芻議信息安全評估的標準內容及對策

沙小睿

（蘇州供電公司，江蘇 蘇州 215004）

保證信息安全不發(fā)生外泄現象，是至關重要的?？墒?，現在我國信息安全保障和其它先進國家相比，仍難望其項背，還有不少問題迫切需要我們著手解決：

中國保證信息安全工作經歷了三個時期。第一時期是不用聯網，只作用于單一電腦的查殺和防控病毒軟件；第二個時期是獨立的防止病毒產品向為保證信息安全采用的成套裝備過渡時期；第三個時期是建設保證信息安全的系統時期。

1 需要解決與注意的問題

信息安全保障的內容和深度不斷得到擴展和加深，但依然存在著“頭痛醫(yī)頭，腳痛醫(yī)腳”的片面性，沒有從系統工程的角度來考慮和對待信息安全保障問題;信息安全保障問題的解決既不能只依靠純粹的技術，也不能靠簡單的安全產品的堆砌，它要依賴于復雜的系統工程、信息安全工程（system security engineering）;信息安全就是人們把利用工程的理論、定義、辦法和技術進行信息安全的開發(fā)實施與維護的經過，是把通過歲月檢驗證明沒有錯誤的工程實施步驟管理技術和當前能夠得到的最好的技術方法相結合的過程;由于國家8個重點信息系統和3個重點基礎網絡本身均為復雜的大型信息系統，因此必須采用系統化方法對其信息安全保障的效果和長效性進行評估。

2 安全檢測標準

2.1 CC標準

1993年6月，美國、加拿大及歐洲四國協商共同起草了《信息技術安全評估公共標準CCITSE(commoncriteria of information technical securityevaluation)》，簡稱CC，它是國際標準化組織統一現有多種準則的結果。CC標準，一方面可以支持產品(最終已在系統中安裝的產品)中安全特征的技術性要求評估，另一方面描述了用戶對安全性的技術需求。然而，CC沒有包括對物理安全、行政管理措施、密碼機制等方面的評估，且未能體現動態(tài)的安全要求。因此，CC標準主要還是一套技術性標準。

2.2 BS 7799標準

BS 7799標準是由英國標準協會(BSI)制定的信息安全管理標準，是國際上具有代表性的信息安全管理體系標準，包括：BS 7799-1∶1999《信息安全管理實施細則》是組織建立并實施信息安全管理體系的一個指導性的準則；BS7799-2∶2002 以 BS 7799-1∶1999 為指南，詳細說明按照PDCA模型，建立、實施及文件化信息安全管理體系(ISMS)的要求。

2.3 SSE-CMM標準

SSE-CMM(System Security Engineering Capability Maturity Model)模型是CMM在系統安全工程這個具體領域應用而產生的一個分支，是美國國家安全局(NSA)領導開發(fā)的，它專門用于系統安全工程的能力成熟度模型。

3 網絡安全框架考察的項目

對網絡安全進行考察的項目包括：限制訪問以及網絡審核記錄：對網絡涉及的區(qū)域進行有效訪問控制；對網絡實施入侵檢測和漏洞評估；進行網絡日志審計并統一日志時間基準線；網絡框架：設計適宜的拓撲結構；合乎系統需求的區(qū)域分界；對無線網接入方式進行選擇方式；對周邊網絡接入進行安全控制和冗余設計；對網絡流量進行監(jiān)控和管理；對網絡設備和鏈路進行冗余設計；網絡安全管理：采用安全的網絡管理協議；建立網絡安全事件響應體系；對網絡設備進行安全管理。網絡設備是否進行了安全配置，并且驗證設備沒有已知的漏洞等。對網絡設置密碼：在網絡運輸過程中可以根據其特點對數字設置密碼；在認證設備時對比較敏感的信息進行加密。

4 安全信息檢測辦法

4.1 調整材料和訪問

調整材料和訪問是對安全信息檢測的手段。評估人員首先通過對信息系統的網絡拓撲圖、安全運作記錄、相關的管理制度、規(guī)范、技術文檔、歷史事件、日志等的研究和剖析，從更高的層次上發(fā)現網絡系統中存在的安全脆弱性。并找準信息資產體現為一個業(yè)務流時所流經的網絡節(jié)點，查看關鍵網絡節(jié)點的設備安全策略是否得當，利用技術手段驗證安全策略是否有效。評估專家經驗在安全顧問咨詢服務中處于不可替代的關鍵地位。通過對客戶訪談、技術資料進行分析，分析設備的安全性能，而且注意把自己的實際體會納入網絡安全的檢測中。

4.2 工具發(fā)現

工具發(fā)現是利用掃描器掃描設備上的缺陷，發(fā)現危險的地方和錯誤的配置。利用檢測掃描數據庫、應用程序和主機，利用已有的安全漏洞知識庫，模擬黑客的攻擊方法，檢測網絡協議、網絡服務、網絡設備、應用系統等各主機設備所存在的安全隱患和漏洞。漏洞掃描主要依靠帶有安全漏洞知識庫的網絡安全掃描工具對信息資產進行基于網絡層面安全掃描，其特點是能對被評估目標進行覆蓋面廣泛的安全漏洞查找，并且評估環(huán)境與被評估對象在線運行的環(huán)境完全一致，從而把主機、應用系統、網絡設備中存在的不利于安全的因素恰切地展現出來。

4.3 滲透評估

滲透評估是為了讓使用的人員能夠知道網絡當前存在的危險以及會產生的后果，從而進行預防。滲透評估的關鍵是經過辨別業(yè)務產業(yè)，搭配一定手段進行探測，判斷可能存在的攻擊路徑，并且利用技術手段技術實現。由于滲透測試偏重于黑盒測試，因此可能對被測試目標造成不可預知的風險；此外對于性能比較敏感的測試目標，如一些實時性要求比較高的系統，由于滲透測試的某些手段可能引起網絡流量的增加，因此可能會引起被測試目標的服務質量降低。由于中國電信運營商的網絡規(guī)范龐大，因此在滲透測試的難度也較大。因此，滲透層次上既包括了網絡層的滲透測試，也包括了系統層的滲透測試及應用層的滲透測試。合法滲透測試的一般流程為兩大步驟，即預攻擊探測階段、驗證攻擊階段、滲透實施階段。不涉及安裝后門、遠程控制等活動。

我國信息安全要想得到保證，需要有一定的信息安全監(jiān)測辦法。依靠信息安全監(jiān)測辦法對中國業(yè)務系統和信息系統整體分析和多方面衡量，將對中國信息安全結論的量化提供強有力的幫助，給我國所做出的重要決策實行保密，對中國籌劃安全信息建設以及投入，甚至包括制定安全信息決策、探究與拓寬安全技術，都至關重要。因而，制定我國信息安全檢測辦法，是一項不容忽視的重要工作。

[1]曹一家,姚歡,黃小慶,等.基于D-S證據理論的變電站通信系統信息安全評估[J].電力自動化設備,2011,31(6):1-5.

[2]焦波,李輝,黃赪東,等.基于變權證據合成的信息安全評估[J].計算機工程,2012,38(21):126-128,132.

[3]張海霞,連一峰.基于測試床模擬的通用安全評估框架[J].信息網絡安全,2013,(z1):13-16.

[4]張恒雙.信息安全評估算法研究[J].計算機與現代化,2011(4):42-44.

[5]楊浩.協同OA系統信息安全評估及建模研究[J].辦公自動化（綜合版）,2011,(1):39-40.