信息安全風(fēng)險(xiǎn)評估綜述(上)

1 引言

    在過去的幾十年時(shí)間里，信息技術(shù)已經(jīng)翻天地覆地改變了整個(gè)世界。信息在人們的生產(chǎn)、生活中扮演著越來越重要的角色，人類越來越依賴基于信息技術(shù)所創(chuàng)造出來的產(chǎn)品，以信息技術(shù)為基礎(chǔ)的信息產(chǎn)業(yè)已經(jīng)成為世界經(jīng)濟(jì)的重要支柱產(chǎn)業(yè)，信息產(chǎn)業(yè)的發(fā)達(dá)程度已經(jīng)成為一個(gè)國家的綜合國力和國際競爭力強(qiáng)弱的重要標(biāo)志。然而人們在盡情享受信息技術(shù)帶給人類巨大進(jìn)步的同時(shí)，也逐漸意識到它是一把雙刃劍，在該領(lǐng)域“潘多拉盒子”已經(jīng)不止一次被打開，近年來，由于信息系統(tǒng)安全問題所產(chǎn)生的損失、影響不斷加劇，信息系統(tǒng)的安全問題越來越受到人們的普遍關(guān)注，它已經(jīng)成為影響信息技術(shù)發(fā)展的重要因素。然而，傳統(tǒng)的事后、被動、單一，針對出現(xiàn)的問題，采用一些安全防護(hù)措施，并以某個(gè)問題的暫時(shí)解決為過程結(jié)束標(biāo)志的信息系統(tǒng)安全建設(shè)已經(jīng)遠(yuǎn)不能適應(yīng)信息系統(tǒng)安全防護(hù)的發(fā)展要求。這種模式往往缺少系統(tǒng)的考慮，就事論事，帶有很大盲目性，經(jīng)常是花費(fèi)不少、收效甚微，造成資金、人員的巨大浪費(fèi)。

    信息系統(tǒng)安全問題單憑技術(shù)是無法得到徹底解決的，它的解決涉及到政策法規(guī)、管理、標(biāo)準(zhǔn)、技術(shù)等方方面面，任何單一層次上的安全措施都不可能提供真正的全方位的安全，信息系統(tǒng)安全問題的解決更應(yīng)該站在系統(tǒng)工程的角度來考慮。在這項(xiàng)系統(tǒng)工程中，信息系統(tǒng)安全風(fēng)險(xiǎn)評估占有重要的地位，它是信息系統(tǒng)安全的基礎(chǔ)和前提。

2 風(fēng)險(xiǎn)評估概述

    信息系統(tǒng)的風(fēng)險(xiǎn)評估是指確定在計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中每一種資源缺失或遭到破壞對整個(gè)系統(tǒng)造成的預(yù)計(jì)損失數(shù)量。是對威脅、脆弱點(diǎn)以及由此帶來的風(fēng)險(xiǎn)大小的評估。

    對系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析和評估的目的就是：了解系統(tǒng)目前與未來的風(fēng)險(xiǎn)所在，評估這些風(fēng)險(xiǎn)可能帶來的安全威脅與影響程度，為安全策略的確定、信息系統(tǒng)的建立及安全運(yùn)行提供依據(jù)。同時(shí)通過第三方權(quán)威或者國際機(jī)構(gòu)評估和認(rèn)證，也給用戶提供了信息技術(shù)產(chǎn)品和系統(tǒng)可靠性的信心，增強(qiáng)產(chǎn)品、單位的競爭力。

    信息系統(tǒng)風(fēng)險(xiǎn)分析和評估是一個(gè)復(fù)雜的過程，一個(gè)完善的信息安全風(fēng)險(xiǎn)評估架構(gòu)應(yīng)該具備相應(yīng)的標(biāo)準(zhǔn)體系、技術(shù)體系、組織架構(gòu)、業(yè)務(wù)體系和法律法規(guī)。

3 國內(nèi)外發(fā)展現(xiàn)狀

    國外關(guān)于信息系統(tǒng)安全風(fēng)險(xiǎn)評估的研究已有20 多年的歷史，美國、加拿大等IT發(fā)達(dá)國家于20 世紀(jì)70 年代和80 年代建立了國家認(rèn)證機(jī)構(gòu)和風(fēng)險(xiǎn)評估認(rèn)證體系，負(fù)責(zé)研究并開發(fā)相關(guān)的評估標(biāo)準(zhǔn)、評估認(rèn)證方法和評估技術(shù)，并進(jìn)行基于評估標(biāo)準(zhǔn)的信息安全評估和認(rèn)證，目前這些國家與信息系統(tǒng)風(fēng)險(xiǎn)評估相關(guān)的標(biāo)準(zhǔn)體系、技術(shù)體系、組織架構(gòu)和業(yè)務(wù)體系都已經(jīng)相當(dāng)成熟。從已經(jīng)建立了信息安全評估認(rèn)證體系的有關(guān)國家來看，風(fēng)險(xiǎn)評估及認(rèn)證機(jī)構(gòu)都是由國家的安全、情報(bào)、國家標(biāo)準(zhǔn)化等政府主管部門授權(quán)建立，以保證評估結(jié)果的可信性和認(rèn)證的權(quán)威性、公正性。

    我國信息系統(tǒng)風(fēng)險(xiǎn)評估的研究是近幾年才起步的，目前主要工作集中于組織架構(gòu)和業(yè)務(wù)體系的建立，相應(yīng)的標(biāo)準(zhǔn)體系和技術(shù)體系還處于研究階段，但隨著電子政務(wù)、電子商務(wù)的蓬勃發(fā)展，信息系統(tǒng)風(fēng)險(xiǎn)評估領(lǐng)域和以該領(lǐng)域?yàn)榛�礎(chǔ)和前提的信息系統(tǒng)安全工程在我國已經(jīng)得到政府、軍隊(duì)、企業(yè)、科研機(jī)構(gòu)的高度重視，具有廣闊的研究和發(fā)展空間。

    無論國外還是國內(nèi)，在信息系統(tǒng)的風(fēng)險(xiǎn)評估中，安全模型的研究、標(biāo)準(zhǔn)的選擇、要素的提取、評估方法的研究、評估實(shí)施的過程、一直都是研究的重點(diǎn)。

4 安全體系模型介紹

    目前國際上普遍認(rèn)為信息安全應(yīng)該是一個(gè)動態(tài)的、不斷完善的過程，并做了大量研究工作，產(chǎn)生了各類動態(tài)安全體系模型，如基于時(shí)間的PDR 模型、P2DR 模型、全網(wǎng)動態(tài)安全體系A(chǔ)PPDRR 模型、安氏的PADIMEE模型以及我國的WPDRRC 模型等。其中偏重技術(shù)的P2DR 模型和偏重管理的PADIMEE模型影響最大，其中PADIMEE模型對系統(tǒng)安全的描述更全面一些，該模型結(jié)構(gòu)如圖1 所示。

    該模型通過對客戶的技術(shù)和業(yè)務(wù)需求的分析以及對客戶信息安全的“生命周期”考慮，在七個(gè)核心方面體現(xiàn)信息系統(tǒng)安全的持續(xù)循環(huán)，它們是：策略（policy）、評估(assessment)、設(shè)計(jì)(design)、執(zhí)行(implementation)、管理(management)、緊急響應(yīng)(emergency response)和教育(education)，并將自身業(yè)務(wù)和PADIMEE ™周期中的每個(gè)環(huán)節(jié)緊密地結(jié)合起來，為客戶構(gòu)建全面的安全管理解決方案，該模型的核心思想是以工程方式進(jìn)行信息安全工作。更強(qiáng)調(diào)管理以及安全建設(shè)過程中的人為因素。

圖1 PADIMEE 模型

5 國內(nèi)外安全標(biāo)準(zhǔn)介紹

    “沒有規(guī)矩，不成方圓”，這句話在信息系統(tǒng)風(fēng)險(xiǎn)評估領(lǐng)域也是適用的，沒有標(biāo)準(zhǔn)指導(dǎo)下的風(fēng)險(xiǎn)評估是沒有任何意義的。通過依據(jù)某個(gè)標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評估或者得到該標(biāo)準(zhǔn)的評估認(rèn)證，不但可為信息系統(tǒng)提供可靠的安全服務(wù)，而且可以樹立單位的信息安全形象，提高單位的綜合競爭力。從美國國防部1985 年發(fā)布著名的可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC）起，世界各國根據(jù)自己的研究進(jìn)展和實(shí)際情況，相繼發(fā)布了一系列有關(guān)安全評估的準(zhǔn)則和標(biāo)準(zhǔn)，如美國的TCSEC；英、法、德、荷等國20 世紀(jì)90 年代初發(fā)布的信息技術(shù)安全評估準(zhǔn)則(ITSEC);加拿大1993 年發(fā)布的可信計(jì)算機(jī)產(chǎn)品評價(jià)準(zhǔn)則（CTCPEC）；美國1993 年制定的信息技術(shù)安全聯(lián)邦標(biāo)準(zhǔn)（FC）；由6 國7 方（加拿大、法國、德國、荷蘭、英國、美國NIST 及美國NSA）于20 世紀(jì)90 年代中期提出的信息技術(shù)安全性評估通用準(zhǔn)則（CC）；由英國標(biāo)準(zhǔn)協(xié)會（BSI）制定的信息安全管理標(biāo)準(zhǔn)BS779(ISO17799)以及最近得到ISO 認(rèn)可的SSE-CMM(ISO/IEC21827:2002)等。我國根據(jù)具體情況，也加快了對信息安全標(biāo)準(zhǔn)化的步伐和力度，相繼頒布了如《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859）[6]、《信息技術(shù)安全性評估準(zhǔn)則》（GB/T18336）以及針對不同技術(shù)領(lǐng)域其他的一些安全標(biāo)準(zhǔn)。下面簡單介紹其中比較典型的幾個(gè)標(biāo)準(zhǔn)。

    5.1 CC 標(biāo)準(zhǔn)

    信息技術(shù)安全評估公共標(biāo)準(zhǔn)CCITSE（common criteria of information technical securityevaluation），簡稱CC（ISO/IEC15408-1），是美國、加拿大及歐洲4 國（共6 國7 個(gè)組織）經(jīng)協(xié)商同意，于1993 年6 月起草的，是國際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的結(jié)果，是目前最全面的評估準(zhǔn)則。

    CC 源于TCSEC，但已經(jīng)完全改進(jìn)了TCSEC。CC 的主要思想和框架都取自ITSEC（歐）和FC（美），它由三部分內(nèi)容組成：

    1）介紹以及一般模型；

    2）安全功能需求（技術(shù)上的要求）；

    3）安全認(rèn)證需求（非技術(shù)要求和對開發(fā)過程、工程過程的要求）。

    CC 與早期的評估準(zhǔn)則相比，主要具有4 大特征：

    1）CC 符合PDR 模型；

    2）CC 評估準(zhǔn)則是面向整個(gè)信息產(chǎn)品生存期的；

    3）CC 評估準(zhǔn)則不僅考慮了保密性，而且還考慮了完整性和可用性多方面的安全特性；

    4)CC 評估準(zhǔn)則有與之配套的安全評估方法CEM（commonevaluation methodology）。

    5.2 BS7799(ISO/IEC17799)

    BS7799 標(biāo)準(zhǔn)是由英國標(biāo)準(zhǔn)協(xié)會(BSI)制定的信息安全管理標(biāo)準(zhǔn)，是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，包括兩部分：BS7799-1:1999《信息安全管理實(shí)施細(xì)則》；

    BS7799-2:2002《信息安全管理體系規(guī)范》，其中BS7799-1:1999 于2000 年12 月通過國際標(biāo)準(zhǔn)化組織（ISO）認(rèn)可，正式成為國際標(biāo)準(zhǔn)，即ISO/IEC17799:2000。

    BS7799-1:1999《信息安全管理實(shí)施細(xì)則》是組織建立并實(shí)施信息安全管理體系的一個(gè)指導(dǎo)性的準(zhǔn)則，BS7799-2:2002 以BS7799-1:1999 為指南，詳細(xì)說明按照PDCA 模型建立、實(shí)施及文件化信息安全管理體系（ISMS）的要求。

    5.3 ISO/IEC 21827:2002(SSE-CMM)

    信息安全工程能力成熟度模型（system security engineering capability maturity model），是關(guān)于信息安全建設(shè)工程實(shí)施方面的標(biāo)準(zhǔn)。

    SSE-CMM 的目的是建立和完善一套成熟的、可度量的安全工程過程。該模型定義了一個(gè)安全工程過程應(yīng)有的特征，這些特征是完善的安全工程的根本保證。SSE-CMM 模型通常以下述三種方式來應(yīng)用：“過程改善”— —可以使一個(gè)安全工程組織對其安全工程能力的級別有一個(gè)認(rèn)識，于是可設(shè)計(jì)出改善的安全工程過程，這樣就可以提高他們的安全工程能力；“能力評估” — —使一個(gè)客戶組織可以了解其提供商的安全工程過程能力；“保證” — —通過聲明提供一個(gè)成熟過程所應(yīng)具有的各種依據(jù)，使得產(chǎn)品、系統(tǒng)、服務(wù)更具可信性。

    5.4 我國國家標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》

    我國國家標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859）于1999 年9 月正式批準(zhǔn)發(fā)布，該準(zhǔn)則將計(jì)算機(jī)信息系統(tǒng)安全分為5 級：用戶自主保護(hù)級、系統(tǒng)審核保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗(yàn)證保護(hù)級。

    5.5 標(biāo)準(zhǔn)評述

    綜合以上幾種標(biāo)準(zhǔn)，我們在這里簡單地進(jìn)行一下標(biāo)準(zhǔn)的比較和評價(jià)。

    BS7799 是側(cè)重于管理理念的最好體現(xiàn)，同BS 7799 相比，信息技術(shù)安全性評估準(zhǔn)則（CC）和美國國防部可信計(jì)算機(jī)評估準(zhǔn)則（TCSEC）等更側(cè)重于對系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)的評估，在安全管理要求的全面性和完整性方面不如BS 7799；在對信息系統(tǒng)日常安全管理方面，BS7799 的地位是其他標(biāo)準(zhǔn)無法取代的，BS7799 涵蓋了安全管理所應(yīng)涉及的方方面面，全面而不失可操作性，提供了一個(gè)可持續(xù)提高的信息安全管理環(huán)境,但在安全技術(shù)方面不如CC 分析的系統(tǒng)、透徹。

    SSE-CMM 是系統(tǒng)安全工程領(lǐng)域里成熟的方法體系，在理論研究和實(shí)際應(yīng)用方面具有舉足輕重的作用，SSE-CMM 模型適用于所有從事某種形式安全工程的組織，而不必考慮產(chǎn)品的生命周期、組織的規(guī)模、領(lǐng)域及特殊性。它已經(jīng)成為西方發(fā)達(dá)國家政府、軍隊(duì)和要害部門組織和實(shí)施安全工程的通用方法，我們國家也已準(zhǔn)備將SSE-CMM 作為安全產(chǎn)品和信息系統(tǒng)安全性檢測、評估和認(rèn)證的標(biāo)準(zhǔn)之一。

    我國的標(biāo)準(zhǔn)體系基本上是采取等同、等效的方式借鑒國外的標(biāo)準(zhǔn),如GB/T 18336 等同于ISO/IEC 15408。

6 風(fēng)險(xiǎn)評估方法

    標(biāo)準(zhǔn)在信息系統(tǒng)風(fēng)險(xiǎn)評估過程中的指導(dǎo)作用不容忽視，而在評估過程中使用何種方法對評估的有效性同樣占有舉足輕重的地位。評估方法的選擇直接影響到評估過程中的每個(gè)環(huán)節(jié)，甚至可以左右最終的評估結(jié)果，所以需要根據(jù)系統(tǒng)的具體情況，選擇合適的風(fēng)險(xiǎn)評估方法。風(fēng)險(xiǎn)評估的方法有很多種，概括起來可分為三大類：定量的風(fēng)險(xiǎn)評估方法、定性的風(fēng)險(xiǎn)評估方法、定性與定量相結(jié)合的評估方法。

    6.1 定量評估方法

    定量的評估方法是指運(yùn)用數(shù)量指標(biāo)來對風(fēng)險(xiǎn)進(jìn)行評估。典型的定量分析方法有因子分析法、聚類分析法、時(shí)序模型、回歸模型、等風(fēng)險(xiǎn)圖法、決策樹法等。

    定量的評估方法的優(yōu)點(diǎn)是用直觀的數(shù)據(jù)來表述評估的結(jié)果，看起來一目了然，而且比較客觀，定量分析方法的采用，可以使研究結(jié)果更科學(xué)，更嚴(yán)密，更深刻。有時(shí)，一個(gè)數(shù)據(jù)所能夠說明的問題可能是用一大段文字也不能夠闡述清楚的；但常常為了量化，使本來比較復(fù)雜的事物簡單化、模糊化了，有的風(fēng)險(xiǎn)因素被量化以后還可能被誤解和曲解。

    6.2 定性評估方法

    定性的評估方法主要依據(jù)研究者的知識、經(jīng)驗(yàn)、歷史教訓(xùn)、政策走向及特殊變例等非量化資料對系統(tǒng)風(fēng)險(xiǎn)狀況做出判斷的過程。它主要以與調(diào)查對象的深入訪談做出個(gè)案記錄為基本資料，然后通過一個(gè)理論推導(dǎo)演繹的分析框架，對資料進(jìn)行編碼整理，在此基礎(chǔ)上做出調(diào)查結(jié)論。典型的定性分析方法有因素分析法、邏輯分析法、歷史比較法、德爾斐法。

    定性評估方法的優(yōu)點(diǎn)是避免了定量方法的缺點(diǎn)，可以挖掘出一些蘊(yùn)藏很深的思想，使評估的結(jié)論更全面、更深刻；但它的主觀性很強(qiáng)，對評估者本身的要求很高。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.lukmueng.com/

本文標(biāo)題：信息安全風(fēng)險(xiǎn)評估綜述(上)

本文網(wǎng)址：http://m.lukmueng.com/html/support/1112158395.html