对信息安全评估的认识

信息安全旨在保护信息资产免受威胁。信息安全评估就是对信息在产生、存储、传输等过程中其保密性、完整性、可用性遭到破坏的可能性以及由此产生的后果作一个估计或评价。信息安全评估是有效保证信息安全的前提条件，也是制定安全管理措施的依据之一。

信息安全评估涉及四个主要因素：资产、威胁、弱点和风险。资产指对组织有价值的任何东西(信息资产、系统资产、软件资产、硬件资产、人员资产)。威胁指对组织或系统产生危害的有害事件的潜在原因(基于网络方式访问造成的威胁、基于物理方式访问造成的威胁、系统问题以及其他问题等)。薄弱点是一个资产或资产组能够被威胁利用的弱点(组织弱点和设计弱点、实现弱点、配置弱点等技术弱点)。风险指威胁利用薄弱点对资产或资产组产生影响的潜在可能性和潜在影响的结合。评估内容包括：安全管理评估、人员安全评估、访问控制安全评估、网络系统安全评估、应用系统安全评估、信息资产安全评估等。

信息安全不是一个孤立静止的概念，而是一个多层面、多因素、综合的动态过程，它贯穿于信息资产和信息系统的整个生命周期。如果凭一时的需要，制定一些控制措施和引入某些技术产品，都难免存在挂一漏万、顾此失彼的问题，使得信息安全这只“木桶”出现若干“短木块”，从而无法提高安全水平。而持续安全的实现过程是在组织安全方针的指导下，通过采集本系统的安全信息，对目前操作系统安全、重要服务器、网络设备、各种安全管理、防火墙的配置、安全控制、人员管理措施、安全策略及应用流程等进行全面的安全分析，获得系统的安全需求、安全漏洞及其可能的危害；然后根据安全需求制定安全体系方案，建立安全技术体系和安全管理体系；通过安全管理体系来保证整个安全体系运行的有效性，对安全体系进行持续改进。只有从安全体系的角度对系统进行分析和评估，才可以发现更多更隐蔽的安全隐患。

对信息安全评估方法的分析与评价

关于信息安全风险评估理论标准，国际上较为认可的有ISO/IEC13335IT安全管理指南、AS/NZS4360风险管理标准、BS7799-1基于风险管理的信息安全管理体系等几种，它们均对风险评估给予了明确的定义和指导。另外，NIST SP800-53和SP800-60描述了信息系统与安全目标及风险级别对应指南，NIST SP800-26、SP800-30分别描述了自评估指南和风险管理指南。目前业内使用的评估方法，基本是由这几个标准演化而来，比较流行的有以下几类。

1.基于知识的方法

基于知识的风险评估方法主要是依靠经验进行的，经验从安全专家处获取并凭此来解决相似场景的风险评估问题。它涉及到对来自类似组织(包括规模、目标和市场等)的“最佳惯例”的重用。通过采集相关信息，识别组织的风险所在和当前的安全措施(包括识别重要资产、安全需求分析、当前安全实践分析、威胁和弱点发现、基于资产的风险分析和评估等)，与特定的标准和惯例进行比较，找出不当之处，并按照标准或最佳惯例的推荐，选择安全措施，最终达到消减和控制风险的目的。

在评估时，可以采用一些辅助性自动化工具来简化评估工作，这些工具可以帮助组织拟订符合特定标准要求的问卷，然后对结果进行综合分析。例如英国CCTA开发了CRAMM风险评估工具遵循BS 7799规范，包括依靠资产建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等，这种方法的优越性在于能够直接提供推荐的保护措施、结构框架和实施计划。另外， CORAS(BITD开发安全危急系统的风险分析平台)是由一系列风险分析、咨询和安全评价工具组成，它是一个基于专家系统和扩展知识库的问卷系统，对所有的威胁和脆弱点评估其相对重要性，并且给出合适的建议和解决方案。上述方法比较集中在管理方面，对技术层面涉及较少，组织相似性的判定、被评估组织的安全需求分析以及关键资产的确定都是该方法的制约点。适用于使用典型IT 系统，对保密性、完整性及可用性为一般要求的组织。

2. 基于技术的评估方法

技术评估是指对组织的技术基础结构和程序进行系统的、及时的检查，对组织内部计算环境的安全性及其对内外攻击脆弱性的完整性估计。通常包括：评估整个计算基础结构；使用软件工具分析基础结构及其全部组件；提供详细的分析报告，说明检测到的技术弱点，以及为解决这些弱点建议的具体措施。技术评估强调组织的技术脆弱性。例如针对Unix、NT等OS及DB、网络设备进行评估；针对系统和网络进行风险评估。这种方法在技术上分析得比较多，技术弱点把握精确，但对管理上相对较弱，管理评估存在不足。

3.定量分析方法

定量分析方法是对构成风险的各个要素和潜在的损失的水平赋予数值或货币值。首先评估特定资产的价值V，一般按功能单元进行分解；然后根据客观数据计算威胁的频率P；最后计算威胁影响系数μ，因为对于每一个风险，并不是所有的资产所遭受的危害程度都是一样的，程度的范围可能从无危害到彻底危害(即完全破坏)。根据上述三个参数，计算损失估算值。

定量风险分析方法的结果直观，容易理解，它要求特别关注资产的价值和威胁的量化数据，但是资产价值的确定、发生概率的确定、最终数值的界定是比较困难的。因此，真正使用此类方法来评估是很有难度的。此外，控制和对策措施可以减小威胁事件发生的可能性，而这些威胁事件之间又是相互关联的，这使得定量评估过程非常耗时和困难。

4.定性分析方法

定性分析方法一般只关注威胁事件所带来的损失，而忽略事件发生的概率。多数定性风险分析方法依据组织面临的威胁、脆弱点以及控制措施等元素来决定安全风险等级。在定性评估时并不使用具体的数据，往往带有很强的主观性，需要凭借分析者的经验和直觉进行定性分级。如设定每种风险的影响值和概率值为“高”、“中”、“低”。有时单纯使用期望值，并不能明显区别风险值之间的差别。这种方法操作起来相对容易，但也可能因为操作者的经验和直觉的偏差而使分析结果失准。

综上所述，各个方法特点不同，目前还没有一个统一的信息安全评估标准，在安全评估过程中，各家专业评估公司大多是凭借各自积累的经验来解决。我们经常面临的问题是：信息资产的重要性如何度量？资产如何分级？什么样的系统损失可能构成什么样的经济损失？如何构建技术体系和管理体系达到预定的安全等级？一个由病毒中断了的邮件系统，组织因此造成的经济损失和社会影响如何计算？如果黑客入侵，尽管没有造成较大的经济损失，但组织的名誉损失又该如何衡量？另外，对组织的管理人员而言，哪些风险在组织可承受的范围内？这些问题从不同角度决定了一个信息系统安全评估的结果，也给组织确定安全策略、建立安全体系带来了困难。

构建集成化的安全体系

信息安全评估作为信息安全管理体系建设的基础，在体系建设的各个阶段发挥着重要的作用。通过对安全评估理论、方法、技术、模型的分析研究，结合高校信息化的实践，我们认为要使信息安全评估结果完整准确，就必须考虑到组织的安全风险不仅仅是由计算机网络攻击所引起的，而是由技术基础结构、组织结构以及人员等综合因素所决定。也正是由于这个原因，要求信息安全风险评估必须考虑组织的方方面面的因素，在信息安全管理体系建设的运作模式中，形成一套较为完整的信息安全评估体系。

  1．建立集成、动态的安全防范体系

信息安全的建设是一个系统工程，它需要对信息系统的各个环节进行统一的综合考虑、规划和构建，并要时时兼顾由组织内不断发生的变化所产生的安全威胁，构建集成、动态的安全防范体系。该体系的模型如图1所示。

在这个体系中融合了管理、技术、过程三个方面。管理和技术之间的复杂性造成了信息安全评估的难度，为了处理好管理与技术衔接的问题，可以采用将局部技术措施用管理线条穿起来的方法。

建立安全防范体系时，一方面应遵循国内外相关信息安全标准与最佳实践过程；另一方面，要考虑到组织对信息安全的各个层面的实际需求，从组织的角度去评估他们实际上需要保护什么及其需求的原因，决定需要保护哪些对象，为什么要保护这些对象，需要从哪些方面进行保护，如何在生存期内进行保护。在风险分析的基础上确定各种风险的级别，进行排序和比较，有利于按照等级保护的策略，实施突出重点的适度安全控制。建立合理的安全管理体系与技术保障体系，从而保证组织赖以生存的信息资产的安全性、完整性和可用性。同时，这个安全体系统还应当随着组织环境的变化、业务发展和信息技术的提高而不断改进，不能一成不变。

2． 信息安全评估策略的制定

信息安全评估时，应遵循“以人为本、注重管理、层层设防、策略联动”的原则。

(1)以人为本：以往的各种安全模型，其最大的缺陷是忽略了对人的因素的考虑，而人的因素比信息安全技术和产品的因素更重要。与人相关的安全问题涉及面广，从国家的角度考虑有法律、法规、政策问题；从组织角度考虑有组织信息安全治理结构、安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务持续性管理等问题。

(2)注重管理：在系统安全建设中，管理的作用至关重要。组织应该将安全评价作为组织建立科学、系统的安全管理体系的基础和保证，实现组织安全绩效的持续改进。安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化程度极大地影响着整个系统的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色定义都可以在很大程度上降低安全风险。

(3)层层设防：选择适合组织特点的安全评估方法是安全评估成功的关键。在实际工作中需要考虑系统的实际情况和不同的阶段，灵活使用定性和定量、手工评估和辅助工具、技术评估和系统组织评估、基于知识经验和基于模型的评估等多种方法。采取分层分析的方法，在每一个层面上(物理层安全、系统层安全、网络层安全、应用层安全以及安全管理)、每一个角度上建立立体的防护，将风险分散到整个系统的各个层面有利于风险防范。技术防范措施可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保护信息系统安全，但不应把部署所有安全产品与技术和追求信息安全的零风险定为目标。

(4)策略联动：在一个系统中所涉及到的管理和安全技术要能够互联互通，做到牵一发而动全身，成为一个有机的响应体系。要在一个总体安全及管理的方针下对各部门的安全管理策略进行协调，让系统在保证其安全性的同时，又能够最大限度地保证运行的效率。然后，在产品和技术的层面上又能够让一种技术与另一种技术相互联系，取长补短，达到真正的有机结合、全面防护和管理。