目前世界上约有近个国际和区域性组织,制定标准或技术规则与信息安全标准化有关的组织主要有国际标准化组织(ISO)、国际电工委员会(IEC)、国际电信联盟(RITU)、工程任务组(IETF)等。我国信息安全标准化工作自从加入WTO后,已制定了一批符合中国国情的信息安全标准,一些重点行业还颁布了一批信息安全的行业标准,为我国信息安全技术的发展做出了很大的贡献。
一、信息安全评估的作用
1.明确企业信息系统的安全现状。进行信息安全评估,企业可准确了解自身的网络、各种应用系统及管理制度规范的安全现状,从而明晰企业的安全需求。
2.确定企业信息系统的主要安全风险。在对网络和应用系统进行信息安全评估并进行风险分级后,可以确定企业信息系统的主要安全风险,并让企业选择避免、降低、接受等风险处置措施。
3.指导企业信息系统安全技术体系与管理体系的建设。进行信息安全评估,可以制定企业网络和系统的安全策略及安全解决方案,从而指导企业信息系统安全技术体系与管理体系的建设。
二、主要的信息安全评估标准
计算机系统安全评估标准(TCSEC,从橘皮书到彩虹系列)是美国防部于年公布的第一个计算机系统信息安全评估的正式标准。它把计算机系统的安全分为类、个级别,对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。
信息技术安全评估标准(ITSEC,欧洲百皮书)是由法、英、荷、德欧洲四国年联合发布的。它提出了信息安全的机密性、完整性、可用性的安全属性。
信息技术安全评价的通用标准(CC)由六个国家(美、加、英、法、德、荷)于1996年联合提出的,并逐渐形成国际标准ISO15408。该标准定义了评价信息技术产品和系统安全性的基本准则,是目前国际上公认的表述信息技术安全性的结构。它的发布对信息安全具有重要意义,是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。
BS7799是英国的工业、政府和商业共同需求而发展的一个标准,它分两部分第一部分为“信息安全管理事务准则”第二部分为“信息安全管理系统的规范”。目前此标准已经被很多国家采用,并已成为国际标准BS7799。BS7799包含10个控制大项、36个控制目标和个控制措施。BS7799/ISO17799主要提供了有效地实施信息系统风险管理的建议,并介绍了风险管理的方法和过程。企业可以参照该标准制定出自己的安全策略和风险评估实施步骤。
AS/NZS4360:1999是澳大利亚和新西兰联合开发的风险管理标准,第一版于1995年发布。在AS/NZS4360:1999中,风险管理分为建立环境、风险识别、风险分析、风险评估、风险处置、风险监控和回顾、通信和咨询七个步骤。AS/NZS4360:1999是风险管理的通用指南,它给出了一帧头风险管理的流程,对信息安全风险评估具有知道作用。目前该标准已广泛应用于新南威尔士洲、澳大利亚政府、英联邦卫生组织等机构。
OCTAVE(OperadonallyCriticalThreat,Asset,andVulnerabilityEvaluation)是可操作的关键威胁、资产和弱点评估方法和流程。OCTAVE首先强调的是。一可操作性,其次是C-关键系统。OCTAVE将信息安全风险评估过程分为三个阶段:一是建立基于资产的威胁配置文件;二是标识基础结构的弱点;三是确定安全策略和计划。
国际标准的出台,反过来又推动了各国自身风险管理标准研发的进程。例如美国,从20世纪90年代末开始,在风险管理相关标准的制定上掀起了一个新高潮,仅NIST(美国国家标准与技术局)近几年制定的与风险管理相关的标准就达十多个。美国国防部于2002年发布了《信息(安全)保障》指令(8500-1,于2003年发布了《信息(安全)保障实现》指令(8500-2)两个文件,作为国防系统安全评估也包括风险管理的依据。其中正式发布的此类标准主要有;SP800-26信息技术系统安全自评估指南(2001年);SP800-30信息技术系统风险管理指南(2002年);SP800-51CVE使用和漏洞命名法(2002年)等。
我国公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准G817895-1999{计算机信息系统安全保护等级划分准则》已正式颁布并实施。该准则将信息系统去全分为5个等级:自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主前问控制、数据完整性、审计等,这些指标涵盖了不同级别的安全要求。G818336也是等同采用ISO15408标准。从安全标准发展过程看,我国安全风险评估市场经历了三个阶段:不注重标准;过于依赖标准;跨越标准。现在处于第三阶段,在具有适应性特点的国家标准出台之前,应在内部制定具有可操作性的行为规范。
三、现有信息安全评估标准的局限性及发展展望
风险分析的方法有定性分析、半定量分析和定量分析。现有的信息安全评估标准主要采用定性分析法对风险进行分析,即通常采取安全事件发生的概率来计算风险。然而,在安全评估过程中,评估人员常常面临的问题是信息资产的重要性如何度量资产如何分级什么样的系统损失可能构成什么样的经济损失如何构建技术体系和管理体系达到预定的安全等级一个由病毒中断了的邮件系统,企业因此造成的经济损失和社会影响如何计算如果黑客入侵,尽管没有造成较大的经济损失,但企业的名誉损失又该如何衡量另外,对企业的管理人员而言哪些风险在企业可承受的范围内这些问题从不同角度决定了一个信息系统安全评估的结果。目前的信息安全评估标准都不能对这些问题进行定盈分析。当前一些研究人员正在探讨的“网络控制论”、“自动化分析工具“和”形式化分析方法”等新理论、新方法有可能为未来的风险评估和管理提供一些新的、可借鉴的方法和工具。在没有一个统一的信息安全评估标准的情况下,各家专业评估公司大多数是凭借各自积系的经验解决。因此,这就需要统一的信息安全评估标准的出台。目前,信息安全风险管理中存在的诸多问题也只能在实践中、发展中加以解决。
随着业界对于信息安全问题认识的不断深人,信息安全体系的不断实践,越来越多的人发现信息安全问题最终都归结为一个风险管理问题。据统计,国外发达国家用在信息安全评估上的投资能占企业总投资的肠一,电信和金融行业达到一。照此计算,每年仅银行的安全评估费用就超过几个亿。而且,企业的安全风险信息是动态变化的,只有动态的信息安全评估才能发现和跟踪最新的安全风险。所以企业的信息安全评估是一个长期持续的工作,通常应该每隔一年就进行一次安全风险评估。因此,信息安全评估有着广阔的市场前景。
4/16/2009
|