信息安全风险评估综述(上)

1 引言

    在过去的几十年时间里，信息技术已经翻天地覆地改变了整个世界。信息在人们的生产、生活中扮演着越来越重要的角色，人类越来越依赖基于信息技术所创造出来的产品，以信息技术为基础的信息产业已经成为世界经济的重要支柱产业，信息产业的发达程度已经成为一个国家的综合国力和国际竞争力强弱的重要标志。然而人们在尽情享受信息技术带给人类巨大进步的同时，也逐渐意识到它是一把双刃剑，在该领域“潘多拉盒子”已经不止一次被打开，近年来，由于信息系统安全问题所产生的损失、影响不断加剧，信息系统的安全问题越来越受到人们的普遍关注，它已经成为影响信息技术发展的重要因素。然而，传统的事后、被动、单一，针对出现的问题，采用一些安全防护措施，并以某个问题的暂时解决为过程结束标志的信息系统安全建设已经远不能适应信息系统安全防护的发展要求。这种模式往往缺少系统的考虑，就事论事，带有很大盲目性，经常是花费不少、收效甚微，造成资金、人员的巨大浪费。

    信息系统安全问题单凭技术是无法得到彻底解决的，它的解决涉及到政策法规、管理、标准、技术等方方面面，任何单一层次上的安全措施都不可能提供真正的全方位的安全，信息系统安全问题的解决更应该站在系统工程的角度来考虑。在这项系统工程中，信息系统安全风险评估占有重要的地位，它是信息系统安全的基础和前提。

2 风险评估概述

    信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量。是对威胁、脆弱点以及由此带来的风险大小的评估。

    对系统进行风险分析和评估的目的就是：了解系统目前与未来的风险所在，评估这些风险可能带来的安全威胁与影响程度，为安全策略的确定、信息系统的建立及安全运行提供依据。同时通过第三方权威或者国际机构评估和认证，也给用户提供了信息技术产品和系统可靠性的信心，增强产品、单位的竞争力。

    信息系统风险分析和评估是一个复杂的过程，一个完善的信息安全风险评估架构应该具备相应的标准体系、技术体系、组织架构、业务体系和法律法规。

3 国内外发展现状

    国外关于信息系统安全风险评估的研究已有20 多年的历史，美国、加拿大等IT发达国家于20 世纪70 年代和80 年代建立了国家认证机构和风险评估认证体系，负责研究并开发相关的评估标准、评估认证方法和评估技术，并进行基于评估标准的信息安全评估和认证，目前这些国家与信息系统风险评估相关的标准体系、技术体系、组织架构和业务体系都已经相当成熟。从已经建立了信息安全评估认证体系的有关国家来看，风险评估及认证机构都是由国家的安全、情报、国家标准化等政府主管部门授权建立，以保证评估结果的可信性和认证的权威性、公正性。

    我国信息系统风险评估的研究是近几年才起步的，目前主要工作集中于组织架构和业务体系的建立，相应的标准体系和技术体系还处于研究阶段，但随着电子政务、电子商务的蓬勃发展，信息系统风险评估领域和以该领域为基础和前提的信息系统安全工程在我国已经得到政府、军队、企业、科研机构的高度重视，具有广阔的研究和发展空间。

    无论国外还是国内，在信息系统的风险评估中，安全模型的研究、标准的选择、要素的提取、评估方法的研究、评估实施的过程、一直都是研究的重点。

4 安全体系模型介绍

    目前国际上普遍认为信息安全应该是一个动态的、不断完善的过程，并做了大量研究工作，产生了各类动态安全体系模型，如基于时间的PDR 模型、P2DR 模型、全网动态安全体系APPDRR 模型、安氏的PADIMEE模型以及我国的WPDRRC 模型等。其中偏重技术的P2DR 模型和偏重管理的PADIMEE模型影响最大，其中PADIMEE模型对系统安全的描述更全面一些，该模型结构如图1 所示。

    该模型通过对客户的技术和业务需求的分析以及对客户信息安全的“生命周期”考虑，在七个核心方面体现信息系统安全的持续循环，它们是：策略（policy）、评估(assessment)、设计(design)、执行(implementation)、管理(management)、紧急响应(emergency response)和教育(education)，并将自身业务和PADIMEE ™周期中的每个环节紧密地结合起来，为客户构建全面的安全管理解决方案，该模型的核心思想是以工程方式进行信息安全工作。更强调管理以及安全建设过程中的人为因素。

图1 PADIMEE 模型

5 国内外安全标准介绍

    “没有规矩，不成方圆”，这句话在信息系统风险评估领域也是适用的，没有标准指导下的风险评估是没有任何意义的。通过依据某个标准的风险评估或者得到该标准的评估认证，不但可为信息系统提供可靠的安全服务，而且可以树立单位的信息安全形象，提高单位的综合竞争力。从美国国防部1985 年发布著名的可信计算机系统评估准则（TCSEC）起，世界各国根据自己的研究进展和实际情况，相继发布了一系列有关安全评估的准则和标准，如美国的TCSEC；英、法、德、荷等国20 世纪90 年代初发布的信息技术安全评估准则(ITSEC);加拿大1993 年发布的可信计算机产品评价准则（CTCPEC）；美国1993 年制定的信息技术安全联邦标准（FC）；由6 国7 方（加拿大、法国、德国、荷兰、英国、美国NIST 及美国NSA）于20 世纪90 年代中期提出的信息技术安全性评估通用准则（CC）；由英国标准协会（BSI）制定的信息安全管理标准BS779(ISO17799)以及最近得到ISO 认可的SSE-CMM(ISO/IEC21827:2002)等。我国根据具体情况，也加快了对信息安全标准化的步伐和力度，相继颁布了如《计算机信息系统安全保护等级划分准则》（GB17859）[6]、《信息技术安全性评估准则》（GB/T18336）以及针对不同技术领域其他的一些安全标准。下面简单介绍其中比较典型的几个标准。

    5.1 CC 标准

    信息技术安全评估公共标准CCITSE（common criteria of information technical securityevaluation），简称CC（ISO/IEC15408-1），是美国、加拿大及欧洲4 国（共6 国7 个组织）经协商同意，于1993 年6 月起草的，是国际标准化组织统一现有多种准则的结果，是目前最全面的评估准则。

    CC 源于TCSEC，但已经完全改进了TCSEC。CC 的主要思想和框架都取自ITSEC（欧）和FC（美），它由三部分内容组成：

    1）介绍以及一般模型；

    2）安全功能需求（技术上的要求）；

    3）安全认证需求（非技术要求和对开发过程、工程过程的要求）。

    CC 与早期的评估准则相比，主要具有4 大特征：

    1）CC 符合PDR 模型；

    2）CC 评估准则是面向整个信息产品生存期的；

    3）CC 评估准则不仅考虑了保密性，而且还考虑了完整性和可用性多方面的安全特性；

    4)CC 评估准则有与之配套的安全评估方法CEM（commonevaluation methodology）。

    5.2 BS7799(ISO/IEC17799)

    BS7799 标准是由英国标准协会(BSI)制定的信息安全管理标准，是国际上具有代表性的信息安全管理体系标准，包括两部分：BS7799-1:1999《信息安全管理实施细则》；

    BS7799-2:2002《信息安全管理体系规范》，其中BS7799-1:1999 于2000 年12 月通过国际标准化组织（ISO）认可，正式成为国际标准，即ISO/IEC17799:2000。

    BS7799-1:1999《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则，BS7799-2:2002 以BS7799-1:1999 为指南，详细说明按照PDCA 模型建立、实施及文件化信息安全管理体系（ISMS）的要求。

    5.3 ISO/IEC 21827:2002(SSE-CMM)

    信息安全工程能力成熟度模型（system security engineering capability maturity model），是关于信息安全建设工程实施方面的标准。

    SSE-CMM 的目的是建立和完善一套成熟的、可度量的安全工程过程。该模型定义了一个安全工程过程应有的特征，这些特征是完善的安全工程的根本保证。SSE-CMM 模型通常以下述三种方式来应用：“过程改善”— —可以使一个安全工程组织对其安全工程能力的级别有一个认识，于是可设计出改善的安全工程过程，这样就可以提高他们的安全工程能力；“能力评估” — —使一个客户组织可以了解其提供商的安全工程过程能力；“保证” — —通过声明提供一个成熟过程所应具有的各种依据，使得产品、系统、服务更具可信性。

    5.4 我国国家标准《计算机信息系统安全保护等级划分准则》

    我国国家标准《计算机信息系统安全保护等级划分准则》（GB17859）于1999 年9 月正式批准发布，该准则将计算机信息系统安全分为5 级：用户自主保护级、系统审核保护级、安全标记保护级、结构化保护级和访问验证保护级。

    5.5 标准评述

    综合以上几种标准，我们在这里简单地进行一下标准的比较和评价。

    BS7799 是侧重于管理理念的最好体现，同BS 7799 相比，信息技术安全性评估准则（CC）和美国国防部可信计算机评估准则（TCSEC）等更侧重于对系统和产品的技术指标的评估，在安全管理要求的全面性和完整性方面不如BS 7799；在对信息系统日常安全管理方面，BS7799 的地位是其他标准无法取代的，BS7799 涵盖了安全管理所应涉及的方方面面，全面而不失可操作性，提供了一个可持续提高的信息安全管理环境,但在安全技术方面不如CC 分析的系统、透彻。

    SSE-CMM 是系统安全工程领域里成熟的方法体系，在理论研究和实际应用方面具有举足轻重的作用，SSE-CMM 模型适用于所有从事某种形式安全工程的组织，而不必考虑产品的生命周期、组织的规模、领域及特殊性。它已经成为西方发达国家政府、军队和要害部门组织和实施安全工程的通用方法，我们国家也已准备将SSE-CMM 作为安全产品和信息系统安全性检测、评估和认证的标准之一。

    我国的标准体系基本上是采取等同、等效的方式借鉴国外的标准,如GB/T 18336 等同于ISO/IEC 15408。

6 风险评估方法

    标准在信息系统风险评估过程中的指导作用不容忽视，而在评估过程中使用何种方法对评估的有效性同样占有举足轻重的地位。评估方法的选择直接影响到评估过程中的每个环节，甚至可以左右最终的评估结果，所以需要根据系统的具体情况，选择合适的风险评估方法。风险评估的方法有很多种，概括起来可分为三大类：定量的风险评估方法、定性的风险评估方法、定性与定量相结合的评估方法。

    6.1 定量评估方法

    定量的评估方法是指运用数量指标来对风险进行评估。典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法、决策树法等。

    定量的评估方法的优点是用直观的数据来表述评估的结果，看起来一目了然，而且比较客观，定量分析方法的采用，可以使研究结果更科学，更严密，更深刻。有时，一个数据所能够说明的问题可能是用一大段文字也不能够阐述清楚的；但常常为了量化，使本来比较复杂的事物简单化、模糊化了，有的风险因素被量化以后还可能被误解和曲解。

    6.2 定性评估方法

    定性的评估方法主要依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状况做出判断的过程。它主要以与调查对象的深入访谈做出个案记录为基本资料，然后通过一个理论推导演绎的分析框架，对资料进行编码整理，在此基础上做出调查结论。典型的定性分析方法有因素分析法、逻辑分析法、历史比较法、德尔斐法。

    定性评估方法的优点是避免了定量方法的缺点，可以挖掘出一些蕴藏很深的思想，使评估的结论更全面、更深刻；但它的主观性很强，对评估者本身的要求很高。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：信息安全风险评估综述(上)

本文网址：http://www.toberp.com/html/support/1112158395.html