信息安全评估规范的进展

    企业的网络环境和应用系统愈来愈复杂，每个企业都有这样的疑惑：自己的网络和应用系统有哪些安全漏洞？应该怎样解决？如何规划企业的安全建设？信息安全评估回答了这些问题。



什么是信息安全评估？



关于这个问题，由于每个人的理解不同，可能有不同的答案。但比较流行的一种看法是：信息安全评估是信息安全生命周期中的一个重要环节，是对企业的网络拓扑结构、重要服务器的位置、带宽、协议、硬件、与Internet的接口、防火墙的配置、安全管理措施及应用流程等进行全面的安全分析，并提出安全风险分析报告和改进建议书。



信息安全评估的作用



信息安全评估具有如下作用：



(1)明确企业信息系统的安全现状。进行信息安全评估后，可以让企业准确地了解自身的网络、各种应用系统以及管理制度规范的安全现状，从而明晰企业的安全需求。



(2)确定企业信息系统的主要安全风险。在对网络和应用系统进行信息安全评估并进行风险分级后，可以确定企业信息系统的主要安全风险，并让企业选择避免、降低、接受等风险处置措施。



(3)指导企业信息系统安全技术体系与管理体系的建设。对企业进行信息安全评估后，可以制定企业网络和系统的安全策略及安全解决方案，从而指导企业信息系统安全技术体系（如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统、建立公钥基础设施PKI等）与管理体系（安全组织保证、安全管理制度及安全培训机制等）的建设。



主要的信息安全评估标准



信息安全评估标准是信息安全评估的行动指南。可信的计算机系统安全评估标准（TCSEC，从橘皮书到彩虹系列）由美国国防部于1985年公布的，是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级别，对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。

信息技术安全评估标准（ITSEC，欧洲百皮书）是由法、英、荷、德欧洲四国90年代初联合发布的，它提出了信息安全的机密性、完整性、可用性的安全属性。机密性就是保证没有经过授权的用户、实体或进程无法窃取信息；完整性就是保证没有经过授权的用户不能改变或者删除信息，从而信息在传送的过程中不会被偶然或故意破坏，保持信息的完整、统一；可用性是指合法用户的正常请求能及时、正确、安全地得到服务或回应。ITSEC把可信计算机的概念提高到可信信息技术的高度上来认识，对国际信息安全的研究、实施产生了深刻的影响。



信息技术安全评价的通用标准（CC）由六个国家（美、加、英、法、德、荷）于1996年联合提出的，并逐渐形成国际标准ISO15408。该标准定义了评价信息技术产品和系统安全性的基本准则，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效地实施这些功能的保证要求。CC标准是第一个信息技术安全评价国际标准，它的发布对信息安全具有重要意义，是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。



ISO13335标准首次给出了关于IT安全的保密性、完整性、可用性、审计性、认证性、可靠性6个方面含义，并提出了以风险为核心的安全模型：企业的资产面临很多威胁（包括来自内部的威胁和来自外部的威胁）；威胁利用信息系统存在的各种漏洞（如：物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等），对信息系统进行渗透和攻击。如果渗透和攻击成功，将导致企业资产的暴露；资产的暴露（如系统高级管理人员由于不小心而导致重要机密信息的泄露），会对资产的价值产生影响（包括直接和间接的影响）；风险就是威胁利用漏洞使资产暴露而产生的影响的大小，这可以为资产的重要性和价值所决定；对企业信息系统安全风险的分析，就得出了系统的防护需求；根据防护需求的不同制定系统的安全解决方案，选择适当的防护措施，进而降低安全风险，并抗击威胁。该模型阐述了信息安全评估的思路，对企业的信息安全评估工作具有指导意义。



BS7799是英国的工业、政府和商业共同需求而发展的一个标准，它分两部分：第一部分为“信息安全管理事务准则”；第二部分为“信息安全管理系统的规范”。目前此标准已经被很多国家采用，并已成为国际标准ISO17799。 BS7799包含10个控制大项、36个控制目标和127个控制措施。BS7799/ISO17799主要提供了有效地实施信息系统风险管理的建议，并介绍了风险管理的方法和过程。企业可以参照该标准制定出自己的安全策略和风险评估实施步骤。



AS/NZS 4360：1999是澳大利亚和新西兰联合开发的风险管理标准，第一版于1995年发布。在AS/NZS 4360:1999中，风险管理分为建立环境、风险识别、风险分析、风险评价、风险处置、风险监控与回顾、通信和咨询七个步骤。AS/NZS 4360:1999是风险管理的通用指南，它给出了一整套风险管理的流程，对信息安全风险评估具有指导作用。目前该标准已广泛应用于新南威尔士洲、澳大利亚政府、英联邦卫生组织等机构。



OCTAVE（Operationally Critical Threat, Asset, and Vulnerability Evaluation）是可操作的关键威胁、资产和弱点评估方法和流程。OCTAVE首先强调的是O—可操作性，其次是C—关键系统，也就是说，它最注重可操作性，其次对关键性很关注。OCTAVE将信息安全风险评估过程分为三个阶段：阶段一，建立基于资产的威胁配置文件；阶段二，标识基础结构的弱点；阶段三，确定安全策略和计划。



国内主要是等同采用国际标准。公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》已正式颁布并实施。该准则将信息系统安全分为5个等级：自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计等，这些指标涵盖了不同级别的安全要求。GB18336也是等同采用ISO 15408标准。



现有信息安全评估标准的局限性



风险分析的方法有定性分析、半定量分析和定量分析。现有的信息安全评估标准主要采用定性分析法对风险进行分析，即通常采取安全事件发生的概率来计算风险。 然而，在安全评估过程中，评估人员常常面临的问题是：信息资产的重要性如何度量？资产如何分级？什么样的系统损失可能构成什么样的经济损失？如何构建技术体系和管理体系达到预定的安全等级？一个由病毒中断了的邮件系统，企业因此造成的经济损失和社会影响如何计算？如果黑客入侵，尽管没有造成较大的经济损失，但企业的名誉损失又该如何衡量？另外，对企业的管理人员而言：哪些风险在企业可承受的范围内？这些问题从不同角度决定了一个信息系统安全评估的结果。目前的信息安全评估标准都不能对这些问题进行定量分析，在没有一个统一的信息安全评估标准的情况下，各家专业评估公司大多数是凭借各自积累的经验来解决。因此，这就需要统一的信息安全评估标准的出台。



信息安全评估的市场前景



随着业界对于信息安全问题认识的不断深入，随着信息安全体系的不断实践，越来越多的人发现信息安全问题最终都归结为一个风险管理问题。据统计，国外发达国家用在信息安全评估上的投资能占企业总投资的1%～5%，电信和金融行业能达到3%～5%。照此计算，每年仅银行的安全评估费用就超过几个亿。而且，企业的安全风险信息是动态变化的，只有动态的信息安全评估才能发现和跟踪最新的安全风险。所以企业的信息安全评估是一个长期持续的工作，通常应该每隔1-3年就进行一次安全风险评估。因此，信息安全评估有着广阔的市场前景。