淺析信息安全方法中的測、評、估、審、查、量

王飛 中國移動通信集團山西有限公司工程師

淺析信息安全方法中的測、評、估、審、查、量

王飛 中國移動通信集團山西有限公司工程師

通過對國內、外流行的信息安全方法進行研究與分析，從不同角度對信息系統的安全測試、產品與系統的安全性測評、信息安全風險評估、安全審計、安全檢查與信息安全度量等概念進行對比，進一步解析信息安全相關的最佳實踐類、基本要求類、通用準則類和合規審計類方法，闡明了信息安全的觀念與發展方向。

安全測評 風險評估 信息安全 安全度量

1 引言

就短短幾十年信息安全方法發展的歷史來研究，對以下幾個詞匯的理解運用貫穿于信息安全實踐當中，對這些方法的深入解析可以使我們更好地把握信息安全方法的變化趨勢與發展態勢，本文就筆者的認識淺析在信息安全實踐中安全方法的認知與運用。

●測：試驗、測試（Test）。

●評：評價、比選（Evaluate）。

●估：估計、估算（Assess）。

●審：審核、審計（Audit）。

●查：檢查、查驗（Check、Inspect）。

●量：測量、度量（Metric）。

2 信息安全的測與評

最初階段面對信息安全問題，憑直觀的思路歸納起來總是沿著兩個方向：“驗對”與“識錯”。

（1）驗對：檢驗與證明信息安全對象是否正確，所有方面都對了就是安全了。

（2）識錯：測試發現信息安全對象中的錯誤，并通過各種手段修復錯誤，以達到安全的狀態。

測的思想來源于識錯的部分，因為運營的信息系統中的錯誤、問題與漏洞總是難以完全避免主要歸因于技術的局限、能力的缺失、偶然的因素。所以，盡可能地發現問題并加以改進是一個非常有效的解決安全問題的方法。典型的測的方法包括：

滲透測試（Penetration Test）：一般認為滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機網絡與應用系統安全的一種技術測試方法。

因為沒有100%安全的系統，所以識錯的方法理論上是一種發散的方法，它的結果總是不會收斂，這類方法并不具有完備性。一個信息系統，即使只是一個操作系統軟件也不可能窮盡所有缺陷。以微軟為例，它的任何一款Windows軟件在其整個生命周期中從沒有停止過發行軟件的安全補丁，即使像Windows XP這樣已經下市的軟件，安全補丁仍然是大問題，而這是一個普遍的規律。總之，安全試錯的工作通常會貫穿信息系統的整個生命周期。

引入評的方法是彌補測的方法的不完全性，所以我國很早就建立起以安全測評方法為核心工作的中國信息安全測評中心（China Information Technology Security Evaluation Center），它被認為是我國第一個以CC為核心方法建立的信息安全測評機構，而CC的基本思路是驗證信息產品與系統自身的安全性的通用準則，CC（Common Criteria）也即國際標準ISO15408 Information Technology-Security Techniques-Evaluation Criteria for IT Security，它的本質是對保護對象（TOE）定義一組通用的安全要求與控制全集，從而形成一個廣泛認可的通用集合；評就是要針對某一類產品（如防火墻、服務器、操作系統等）生成一個適用性的指標子集即指標體系，稱為保護輪廓（Protection Profile，PP），PP通常適用于作為產品或系統的安全標準；對一個特定對象如一臺防火墻評的時候是要依據安全指標生成一組實際安全目標（Security Target，ST），ST是可以生成實際的安全測試項目的。信息安全的通用準則類方法如圖1所示。

評的方法是用于對信息產品或系統進行驗對的，而關于評的內容，CC中分為3類：安全功能要求、安全保證要求和安全評價要求，評價的結果分為7個評估保證等級（EvaluationAssurance Level，EAL1-7）。

評的方法不論在國外還是國內都有非常普遍的應用，可以說是一種主流的安全方法論。它解決了通用的集合定義，實現了統一的評價方法，通過一層層指標要求的解析，對保護對象進行評價保障定級。

但是，CC主要面向系統的技術方面，至于系統的安全管理，雖有一些安全保證要求但很不全面、系統。而且，CC在實踐中對產品相關的測評的應用多，對系統相關的測評實踐一直沒有特別好的應用。

3 信息安全風險評估與管理體系

大家都比較認可用CC做的技術方面的指標體系，卻基本沒見有用CC做管理體系的，甚至連管理指標都不多，這是什么原因呢？筆者認為既然CC是從評價的角度生成指標的思路，在體系形成時單純的對比指標就變成了缺什么補什么的機械方法，而信息安全管理的范疇是更復雜的方面，如果從縱向分析管理方面的要素，基本可以簡單劃分為標準、理論、基礎、控制和表現5個層面（見圖2）。

安全管理體系方面的思想主要是引入了風險的方法形成的，一個很好的講法是說風險的方法主要是運用于解決現實世界中的不確定性的問題，信息安全中引入風險的概念也是用于不確定性的問題分析的方法，這里的確定性和不確定性可以理解為兩種狀態：

●確定性：系統資產的價值大小、安全漏洞的客觀存在、安全威脅與現實的安全攻擊行為這些都在現實中有確定性的事與物、域與值。

●不確定性：外部的威脅會不會實際發生、漏洞會不會正好被利用了、安全事件即將造成影響的大小程度這些問題會不會發生存在于不確定性的因素當中。

另一方面，信息安全管理方面的安全措施又可分為兩類，一類是面向趨于客觀性的努力；另一類是面向趨于主觀性的努力。客觀性努力是客觀存在，實實在在的努力，如添加一個防護設備、修補安全漏洞；主觀性努力如提升安全意識、操作與審計職責分離等。

到目前為止，國際上最成功與認可度最高的安全管理的實踐最早是由英國標準化組織建立的被稱為ISO27001（Information Technology-Security Techniques-Information Security Management Systems—Requirements）的一套信息安全管理的體系，它實際上又是一組信息安全管理的最佳實踐，實踐內容被放在ISO27002（InformationTechnology-SecurityTechniques-Code of Practice for Information Security Management）標準中，包括11大類、39個控制目標和133項控制（見圖3）。但最佳實踐的問題是它并不是萬能靈藥，不能照搬照抄，一旦有了最佳實踐，就產生了如何使用最佳實踐的問題，就是如何選用最佳實踐中的這些控制措施。而選擇的控制措施是否適用系統，有沒有必要使用？就有必要引入一類方法評估各自狀況，選擇基于個性化所要的安全控制措施，由此就產生了估的方法。這種安全管理體系建立的思路方法大致如圖3所示。

圖1 信息安全的通用準則類方法

圖2 信息安全管理的范疇

由于信息系統風險是由來自外部的威脅利用系統自身的脆弱性對系統資產造成破壞后產生損失而形成的，所以風險評估（Risk Assessment）基本上是基于對系統資產的現狀、面臨的安全威脅與系統自身的脆弱性3方面的因素進行分析與計算，風險評估既可以使用定量方法也可以使用定性方法，而且由于有不確定性的因素存在，純定量的評估方法幾乎沒有人使用，業界通常用定性與定量相結合的方法進行評估。

風險評估的結果就是專家的觀點，它只有相對的意義而并沒有絕對意義，對于系統而言，評估的結果意義在于它表明了針對某個資產的一種風險可能大于另一種風險，或某個資產面臨的風險比其他資產高。而風險管理的思路是用于控制相關風險的，手段就是合理選擇對抗風險的控制措施，當然也可能考慮轉移風險或接受一些較低的風險從而表明系統可承受一些損失。

估的方法推廣了一套最佳實踐的安全管理體系建設理論，也引入了PDCA這種循環改進的方法論。特別是為解決體系認證的技術性問題，還引入了對體系的認證審核機制，這就是審計（Audit）的方法。

圖3 信息安全的最佳實踐類方法

4 信息安全審計

估的方法在實質上是在識重點的資產、抓緊急的安全威脅和找薄弱環節的脆弱性的過程，理論容易被接受，但實踐起來依據專業化的知識與能力，特別是一些主觀性的結論并沒有絕對的說服力；那么，有沒有一種方法不是從參照其他成果出發找出自身安全發展道路的呢？下面說說審這種方法，詳情見圖4。

審的原理是從系統最終要達到什么結果出發，倒推出需要完成什么樣的安全指標和實施什么樣的安全控制的，這樣每一個努力都有明確目的，反而不象風險評估那樣要依靠別人的實踐經驗成果。審的思路最清晰地可以借鑒IT治理相關控制目標的形成，其中COBIT（Control Objectives for Information and Related Technology）從業務目標出發定義了IT相關控制目標，而信息安全的控制可以看作是一個目標子集。

圖4 信息安全合規審計類方法

審的方法是查結果、看記錄、驗證據，信息安全審計大致要形成一個安全控制框架，梳理出一組安全控制目標，針對達成安全控制目標的活動進行分析，其內在的邏輯是：如果IT過程中所有活動的關鍵績效指標可執行，則可以保證安全過程目標的達成；如果組織IT業務中所有IT過程的關鍵目標指標可完成，則可以保證IT目標的達成；如果業務目標中IT目標中的關鍵成功因素可滿足，則對業務目標的最終達成具有保障意義。

審的方法國內、外都很流行，所以出現了很多審核機構、控制手冊、審核員LA（Leader Auditor），審核的意義對一個組織的確非常重要。

5 信息安全檢查

解決單個系統的信息安全問題的方法與解決一個群體的信息安全問題的方法是有區別的，單個系統可以測、評，也可以估，但如果有成千上萬個系統，運用什么方法保護其信息安全呢？這正是政府所面對的信息系統安全問題，一旦中國要對十幾萬在冊的重要信息系統進行保護時，方法就變得非常重要了，這就促使產生了一類基線防護的方法，基本上可以總結為分區域、按等級、分層次、沿威脅路徑的縱深防御的思想方法。這種方法體現為建立基線、劃分等級、實施保護、評估檢查4個階段，如圖5所示。

圖5 信息安全的基本要求類方法

檢查是一類信息安全工作的方法，目前信息安全實踐中通常以設定信息安全的基線要求開始，檢查的目的是讓安全工作符合相關要求，并且運用各種手段，依據不同的評價指標進行評判，檢查一般由主管單位發起，是一種監督管理工作的體現。國家的等級保護建設類的安全工作就體現了檢查的重要思想。

6 信息安全度量

一直以來，信息安全工作的績效問題也很受關注，其中關鍵還是解決如何度量與評價的問題，這里可以參考一個其他方面的例子。

企業管理中開會如果過多、沒有控制會損失工作效率，可解決的方法卻不是很多，而比較有名的韓國三星公司對開會這件事就開始使用度量的原理做事，作為商業公司所有企業行為都是為提升績效為目標的，但如何提高是有講究的，西方有句名言：你不能改進你不能測量的東西。所以，三星的想法就是量化——按準備、主題、紀律、議程、結果、訓練、時間、記錄、追蹤一系列可以進行量化的維度展開。這已經被認為是三星管理的一個成功實踐。

三星這種想法對企業管理是有意義的，美國研究績效的大牌專家詹姆斯·哈林頓曾說：量化管理是第一步，它導致控制，并最終實現改進。對于某些事情，如果不能量化就不能理解；如果不能理解，就不能控制；如果不能控制，就不能改進。

這種方法也可以在其他領域推廣使用，比如信息安全，美國從事軟件工作的工程師Bill Curtis的思路是：不能理解，就無法管理；不能度量，就無法理解；不能建模，就無法度量；不能設想，就無法建模。

可見，信息安全度量是為了更好地評價與改進信息安全，應該被放在信息安全的相對成熟階段考慮，認清態勢、把握尺度、持續改進是其重要目標。

安全度量MIT是很多年的研究項目，從MIT相關研究網站路線來看，度量做起來并不簡單，需要定義對系統各方面的描述語言與格式定義（如OVAL、MAEC等），需要各方面的知識庫（如CVE、CWE、CCE等），需要用例，還需要標準化的度量過程（如SP800-51、SP800-53a、CC等）。要做到對系統軟硬件、資產、事件、互聯網威脅等完整的安全度量，還有很長的路要走。

7 信息安全方法總結

用最樸素的方式總結這幾類信息安全方法，可得如下結論與思考：

●測——解決有沒有的問題，信息安全的方法先測試有沒有安全問題、安全漏洞、軟件缺陷，這是一類最為直觀并且有效的信息安全工作方法。

●評——評價好不好的程度，安全措施好不好，安全防護程度高不高，安全管理制度全不全面、系不系統。

●估——考慮適不適合使用、風險大小，適合的安全措施與安全防護，選擇適當的安全管理控制。

●審——查驗用沒用的結果，安全保護的結果如何，安全防護有沒有作用，安全措施有沒有效果，企業整體的安全目標有沒有最終達成。

●查——檢查安全工作做沒做，安全要求是否落實，安全組織、安全技術、安全管理工作是否開展，是否按上級要求開展。

●量——測度能不能可持續地提升，能不能不斷地改進組織的信息安全，使信息安全隨需應變，步入良性發展的軌道。

這6類基本方法刻畫了信息安全發展的一個簡單路線圖：發現系統中信息安全漏洞與問題、對當前系統現狀的客觀評價、通過風險方法選擇適用的安全管理與控制、審核各種措施的效果與作用、檢查各項安全工作落實情況、最后通過度量方式使當前安全狀態可持續地不斷提升與發展，這就是當前可以看到的信息安全解決之道。

簡而言之，測解決技術手段問題，評面向技術控制措施，估對管理控制進行風險分析判斷，審實施IT安全治理，查體現工作監督管控，量感知把握態勢。而且，隨著信息化的發展，信息安全方法也不是一成不變的，實踐中又通常會運用評審、估量等不同的信息安全方法保障信息系統的安全。

1 中國移動業務安全通用評估規范

2 中國移動互聯網新技術新業務信息安全評估實施管理辦法

ABriefAnalysis on Testing,Measurement,Evaluation,Assessment, Examination and Measurement for Information Security Methods

This paper summarizes and analyzes the popular information security methods from the point of domestic and foreign respectively,and makes a brief analysis for information security from different views.Security testing of the information systems,safety evaluation for product and systems,information security risk assessment,security auditing, security check as well as information security measure and so on are compared in this paper,some relevant best practice methods,fundamental requirement methods,common criterion class methods and compliance audit class methods are further parsed in the article.Concept and development direction on information security are also presented in the paper.

security testing,risk assessment,information security,security measurement

2015-01-05）