信息安全評(píng)估標(biāo)準(zhǔn)的發(fā)展

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

文章來源：泛普軟件 企業(yè)的網(wǎng)絡(luò)環(huán)境和應(yīng)用系統(tǒng)愈來愈復(fù)雜，每個(gè)企業(yè)都有這樣的疑惑：自己的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)有哪些安全漏洞？應(yīng)該怎樣解決？如何規(guī)劃企業(yè)的安全建設(shè)？信息安全評(píng)估回答了這些問題。   什么是信息安全評(píng)估？   關(guān)于這個(gè)問題，由于每個(gè)人的理解不同，可能有不同的答案。但比較流行的一種看法是：信息安全評(píng)估是信息安全生命周期中的一個(gè)重要環(huán)節(jié)，是對(duì)企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、重要服務(wù)器的位置、帶寬、協(xié)議、硬件、與Internet的接口、防火墻的配置、安全管理措施及應(yīng)用流程等進(jìn)行全面的安全分析，并提出安全風(fēng)險(xiǎn)分析報(bào)告和改進(jìn)建議書。   信息安全評(píng)估的作用   信息安全評(píng)估具有如下作用：    (1)明確企業(yè)信息系統(tǒng)的安全現(xiàn)狀。進(jìn)行信息安全評(píng)估后，可以讓企業(yè)準(zhǔn)確地了解自身的網(wǎng)絡(luò)、各種應(yīng)用系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀，從而明晰企業(yè)的安全需求。   (2)確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險(xiǎn)。在對(duì)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)進(jìn)行信息安全評(píng)估并進(jìn)行風(fēng)險(xiǎn)分級(jí)后，可以確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險(xiǎn)，并讓企業(yè)選擇避免、降低、接受等風(fēng)險(xiǎn)處置措施。   (3)指導(dǎo)企業(yè)信息系統(tǒng)安全技術(shù)體系與管理體系的建設(shè)。對(duì)企業(yè)進(jìn)行信息安全評(píng)估后，可以制定企業(yè)網(wǎng)絡(luò)和系統(tǒng)的安全策略及安全解決方案，從而指導(dǎo)企業(yè)信息系統(tǒng)安全技術(shù)體系（如部署防火墻、入侵檢測(cè)與漏洞掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、建立公鑰基礎(chǔ)設(shè)施PKI等）與管理體系（安全組織保證、安全管理制度及安全培訓(xùn)機(jī)制等）的建設(shè)。   主要的信息安全評(píng)估標(biāo)準(zhǔn)   信息安全評(píng)估標(biāo)準(zhǔn)是信息安全評(píng)估的行動(dòng)指南?？尚诺挠?jì)算機(jī)系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)（TCSEC，從橘皮書到彩虹系列）由美國國防部于1985年公布的，是計(jì)算機(jī)系統(tǒng)信息安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)。它把計(jì)算機(jī)系統(tǒng)的安全分為4類、7個(gè)級(jí)別，對(duì)用戶登錄、授權(quán)管理、訪問控制、審計(jì)跟蹤、隱蔽通道分析、可信通道建立、安全檢測(cè)、生命周期保障、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性要求。 信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)（ITSEC，歐洲百皮書）是由法、英、荷、德歐洲四國90年代初聯(lián)合發(fā)布的，它提出了信息安全的機(jī)密性、完整性、可用性的安全屬性。機(jī)密性就是保證沒有經(jīng)過授權(quán)的用戶、實(shí)體或進(jìn)程無法竊取信息；完整性就是保證沒有經(jīng)過授權(quán)的用戶不能改變或者刪除信息，從而信息在傳送的過程中不會(huì)被偶然或故意破壞，保持信息的完整、統(tǒng)一；可用性是指合法用戶的正常請(qǐng)求能及時(shí)、正確、安全地得到服務(wù)或回應(yīng)。ITSEC把可信計(jì)算機(jī)的概念提高到可信信息技術(shù)的高度上來認(rèn)識(shí)，對(duì)國際信息安全的研究、實(shí)施產(chǎn)生了深刻的影響。   信息技術(shù)安全評(píng)價(jià)的通用標(biāo)準(zhǔn)（CC）由六個(gè)國家（美、加、英、法、德、荷）于1996年聯(lián)合提出的，并逐漸形成國際標(biāo)準(zhǔn)ISO15408。該標(biāo)準(zhǔn)定義了評(píng)價(jià)信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準(zhǔn)則，提出了目前國際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)，即把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求以及解決如何正確有效地實(shí)施這些功能的保證要求。CC標(biāo)準(zhǔn)是第一個(gè)信息技術(shù)安全評(píng)價(jià)國際標(biāo)準(zhǔn)，它的發(fā)布對(duì)信息安全具有重要意義，是信息技術(shù)安全評(píng)價(jià)標(biāo)準(zhǔn)以及信息安全技術(shù)發(fā)展的一個(gè)重要里程碑。   ISO13335標(biāo)準(zhǔn)首次給出了關(guān)于IT安全的保密性、完整性、可用性、審計(jì)性、認(rèn)證性、可靠性6個(gè)方面含義，并提出了以風(fēng)險(xiǎn)為核心的安全模型：企業(yè)的資產(chǎn)面臨很多威脅（包括來自內(nèi)部的威脅和來自外部的威脅）；威脅利用信息系統(tǒng)存在的各種漏洞（如：物理環(huán)境、網(wǎng)絡(luò)服務(wù)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、相關(guān)人員、安全策略等），對(duì)信息系統(tǒng)進(jìn)行滲透和攻擊。如果滲透和攻擊成功，將導(dǎo)致企業(yè)資產(chǎn)的暴露；資產(chǎn)的暴露（如系統(tǒng)高級(jí)管理人員由于不小心而導(dǎo)致重要機(jī)密信息的泄露），會(huì)對(duì)資產(chǎn)的價(jià)值產(chǎn)生影響（包括直接和間接的影響）；風(fēng)險(xiǎn)就是威脅利用漏洞使資產(chǎn)暴露而產(chǎn)生的影響的大小，這可以為資產(chǎn)的重要性和價(jià)值所決定；對(duì)企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)的分析，就得出了系統(tǒng)的防護(hù)需求；根據(jù)防護(hù)需求的不同制定系統(tǒng)的安全解決方案，選擇適當(dāng)?shù)姆雷o(hù)措施，進(jìn)而降低安全風(fēng)險(xiǎn)，并抗擊威脅。該模型闡述了信息安全評(píng)估的思路，對(duì)企業(yè)的信息安全評(píng)估工作具有指導(dǎo)意義。   BS7799是英國的工業(yè)、政府和商業(yè)共同需求而發(fā)展的一個(gè)標(biāo)準(zhǔn)，它分兩部分：第一部分為“信息安全管理事務(wù)準(zhǔn)則”；第二部分為“信息安全管理系統(tǒng)的規(guī)范”。目前此標(biāo)準(zhǔn)已經(jīng)被很多國家采用，并已成為國際標(biāo)準(zhǔn)ISO17799。 BS7799包含10個(gè)控制大項(xiàng)、36個(gè)控制目標(biāo)和127個(gè)控制措施。BS7799/ISO17799主要提供了有效地實(shí)施信息系統(tǒng)風(fēng)險(xiǎn)管理的建議，并介紹了風(fēng)險(xiǎn)管理的方法和過程。企業(yè)可以參照該標(biāo)準(zhǔn)制定出自己的安全策略和風(fēng)險(xiǎn)評(píng)估實(shí)施步驟。   AS/NZS 4360：1999是澳大利亞和新西蘭聯(lián)合開發(fā)的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)，第一版于1995年發(fā)布。在AS/NZS 4360:1999中，風(fēng)險(xiǎn)管理分為建立環(huán)境、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)監(jiān)控與回顧、通信和咨詢七個(gè)步驟。AS/NZS 4360:1999是風(fēng)險(xiǎn)管理的通用指南，它給出了一整套風(fēng)險(xiǎn)管理的流程，對(duì)信息安全風(fēng)險(xiǎn)評(píng)估具有指導(dǎo)作用。目前該標(biāo)準(zhǔn)已廣泛應(yīng)用于新南威爾士洲、澳大利亞政府、英聯(lián)邦衛(wèi)生組織等機(jī)構(gòu)。   OCTAVE（Operationally Critical Threat, Asset, and Vulnerability Evaluation）是可操作的關(guān)鍵威脅、資產(chǎn)和弱點(diǎn)評(píng)估方法和流程。OCTAVE首先強(qiáng)調(diào)的是O—可操作性，其次是C—關(guān)鍵系統(tǒng)，也就是說，它最注重可操作性，其次對(duì)關(guān)鍵性很關(guān)注。OCTAVE將信息安全風(fēng)險(xiǎn)評(píng)估過程分為三個(gè)階段：階段一，建立基于資產(chǎn)的威脅配置文件；階段二，標(biāo)識(shí)基礎(chǔ)結(jié)構(gòu)的弱點(diǎn)；階段三，確定安全策略和計(jì)劃。   國內(nèi)主要是等同采用國際標(biāo)準(zhǔn)。公安部主持制定、國家質(zhì)量技術(shù)監(jiān)督局發(fā)布的中華人民共和國國家標(biāo)準(zhǔn)GB17895-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》已正式頒布并實(shí)施。該準(zhǔn)則將信息系統(tǒng)安全分為5個(gè)等級(jí)：自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)和訪問驗(yàn)證保護(hù)級(jí)。主要的安全考核指標(biāo)有身份認(rèn)證、自主訪問控制、數(shù)據(jù)完整性、審計(jì)等，這些指標(biāo)涵蓋了不同級(jí)別的安全要求。GB18336也是等同采用ISO 15408標(biāo)準(zhǔn)。   現(xiàn)有信息安全評(píng)估標(biāo)準(zhǔn)的局限性   風(fēng)險(xiǎn)分析的方法有定性分析、半定量分析和定量分析?，F(xiàn)有的信息安全評(píng)估標(biāo)準(zhǔn)主要采用定性分析法對(duì)風(fēng)險(xiǎn)進(jìn)行分析，即通常采取安全事件發(fā)生的概率來計(jì)算風(fēng)險(xiǎn)。 然而，在安全評(píng)估過程中，評(píng)估人員常常面臨的問題是：信息資產(chǎn)的重要性如何度量？資產(chǎn)如何分級(jí)？什么樣的系統(tǒng)損失可能構(gòu)成什么樣的經(jīng)濟(jì)損失？如何構(gòu)建技術(shù)體系和管理體系達(dá)到預(yù)定的安全等級(jí)？一個(gè)由病毒中斷了的郵件系統(tǒng)，企業(yè)因此造成的經(jīng)濟(jì)損失和社會(huì)影響如何計(jì)算？如果黑客入侵，盡管沒有造成較大的經(jīng)濟(jì)損失，但企業(yè)的名譽(yù)損失又該如何衡量？另外，對(duì)企業(yè)的管理人員而言：哪些風(fēng)險(xiǎn)在企業(yè)可承受的范圍內(nèi)？這些問題從不同角度決定了一個(gè)信息系統(tǒng)安全評(píng)估的結(jié)果。目前的信息安全評(píng)估標(biāo)準(zhǔn)都不能對(duì)這些問題進(jìn)行定量分析，在沒有一個(gè)統(tǒng)一的信息安全評(píng)估標(biāo)準(zhǔn)的情況下，各家專業(yè)評(píng)估公司大多數(shù)是憑借各自積累的經(jīng)驗(yàn)來解決。因此，這就需要統(tǒng)一的信息安全評(píng)估標(biāo)準(zhǔn)的出臺(tái)。   信息安全評(píng)估的市場(chǎng)前景   隨著業(yè)界對(duì)于信息安全問題認(rèn)識(shí)的不斷深入，隨著信息安全體系的不斷實(shí)踐，越來越多的人發(fā)現(xiàn)信息安全問題最終都?xì)w結(jié)為一個(gè)風(fēng)險(xiǎn)管理問題。據(jù)統(tǒng)計(jì)，國外發(fā)達(dá)國家用在信息安全評(píng)估上的投資能占企業(yè)總投資的1%～5%，電信和金融行業(yè)能達(dá)到3%～5%。照此計(jì)算，每年僅銀行的安全評(píng)估費(fèi)用就超過幾個(gè)億。而且，企業(yè)的安全風(fēng)險(xiǎn)信息是動(dòng)態(tài)變化的，只有動(dòng)態(tài)的信息安全評(píng)估才能發(fā)現(xiàn)和跟蹤最新的安全風(fēng)險(xiǎn)。所以企業(yè)的信息安全評(píng)估是一個(gè)長(zhǎng)期持續(xù)的工作，通常應(yīng)該每隔1-3年就進(jìn)行一次安全風(fēng)險(xiǎn)評(píng)估。因此，信息安全評(píng)估有著廣闊的市場(chǎng)前景。   來源：CCW