案（或方法），是組織管理體系的一部分，定義和指導(dǎo)ISMS的標(biāo)準(zhǔn)是ISO/IEC 27000標(biāo)準(zhǔn)族，而這其中，ISO/IEC 27002和ISO/IEC 27001是最重要也是出現(xiàn)最早的2個(gè)標(biāo)準(zhǔn)。由于這個(gè)原因，導(dǎo)致這一堆詞匯在實(shí)踐中開始混用，而不必刻意地去區(qū)分。因此，這幾個(gè)詞匯都認(rèn)為是同義詞：

· 信息安全管理體系（ISMS）；

· ISO/IEC 27000標(biāo)準(zhǔn)族；

· ISO/IEC 27002或ISO/IEC 27001視上下文，也可能是指代ISMS。

2 CC與ISMS的現(xiàn)狀比較

目前，CC和ISMS在研發(fā)路徑上開始存在較大不同。

CC的開發(fā)狀況與ITIL（Information Technology Infrastructure Library）類似，存在比較統(tǒng)一的開發(fā)聯(lián)盟5），隨著版本的更新，將其中的一部分采納為國(guó)際標(biāo)準(zhǔn)，這種模式與ITIL和ISO/IEC 20000之間的關(guān)系基本是一致的。本質(zhì)而言，這是“事實(shí)標(biāo)準(zhǔn)”的推進(jìn)途徑，即某方法或某技術(shù)路線在事實(shí)上已經(jīng)廣為采納，成為國(guó)際標(biāo)準(zhǔn)是一個(gè)順理成章的過程。ISMS則缺乏常駐的開發(fā)聯(lián)盟，在成為英國(guó)國(guó)家標(biāo)準(zhǔn)之后，基本沿襲了標(biāo)準(zhǔn)開發(fā)的工作流程，如上文所述，ISO/IEC JTC 1/SC 27/WG 1目前已經(jīng)成為專門開發(fā)和推廣ISMS的機(jī)構(gòu)。

所以，CC存在版本與標(biāo)準(zhǔn)之間的映射關(guān)系，ISMS則只存在標(biāo)準(zhǔn)版本的更新。CC在1999年被采納為國(guó)際標(biāo)準(zhǔn)ISO/IEC 15408，之后被等同采用為國(guó)家標(biāo)準(zhǔn)GB/T 18336，期間的版本關(guān)系如表1所示。

表1 CC版本與標(biāo)準(zhǔn)采用情況

CC的版本發(fā)布 國(guó)際標(biāo)準(zhǔn)采用情況 國(guó)家標(biāo)準(zhǔn)采用情況

CC v2.1 ISO/IEC 15408：1999 GB/T 18336—2001

CC v2.3 ISO/IEC 15408：2005 GB/T 18336—2008

CC v3.1 ISO/IEC 15408：2012 GB/T 18336—2015

在這期間，CC也發(fā)布了諸多中間版本。但整體而言，框架并未做太大改變，最新版的國(guó)家標(biāo)準(zhǔn)采用情況為：

· GB/T 18336.1—2015 / ISO/IEC 15408-1：2009《信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則 第1部分：簡(jiǎn)介和一般模型》；

· GB/T 18336.2—2015 / ISO/IEC 15408-2：2008《信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則 第2部分：安全功能組件》；

· GB/T 18336.3—2015 / ISO/IEC 15408-3：2008《信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則 第3部分：安全保障組件》。

· ISMS所依據(jù)的標(biāo)準(zhǔn)ISO/IEC 27000標(biāo)準(zhǔn)族，標(biāo)準(zhǔn)數(shù)量更豐富，我們下文中描述其架構(gòu)，標(biāo)準(zhǔn)族中最主要的兩個(gè)標(biāo)準(zhǔn)的國(guó)家標(biāo)準(zhǔn)采用情況如下：

· GB/T 22080—2016 / ISO/IEC 27001：2013《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》；

· GB/T 22081—2016 / ISO/IEC 27002：2013《信息技術(shù) 安全技術(shù) 信息安全控制實(shí)踐指南》。

3 CC與ISMS的風(fēng)險(xiǎn)模型比較

ISMS和CC都是為了控制風(fēng)險(xiǎn)，因此兩者用到的風(fēng)險(xiǎn)模型沒有本質(zhì)的區(qū)別。不同的是CC針對(duì)“固有安全風(fēng)險(xiǎn)”，ISMS考慮的則是“情境（context）中的安全風(fēng)險(xiǎn)”。兩者的大致區(qū)別如圖1所示。

CC為客戶、開發(fā)者和評(píng)估者提供一個(gè)“獨(dú)立于實(shí)現(xiàn)的結(jié)構(gòu)，即保護(hù)輪廓（Protection Profile，PP）”，其中對(duì)特定類型的產(chǎn)品面臨的安全問題、評(píng)估目標(biāo)（Target of Evaluation，ToE）和安全技術(shù)要求進(jìn)行了規(guī)定[1]。評(píng)估具體的產(chǎn)品時(shí)，開發(fā)者需要編寫安全目標(biāo)（Security Target，ST）文檔，根據(jù)產(chǎn)品的具體實(shí)現(xiàn)情況，細(xì)化PP中的要求，并通過明確陳述其安全和管理措施的辦法，來論述產(chǎn)品可以有效地抵抗威脅。

威脅是獨(dú)立于資產(chǎn)存在的，或者說，對(duì)于資產(chǎn)而言，威脅是外部因素。脆弱性不同，脆弱性是資產(chǎn)設(shè)計(jì)或部署不當(dāng)所導(dǎo)致的，是內(nèi)部因素，因此對(duì)策（countermeasure）6）主要用于減少脆弱性。資產(chǎn)所有者“允許將其資產(chǎn)暴露給特定的威脅之前”，就已經(jīng)意識(shí)到這可能存在風(fēng)險(xiǎn)，但是“所有者自己可能沒有能力對(duì)對(duì)策的所有方面加以判斷”，于是尋求對(duì)對(duì)策進(jìn)行評(píng)估（evaluation），這個(gè)評(píng)估的輸出就是保證所達(dá)到程度的一個(gè)陳述。

CC評(píng)估的需求正源于此，簡(jiǎn)單來說，通過評(píng)估及其他技術(shù)提供保證，通過保證為客戶提供信心。但是，如上文中強(qiáng)調(diào)，CC評(píng)估的本意是評(píng)價(jià)（evaluation），而不是評(píng)估（assessment）。在ISMS中，對(duì)良好實(shí)踐（Good Practice）的需求來源也是信息安全風(fēng)險(xiǎn)，由于已經(jīng)在應(yīng)用場(chǎng)景中，因此在部署過程中，用到了完整的風(fēng)險(xiǎn)評(píng)估流程。其中應(yīng)該注意一點(diǎn)，無論是CC還是ISMS都只是利用了風(fēng)險(xiǎn)模型，對(duì)于風(fēng)險(xiǎn)評(píng)估方法等并無實(shí)質(zhì)性的貢獻(xiàn)。

4 CC與ISMS的框架設(shè)計(jì)比較

雖然CC和ISMS的需求本質(zhì)上都是起源于信息安全風(fēng)險(xiǎn)管理，但是由于兩者存在完全不同的目標(biāo)，因此在框架設(shè)計(jì)上肯定也大相徑庭。CC評(píng)估的對(duì)象是產(chǎn)品或系統(tǒng)，ISMS應(yīng)用的對(duì)象是組織，該體系基本沿襲了ISO 9000標(biāo)準(zhǔn)族的框架。

CC關(guān)注的核心是IT產(chǎn)品或系統(tǒng)，ISMS關(guān)注的核心是組織業(yè)務(wù)。通過CC評(píng)估的產(chǎn)品或系統(tǒng)，在假設(shè)的安全環(huán)境中，可以提供相應(yīng)等級(jí)的安全保證。這些產(chǎn)品或系統(tǒng)一旦部署到應(yīng)用場(chǎng)景，客戶關(guān)注點(diǎn)就轉(zhuǎn)至支撐業(yè)務(wù)的資產(chǎn)或系統(tǒng)，或者說關(guān)注的資產(chǎn)價(jià)值體現(xiàn)為其對(duì)業(yè)務(wù)的重要程度。到此時(shí)，ISMS才開始起作用。那么假設(shè)的安全環(huán)境應(yīng)該什么樣子或者如何實(shí)現(xiàn)？ISMS被證明是良好實(shí)踐之一，至少是提供了一條可行的路徑。

CC的核心思想是安全工程學(xué)，即通過對(duì)信息安全產(chǎn)品的開發(fā)、評(píng)價(jià)、使用全過程的各個(gè)環(huán)節(jié)實(shí)施安全工程來確保產(chǎn)品的安全性[3]。ISMS的核心思想是“最佳實(shí)踐”，該詞匯現(xiàn)在一般表述為“良好實(shí)踐”，實(shí)際上就是一系列實(shí)踐經(jīng)驗(yàn)的集合，最有代表性的是全面質(zhì)量管理（Total Quality Management，TQM）。

在認(rèn)證框架方面，CC與ISMS也存在區(qū)別。信息技術(shù)評(píng)估通用方法（Common Methodology for Information Technology Security Evaluation，CEM）是與CC配套的標(biāo)準(zhǔn)，應(yīng)用CEM是為了確保評(píng)估結(jié)果的可重復(fù)性和客觀性，這與ISMS中的風(fēng)險(xiǎn)評(píng)估過程類似。在此基礎(chǔ)上還需要一個(gè)獨(dú)立的認(rèn)證過程，之后才能獲得證書。ISMS中雖然對(duì)風(fēng)險(xiǎn)評(píng)估有強(qiáng)制性要求，但是并不指定是否必須第三方實(shí)施。對(duì)ISMS整體符合性的評(píng)估過程稱為“審核（audit）”，通過審核的組織，即可以獲得證書。

5 小結(jié)

在本文中，首先對(duì)于CC和ISMS的起源和發(fā)展過程進(jìn)行了比較，然后通過對(duì)比其開發(fā)過程的不同，給出了現(xiàn)有的支撐標(biāo)準(zhǔn)，接著通過分析風(fēng)險(xiǎn)模型得出其需求起源，最后分析了CC和ISMS兩者框架設(shè)計(jì)的異同及原因。由于本文討論的重點(diǎn)是CC和ISMS的整體邏輯或者核心思想，因此，沒有涉及CC中很重要的概念PP和ST等，在后續(xù)討論中，我們?cè)賹?duì)比其中細(xì)節(jié)的不同。

參考文獻(xiàn)

石竑松，高金萍，賈煒，等. CC標(biāo)準(zhǔn)中安全架構(gòu)與策略模型的分析方法[J]. 清華大學(xué)學(xué)報(bào)（自然科學(xué)版），2016，56（05）：493-498.

譚良，佘堃，周明天. 信息安全評(píng)估標(biāo)準(zhǔn)研究[J].小型微型計(jì)算機(jī)系統(tǒng)，2006（04）：634-637.

劉偉，張玉清，馮登國(guó). 通用準(zhǔn)則評(píng)估綜述[J].計(jì)算機(jī)工程，2006（01）：171-173.

黃元飛，陳曉樺. 國(guó)家標(biāo)準(zhǔn)GB/T 18336介紹（一）[J].信息安全與通信保密，2001（06）：70-71.

James Backhouse， Carol W Hsu， Leiser Silva. Circuits of Power in Creating de jure Standards：

Shaping an International Information Systems Security Standard[J]. MIS Quarterly， 2006（30）： 143-438.

謝宗曉，王靜漪. ISO/IEC 27001與ISO/IEC 27002標(biāo)準(zhǔn)的演變[J]. 中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)，2015（07）：48-52.