信息安全評估標準的發(fā)展

申請免費試用、咨詢電話：400-8352-114

文章來源：泛普軟件 企業(yè)的網(wǎng)絡(luò)環(huán)境和應(yīng)用系統(tǒng)愈來愈復(fù)雜，每個企業(yè)都有這樣的疑惑：自己的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)有哪些安全漏洞？應(yīng)該怎樣解決？如何規(guī)劃企業(yè)的安全建設(shè)？信息安全評估回答了這些問題。   什么是信息安全評估？   關(guān)于這個問題，由于每個人的理解不同，可能有不同的答案。但比較流行的一種看法是：信息安全評估是信息安全生命周期中的一個重要環(huán)節(jié)，是對企業(yè)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)、重要服務(wù)器的位置、帶寬、協(xié)議、硬件、與Internet的接口、防火墻的配置、安全管理措施及應(yīng)用流程等進行全面的安全分析，并提出安全風(fēng)險分析報告和改進建議書。   信息安全評估的作用   信息安全評估具有如下作用：    (1)明確企業(yè)信息系統(tǒng)的安全現(xiàn)狀。進行信息安全評估后，可以讓企業(yè)準確地了解自身的網(wǎng)絡(luò)、各種應(yīng)用系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀，從而明晰企業(yè)的安全需求。   (2)確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險。在對網(wǎng)絡(luò)和應(yīng)用系統(tǒng)進行信息安全評估并進行風(fēng)險分級后，可以確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險，并讓企業(yè)選擇避免、降低、接受等風(fēng)險處置措施。   (3)指導(dǎo)企業(yè)信息系統(tǒng)安全技術(shù)體系與管理體系的建設(shè)。對企業(yè)進行信息安全評估后，可以制定企業(yè)網(wǎng)絡(luò)和系統(tǒng)的安全策略及安全解決方案，從而指導(dǎo)企業(yè)信息系統(tǒng)安全技術(shù)體系（如部署防火墻、入侵檢測與漏洞掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、建立公鑰基礎(chǔ)設(shè)施PKI等）與管理體系（安全組織保證、安全管理制度及安全培訓(xùn)機制等）的建設(shè)。   主要的信息安全評估標準   信息安全評估標準是信息安全評估的行動指南?？尚诺挠嬎銠C系統(tǒng)安全評估標準（TCSEC，從橘皮書到彩虹系列）由美國國防部于1985年公布的，是計算機系統(tǒng)信息安全評估的第一個正式標準。它把計算機系統(tǒng)的安全分為4類、7個級別，對用戶登錄、授權(quán)管理、訪問控制、審計跟蹤、隱蔽通道分析、可信通道建立、安全檢測、生命周期保障、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性要求。 信息技術(shù)安全評估標準（ITSEC，歐洲百皮書）是由法、英、荷、德歐洲四國90年代初聯(lián)合發(fā)布的，它提出了信息安全的機密性、完整性、可用性的安全屬性。機密性就是保證沒有經(jīng)過授權(quán)的用戶、實體或進程無法竊取信息；完整性就是保證沒有經(jīng)過授權(quán)的用戶不能改變或者刪除信息，從而信息在傳送的過程中不會被偶然或故意破壞，保持信息的完整、統(tǒng)一；可用性是指合法用戶的正常請求能及時、正確、安全地得到服務(wù)或回應(yīng)。ITSEC把可信計算機的概念提高到可信信息技術(shù)的高度上來認識，對國際信息安全的研究、實施產(chǎn)生了深刻的影響。   信息技術(shù)安全評價的通用標準（CC）由六個國家（美、加、英、法、德、荷）于1996年聯(lián)合提出的，并逐漸形成國際標準ISO15408。該標準定義了評價信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準則，提出了目前國際上公認的表述信息技術(shù)安全性的結(jié)構(gòu)，即把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求以及解決如何正確有效地實施這些功能的保證要求。CC標準是第一個信息技術(shù)安全評價國際標準，它的發(fā)布對信息安全具有重要意義，是信息技術(shù)安全評價標準以及信息安全技術(shù)發(fā)展的一個重要里程碑。   ISO13335標準首次給出了關(guān)于IT安全的保密性、完整性、可用性、審計性、認證性、可靠性6個方面含義，并提出了以風(fēng)險為核心的安全模型：企業(yè)的資產(chǎn)面臨很多威脅（包括來自內(nèi)部的威脅和來自外部的威脅）；威脅利用信息系統(tǒng)存在的各種漏洞（如：物理環(huán)境、網(wǎng)絡(luò)服務(wù)、主機系統(tǒng)、應(yīng)用系統(tǒng)、相關(guān)人員、安全策略等），對信息系統(tǒng)進行滲透和攻擊。如果滲透和攻擊成功，將導(dǎo)致企業(yè)資產(chǎn)的暴露；資產(chǎn)的暴露（如系統(tǒng)高級管理人員由于不小心而導(dǎo)致重要機密信息的泄露），會對資產(chǎn)的價值產(chǎn)生影響（包括直接和間接的影響）；風(fēng)險就是威脅利用漏洞使資產(chǎn)暴露而產(chǎn)生的影響的大小，這可以為資產(chǎn)的重要性和價值所決定；對企業(yè)信息系統(tǒng)安全風(fēng)險的分析，就得出了系統(tǒng)的防護需求；根據(jù)防護需求的不同制定系統(tǒng)的安全解決方案，選擇適當(dāng)?shù)姆雷o措施，進而降低安全風(fēng)險，并抗擊威脅。該模型闡述了信息安全評估的思路，對企業(yè)的信息安全評估工作具有指導(dǎo)意義。   BS7799是英國的工業(yè)、政府和商業(yè)共同需求而發(fā)展的一個標準，它分兩部分：第一部分為“信息安全管理事務(wù)準則”；第二部分為“信息安全管理系統(tǒng)的規(guī)范”。目前此標準已經(jīng)被很多國家采用，并已成為國際標準ISO17799。 BS7799包含10個控制大項、36個控制目標和127個控制措施。BS7799/ISO17799主要提供了有效地實施信息系統(tǒng)風(fēng)險管理的建議，并介紹了風(fēng)險管理的方法和過程。企業(yè)可以參照該標準制定出自己的安全策略和風(fēng)險評估實施步驟。   AS/NZS 4360：1999是澳大利亞和新西蘭聯(lián)合開發(fā)的風(fēng)險管理標準，第一版于1995年發(fā)布。在AS/NZS 4360:1999中，風(fēng)險管理分為建立環(huán)境、風(fēng)險識別、風(fēng)險分析、風(fēng)險評價、風(fēng)險處置、風(fēng)險監(jiān)控與回顧、通信和咨詢七個步驟。AS/NZS 4360:1999是風(fēng)險管理的通用指南，它給出了一整套風(fēng)險管理的流程，對信息安全風(fēng)險評估具有指導(dǎo)作用。目前該標準已廣泛應(yīng)用于新南威爾士洲、澳大利亞政府、英聯(lián)邦衛(wèi)生組織等機構(gòu)。   OCTAVE（Operationally Critical Threat, Asset, and Vulnerability Evaluation）是可操作的關(guān)鍵威脅、資產(chǎn)和弱點評估方法和流程。OCTAVE首先強調(diào)的是O—可操作性，其次是C—關(guān)鍵系統(tǒng)，也就是說，它最注重可操作性，其次對關(guān)鍵性很關(guān)注。OCTAVE將信息安全風(fēng)險評估過程分為三個階段：階段一，建立基于資產(chǎn)的威脅配置文件；階段二，標識基礎(chǔ)結(jié)構(gòu)的弱點；階段三，確定安全策略和計劃。   國內(nèi)主要是等同采用國際標準。公安部主持制定、國家質(zhì)量技術(shù)監(jiān)督局發(fā)布的中華人民共和國國家標準GB17895-1999《計算機信息系統(tǒng)安全保護等級劃分準則》已正式頒布并實施。該準則將信息系統(tǒng)安全分為5個等級：自主保護級、系統(tǒng)審計保護級、安全標記保護級、結(jié)構(gòu)化保護級和訪問驗證保護級。主要的安全考核指標有身份認證、自主訪問控制、數(shù)據(jù)完整性、審計等，這些指標涵蓋了不同級別的安全要求。GB18336也是等同采用ISO 15408標準。   現(xiàn)有信息安全評估標準的局限性   風(fēng)險分析的方法有定性分析、半定量分析和定量分析?，F(xiàn)有的信息安全評估標準主要采用定性分析法對風(fēng)險進行分析，即通常采取安全事件發(fā)生的概率來計算風(fēng)險。 然而，在安全評估過程中，評估人員常常面臨的問題是：信息資產(chǎn)的重要性如何度量？資產(chǎn)如何分級？什么樣的系統(tǒng)損失可能構(gòu)成什么樣的經(jīng)濟損失？如何構(gòu)建技術(shù)體系和管理體系達到預(yù)定的安全等級？一個由病毒中斷了的郵件系統(tǒng)，企業(yè)因此造成的經(jīng)濟損失和社會影響如何計算？如果黑客入侵，盡管沒有造成較大的經(jīng)濟損失，但企業(yè)的名譽損失又該如何衡量？另外，對企業(yè)的管理人員而言：哪些風(fēng)險在企業(yè)可承受的范圍內(nèi)？這些問題從不同角度決定了一個信息系統(tǒng)安全評估的結(jié)果。目前的信息安全評估標準都不能對這些問題進行定量分析，在沒有一個統(tǒng)一的信息安全評估標準的情況下，各家專業(yè)評估公司大多數(shù)是憑借各自積累的經(jīng)驗來解決。因此，這就需要統(tǒng)一的信息安全評估標準的出臺。   信息安全評估的市場前景   隨著業(yè)界對于信息安全問題認識的不斷深入，隨著信息安全體系的不斷實踐，越來越多的人發(fā)現(xiàn)信息安全問題最終都歸結(jié)為一個風(fēng)險管理問題。據(jù)統(tǒng)計，國外發(fā)達國家用在信息安全評估上的投資能占企業(yè)總投資的1%～5%，電信和金融行業(yè)能達到3%～5%。照此計算，每年僅銀行的安全評估費用就超過幾個億。而且，企業(yè)的安全風(fēng)險信息是動態(tài)變化的，只有動態(tài)的信息安全評估才能發(fā)現(xiàn)和跟蹤最新的安全風(fēng)險。所以企業(yè)的信息安全評估是一個長期持續(xù)的工作，通常應(yīng)該每隔1-3年就進行一次安全風(fēng)險評估。因此，信息安全評估有著廣闊的市場前景。   來源：CCW