1 引言

    在過去的幾十年時間里，信息技術已經翻天地覆地改變了整個世界。信息在人們的生產、生活中扮演著越來越重要的角色，人類越來越依賴基于信息技術所創(chuàng)造出來的產品，以信息技術為基礎的信息產業(yè)已經成為世界經濟的重要支柱產業(yè)，信息產業(yè)的發(fā)達程度已經成為一個國家的綜合國力和國際競爭力強弱的重要標志。然而人們在盡情享受信息技術帶給人類巨大進步的同時，也逐漸意識到它是一把雙刃劍，在該領域“潘多拉盒子”已經不止一次被打開，近年來，由于信息系統(tǒng)安全問題所產生的損失、影響不斷加劇，信息系統(tǒng)的安全問題越來越受到人們的普遍關注，它已經成為影響信息技術發(fā)展的重要因素。然而，傳統(tǒng)的事后、被動、單一，針對出現的問題，采用一些安全防護措施，并以某個問題的暫時解決為過程結束標志的信息系統(tǒng)安全建設已經遠不能適應信息系統(tǒng)安全防護的發(fā)展要求。這種模式往往缺少系統(tǒng)的考慮，就事論事，帶有很大盲目性，經常是花費不少、收效甚微，造成資金、人員的巨大浪費。

    信息系統(tǒng)安全問題單憑技術是無法得到徹底解決的，它的解決涉及到政策法規(guī)、管理、標準、技術等方方面面，任何單一層次上的安全措施都不可能提供真正的全方位的安全，信息系統(tǒng)安全問題的解決更應該站在系統(tǒng)工程的角度來考慮。在這項系統(tǒng)工程中，信息系統(tǒng)安全風險評估占有重要的地位，它是信息系統(tǒng)安全的基礎和前提。

2 風險評估概述

    信息系統(tǒng)的風險評估是指確定在計算機系統(tǒng)和網絡中每一種資源缺失或遭到破壞對整個系統(tǒng)造成的預計損失數量。是對威脅、脆弱點以及由此帶來的風險大小的評估。

    對系統(tǒng)進行風險分析和評估的目的就是：了解系統(tǒng)目前與未來的風險所在，評估這些風險可能帶來的安全威脅與影響程度，為安全策略的確定、信息系統(tǒng)的建立及安全運行提供依據。同時通過第三方權威或者國際機構評估和認證，也給用戶提供了信息技術產品和系統(tǒng)可靠性的信心，增強產品、單位的競爭力。

    信息系統(tǒng)風險分析和評估是一個復雜的過程，一個完善的信息安全風險評估架構應該具備相應的標準體系、技術體系、組織架構、業(yè)務體系和法律法規(guī)。

3 國內外發(fā)展現狀

    國外關于信息系統(tǒng)安全風險評估的研究已有20 多年的歷史，美國、加拿大等IT發(fā)達國家于20 世紀70 年代和80 年代建立了國家認證機構和風險評估認證體系，負責研究并開發(fā)相關的評估標準、評估認證方法和評估技術，并進行基于評估標準的信息安全評估和認證，目前這些國家與信息系統(tǒng)風險評估相關的標準體系、技術體系、組織架構和業(yè)務體系都已經相當成熟。從已經建立了信息安全評估認證體系的有關國家來看，風險評估及認證機構都是由國家的安全、情報、國家標準化等政府主管部門授權建立，以保證評估結果的可信性和認證的權威性、公正性。

    我國信息系統(tǒng)風險評估的研究是近幾年才起步的，目前主要工作集中于組織架構和業(yè)務體系的建立，相應的標準體系和技術體系還處于研究階段，但隨著電子政務、電子商務的蓬勃發(fā)展，信息系統(tǒng)風險評估領域和以該領域為基礎和前提的信息系統(tǒng)安全工程在我國已經得到政府、軍隊、企業(yè)、科研機構的高度重視，具有廣闊的研究和發(fā)展空間。

    無論國外還是國內，在信息系統(tǒng)的風險評估中，安全模型的研究、標準的選擇、要素的提取、評估方法的研究、評估實施的過程、一直都是研究的重點。

4 安全體系模型介紹

    目前國際上普遍認為信息安全應該是一個動態(tài)的、不斷完善的過程，并做了大量研究工作，產生了各類動態(tài)安全體系模型，如基于時間的PDR 模型、P2DR 模型、全網動態(tài)安全體系APPDRR 模型、安氏的PADIMEE模型以及我國的WPDRRC 模型等。其中偏重技術的P2DR 模型和偏重管理的PADIMEE模型影響最大，其中PADIMEE模型對系統(tǒng)安全的描述更全面一些，該模型結構如圖1 所示。

    該模型通過對客戶的技術和業(yè)務需求的分析以及對客戶信息安全的“生命周期”考慮，在七個核心方面體現信息系統(tǒng)安全的持續(xù)循環(huán)，它們是：策略（policy）、評估(assessment)、設計(design)、執(zhí)行(implementation)、管理(management)、緊急響應(emergency response)和教育(education)，并將自身業(yè)務和PADIMEE ™周期中的每個環(huán)節(jié)緊密地結合起來，為客戶構建全面的安全管理解決方案，該模型的核心思想是以工程方式進行信息安全工作。更強調管理以及安全建設過程中的人為因素。

圖1 PADIMEE 模型

5 國內外安全標準介紹

    “沒有規(guī)矩，不成方圓”，這句話在信息系統(tǒng)風險評估領域也是適用的，沒有標準指導下的風險評估是沒有任何意義的。通過依據某個標準的風險評估或者得到該標準的評估認證，不但可為信息系統(tǒng)提供可靠的安全服務，而且可以樹立單位的信息安全形象，提高單位的綜合競爭力。從美國國防部1985 年發(fā)布著名的可信計算機系統(tǒng)評估準則（TCSEC）起，世界各國根據自己的研究進展和實際情況，相繼發(fā)布了一系列有關安全評估的準則和標準，如美國的TCSEC；英、法、德、荷等國20 世紀90 年代初發(fā)布的信息技術安全評估準則(ITSEC);加拿大1993 年發(fā)布的可信計算機產品評價準則（CTCPEC）；美國1993 年制定的信息技術安全聯邦標準（FC）；由6 國7 方（加拿大、法國、德國、荷蘭、英國、美國NIST 及美國NSA）于20 世紀90 年代中期提出的信息技術安全性評估通用準則（CC）；由英國標準協會（BSI）制定的信息安全管理標準BS779(ISO17799)以及最近得到ISO 認可的SSE-CMM(ISO/IEC21827:2002)等。我國根據具體情況，也加快了對信息安全標準化的步伐和力度，相繼頒布了如《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859）[6]、《信息技術安全性評估準則》（GB/T18336）以及針對不同技術領域其他的一些安全標準。下面簡單介紹其中比較典型的幾個標準。

    5.1 CC 標準

    信息技術安全評估公共標準CCITSE（common criteria of information technical securityevaluation），簡稱CC（ISO/IEC15408-1），是美國、加拿大及歐洲4 國（共6 國7 個組織）經協商同意，于1993 年6 月起草的，是國際標準化組織統(tǒng)一現有多種準則的結果，是目前最全面的評估準則。

    CC 源于TCSEC，但已經完全改進了TCSEC。CC 的主要思想和框架都取自ITSEC（歐）和FC（美），它由三部分內容組成：

    1）介紹以及一般模型；

    2）安全功能需求（技術上的要求）；

    3）安全認證需求（非技術要求和對開發(fā)過程、工程過程的要求）。

    CC 與早期的評估準則相比，主要具有4 大特征：

    1）CC 符合PDR 模型；

    2）CC 評估準則是面向整個信息產品生存期的；

    3）CC 評估準則不僅考慮了保密性，而且還考慮了完整性和可用性多方面的安全特性；

    4)CC 評估準則有與之配套的安全評估方法CEM（commonevaluation methodology）。

    5.2 BS7799(ISO/IEC17799)

    BS7799 標準是由英國標準協會(BSI)制定的信息安全管理標準，是國際上具有代表性的信息安全管理體系標準，包括兩部分：BS7799-1:1999《信息安全管理實施細則》；

    BS7799-2:2002《信息安全管理體系規(guī)范》，其中BS7799-1:1999 于2000 年12 月通過國際標準化組織（ISO）認可，正式成為國際標準，即ISO/IEC17799:2000。

    BS7799-1:1999《信息安全管理實施細則》是組織建立并實施信息安全管理體系的一個指導性的準則，BS7799-2:2002 以BS7799-1:1999 為指南，詳細說明按照PDCA 模型建立、實施及文件化信息安全管理體系（ISMS）的要求。

    5.3 ISO/IEC 21827:2002(SSE-CMM)

    信息安全工程能力成熟度模型（system security engineering capability maturity model），是關于信息安全建設工程實施方面的標準。

    SSE-CMM 的目的是建立和完善一套成熟的、可度量的安全工程過程。該模型定義了一個安全工程過程應有的特征，這些特征是完善的安全工程的根本保證。SSE-CMM 模型通常以下述三種方式來應用：“過程改善”— —可以使一個安全工程組織對其安全工程能力的級別有一個認識，于是可設計出改善的安全工程過程，這樣就可以提高他們的安全工程能力；“能力評估” — —使一個客戶組織可以了解其提供商的安全工程過程能力；“保證” — —通過聲明提供一個成熟過程所應具有的各種依據，使得產品、系統(tǒng)、服務更具可信性。

    5.4 我國國家標準《計算機信息系統(tǒng)安全保護等級劃分準則》

    我國國家標準《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859）于1999 年9 月正式批準發(fā)布，該準則將計算機信息系統(tǒng)安全分為5 級：用戶自主保護級、系統(tǒng)審核保護級、安全標記保護級、結構化保護級和訪問驗證保護級。

    5.5 標準評述

    綜合以上幾種標準，我們在這里簡單地進行一下標準的比較和評價。

    BS7799 是側重于管理理念的最好體現，同BS 7799 相比，信息技術安全性評估準則（CC）和美國國防部可信計算機評估準則（TCSEC）等更側重于對系統(tǒng)和產品的技術指標的評估，在安全管理要求的全面性和完整性方面不如BS 7799；在對信息系統(tǒng)日常安全管理方面，BS7799 的地位是其他標準無法取代的，BS7799 涵蓋了安全管理所應涉及的方方面面，全面而不失可操作性，提供了一個可持續(xù)提高的信息安全管理環(huán)境,但在安全技術方面不如CC 分析的系統(tǒng)、透徹。

    SSE-CMM 是系統(tǒng)安全工程領域里成熟的方法體系，在理論研究和實際應用方面具有舉足輕重的作用，SSE-CMM 模型適用于所有從事某種形式安全工程的組織，而不必考慮產品的生命周期、組織的規(guī)模、領域及特殊性。它已經成為西方發(fā)達國家政府、軍隊和要害部門組織和實施安全工程的通用方法，我們國家也已準備將SSE-CMM 作為安全產品和信息系統(tǒng)安全性檢測、評估和認證的標準之一。

    我國的標準體系基本上是采取等同、等效的方式借鑒國外的標準,如GB/T 18336 等同于ISO/IEC 15408。

6 風險評估方法

    標準在信息系統(tǒng)風險評估過程中的指導作用不容忽視，而在評估過程中使用何種方法對評估的有效性同樣占有舉足輕重的地位。評估方法的選擇直接影響到評估過程中的每個環(huán)節(jié)，甚至可以左右最終的評估結果，所以需要根據系統(tǒng)的具體情況，選擇合適的風險評估方法。風險評估的方法有很多種，概括起來可分為三大類：定量的風險評估方法、定性的風險評估方法、定性與定量相結合的評估方法。

    6.1 定量評估方法

    定量的評估方法是指運用數量指標來對風險進行評估。典型的定量分析方法有因子分析法、聚類分析法、時序模型、回歸模型、等風險圖法、決策樹法等。

    定量的評估方法的優(yōu)點是用直觀的數據來表述評估的結果，看起來一目了然，而且比較客觀，定量分析方法的采用，可以使研究結果更科學，更嚴密，更深刻。有時，一個數據所能夠說明的問題可能是用一大段文字也不能夠闡述清楚的；但常常為了量化，使本來比較復雜的事物簡單化、模糊化了，有的風險因素被量化以后還可能被誤解和曲解。

    6.2 定性評估方法

    定性的評估方法主要依據研究者的知識、經驗、歷史教訓、政策走向及特殊變例等非量化資料對系統(tǒng)風險狀況做出判斷的過程。它主要以與調查對象的深入訪談做出個案記錄為基本資料，然后通過一個理論推導演繹的分析框架，對資料進行編碼整理，在此基礎上做出調查結論。典型的定性分析方法有因素分析法、邏輯分析法、歷史比較法、德爾斐法。

    定性評估方法的優(yōu)點是避免了定量方法的缺點，可以挖掘出一些蘊藏很深的思想，使評估的結論更全面、更深刻；但它的主觀性很強，對評估者本身的要求很高。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.oesoe.com/

本文標題：信息安全風險評估綜述(上)

本文網址：http://www.oesoe.com/html/support/1112158395.html