美國電子政務信息安全評估方法論（IAM）分析

2019-06-11 09:33:12曾志強

網絡安全技術與應用 2019年6期

◆曾志強

◆曾志強

（量子時空信息安全科技有限公司北京 100012）

21世紀是信息社會，隨著信息技術的發展，信息系統在政府部門中得到越來越廣泛的應用，為了保障政府職能的正常運轉，政府對自己的信息系統的保護能力就變得至關重要，而做好保護工作的第一步就是需要對政府的信息和信息系統進行安全評估。本文分析了美國國家安全局專門為美國政府機構開發的信息安全評估方法論(IAM)，描述了完整的評估過程，并論述了這種方法論的優缺點。

信息安全；安全評估；基線安全；關鍵基礎設施保護

0 引言

1998年5月克林頓總統簽署了第63號總統令《克林頓政府對美國關鍵基礎設施保護的政策》（PDD63），在它定義的國家關鍵基礎設施保障的框架里，要求國家安全局(NSA)負責對美國政府所有的信息系統進行安全評估工作。按照公共法案100-235的要求，國家安全局(NSA)有責任為聯邦政府所有的機密計算機系統提供安全指南。第63號總統令又將對NSA的工作要求擴展到了包括為聯邦政府所有的機密計算機系統提供直接的技術支持。

為了滿足工作要求，國家安全局開發出了這套信息安全評估方法論(IAM)，以使得經它培訓和許可后的一些組織可以使用這套方法論以跟NSA相同的工作方法對政府機構客戶提供同樣的評估服務。

1 信息安全評估方法論(IAM)概述

1.1 什么是信息安全評估方法論(IAM)

國家安全局（NSA）將信息安全評估定義為“對在一個特定操作環境下的信息系統安全狀態的回顧，目的是為了識別潛在的脆弱性。脆弱性一旦得到確認，就必須提供相應的解決方案來對這些脆弱性因素進行消除或緩解。”

信息安全評估方法論(IAM)就是用來評估組織的關鍵信息技術資產和業務信息的一種標準化的方法。它是國家安全局從實際經驗、情況和環境中開發出來的用于評估政府機構各種各樣信息技術環境的一個過程。IAM并不是一個安全標準，因為它并不像ISO17799和SAS70那樣僅僅是由一系列定義和要求組成，盡管這些標準在安全領域的重要性地位毋庸置疑。

IAM的一些特性使得它在對組織進行信息安全評估時非常有價值。這是因為除了對信息類型和定義進行描述外，它還描述了怎樣去為評估工作做準備、實施評估的整個工作過程以及如何為整個評估項目做文檔記錄等。

1.2 IAM評估的三個組成部分

NSA將傳統的評估拆開分為三個部分：評估、評價和紅隊。從頂往下如圖1所示。

（1）評估

評估就是在組織內以組織級別針對非技術安全功能方面的一個工作過程。在評估過程中，需要檢查安全策略、安全程序、安全體系和組織的結構內容。盡管在評估過程沒有手工操作技術測試（如掃描等），但它依然是一個高度手工化的過程。在這個過程中，評估方通過和客戶一起協同工作和溝通來識別用戶的關鍵信息、關鍵系統并了解用戶未來的安全需求。

圖1 NSA評估的三元組示意圖

（2）評價

評價通過從系統網絡級的手工操作技術過程來識別組織系統中存在的可以通過技術、管理或操作手段來消減的安全漏洞。評價和評估經常容易被人們弄混淆，因此NSA干脆有時就叫評價為“1＋級評估”。評價過程通常包括下面這些工作：

對防火墻、入侵檢測系統、入侵保護系統、路由器和交換機等設備進行技術分析；對用戶的網絡進行一些基本的漏洞掃描；為下一次評價提供有價值的信息。

（3）紅隊

紅隊經常又被叫作攻擊和滲透測試，它是由一些人通過模擬敵方，從敵方的角度來尋找安全漏洞從而攻入用戶系統和網絡的過程。利用這些存在的漏洞往往是攻入用戶網絡的最容易的方法。表1是這三個部分的區別和比較：

表1 IAM評估組成部分區別表

2 IAM評估過程

IAM過程是一個評估過程，而不是一個審計過程，這一點是這個方法論的最關鍵的一個特性。審計的目的通常是檢查對一些標準的遵從性。而IAM評估的目的是幫助被評估組織改善它的信息安全情況。如果組織需要審計的話，IAM評估的結果可以為審計的準備工作打下良好的基礎。一個完整的IAM評估過程可以分為三個階段：

（1）預評估；

（2）現場評估；

（3）后評估。

盡管字面上是這樣定義，但實際上大量的評估工作卻是貫穿于所有這三個階段之中。

在評估工作發起前首先要弄清楚被評估組織的需求，比如被評估組織對評估內容的具體要求；其他的一些附帶要求；對評估人員的資質要求，即評估人員必須接受過NSA的信息安全評估培訓和分級程序（INFOSEC Assessment Training and Rating Program, or IATRP）并持有IAM認證證書；被評估組織對評估時間周期的要求；被評估組織簽訂相關協議的過程；被評估組織評估預算的限制等。

2.1 預評估

預評估階段的目的是了解被評估組織實際環境情況。主要工作包括：了解評估任務聲明、重點要求和限制條件，認識被評估組織的關鍵職員，了解被評估組織當前的關鍵信息資產和信息系統，確定評估工作的范圍，相關的文檔處理，計劃和準備后續工作所需要的后勤資源等。在進行現場評估之前，評估團隊要對所有與被評估組織相關的文檔進行閱讀和初步分析，整個IAM評估的正式文檔處理過程也是從這時開始的。

2.1.1預評估現場訪問

預評估現場訪問（PASV）一般是通過1到2天的會議（對大型組織可能需要3到5天）來進行。通過與被評估組織人員的面談和會議來搜集信息，真正理解被評估組織的使命和業務目標，為客戶量身定做一個客戶化的IAM；組建一個合適的評估團隊；制定初始的評估計劃。因此，預評估現場訪問的主要目的就是確定評估的關鍵內容和制定詳細的評估計劃以建立一個框架，從而為評估團隊完成安全評估工作打下良好的基礎。

需要對客戶進行了解的信息中很大部分是關于客戶組織的信息技術架構的情況。盡管在將來隨著工作的深入才能了解到許多具體的技術細節，但在剛開始的時候，對整體架構有個很好的理解是非常必要的。下面舉出幾個相關的問題示例：組織使用了哪些操作系統？組織使用了哪些網絡協議，具體是什么？組織部署了什么類型的廣域網？廣域網中有多少個節點？

需要確定被評估站點具有哪些安全控制措施，這些信息是我們在提出安全解決方案時需要考慮的重要參考。例如：是否安裝了防火墻？如果有的話，是那種型號？是否使用了訪問控制列表？用什么來保護遠端連接？是否部署了基本的物理安全控制措施（警衛、徽章、門禁卡等）？是否使用了入侵檢測系統？是否使用了WEB安全應用防火墻？是否部署了數據防泄漏系統？

其他的一些準備工作還包括：需要做好時間安排，了解客戶特別關注的地方，確定評估與審計的區別，確定評估結果、解決方案和報告的格式，盡可能減少對客戶正常工作的打擾，了解客戶信息安全相關角色和責任的定義，為下一步的評估活動做好計劃等。

2.1.2識別組織的關鍵信息

為了便于分析，需要將被評估組織的信息進行分類歸納，例如可以歸納為客戶信息、網絡和通訊信息、人力資源數據、合同和后勤信息、銀行財務信息等幾大類，網絡和通訊信息大類里又可以包括服務器配置、用戶賬號信息、防火墻配置、第三方連接、租線信息和WEB服務器等。然后把這些類型的信息分別與其支持的組織業務相關聯起來。

在確定影響的特性的時候，由于被評估組織可能分別屬于不同的行業，因此各自相對應的法律、法規和隱私安全要求等也都各不相同，因此我們首先要考慮這些細致的差別。下面是一個軍事組織的法規要求例表（表2）。

表2 一個軍事組織法規要求例表

常見的影響特性包括機密性、一致性、可用性、可記賬、不可否認性、可授權、可審計性和訪問控制等。

建立影響特性的定義，一般可按照對業務影響的重要性分為高、中、低或者從低到高由數字0,1,2,3,4,5分為6級來表示，其中0為最低，5為最高。最后建立被評估組織關鍵信息矩陣（Organizational Information Criticality Matrix，即OICM）。下面是某組織的關鍵信息矩陣例表（表3）。

表3 某組織的關鍵信息矩陣例表

2.1.3識別組織的關鍵信息系統

在識別組織的關鍵信息之后，下一步就是識別組織的關鍵信息系統。這是因為，組織的關鍵信息總是由特定的系統來進行處理、傳輸和存儲的。關鍵的系統對客戶的業務具有很大的影響。從組織的角度看，有一些系統需要最高的安全性，因為如果這些特定系統被泄漏或破壞就最可能給組織造成無法承受的影響。識別這些系統同樣也離不開客戶的參與，因為最了解客戶系統的就是客戶本人。下面是一些常見的系統示例：人力資源系統、網絡監控系統、內部工單系統、客戶信息系統、安全和審計系統、財務追蹤系統、指揮和控制系統等。

確定系統的邊界，因為邊界劃分了系統的范圍，而評估所關注的就是在物理邊界內信息的流動情況。物理邊界一般包括交換機端口、防火墻接口、邊界路由器、子網路由器接口和建筑物入口和出口等。邏輯邊界一般是根據組織內數據流的流動情況來劃分。

建立關鍵信息系統矩陣System Criticality Matrix (SCM)與建立OICM類似，根據CIA三個屬性的丟失對系統的影響來建立。下面是某組織的客戶信息系統矩陣例表（表4）。

表4 某組織的客戶信息系統矩陣例表

在和客戶一起建立關鍵信息矩陣(OICM)時，我們主要關注的是各種類型的數據對組織的影響，而在建立關鍵信息系統矩陣（SCM）時，需要進一步考慮的是信息對系統的影響。

2.1.4了解組織的安全環境

了解組織的文化和安全環境不僅需要了解那些處理、存儲和傳輸組織關鍵信息的部件所處的房間的具體位置，還需要了解這些關鍵信息相關的操作文化和安全環境。文化環境是由工作在那個環境下的人們和他們對事情是怎樣做的和應該怎樣做的理解和感覺組成的。組織的文化隨著環境里的人的不同而不同。

安全環境是由文檔化的對操作的要求組成，這些要求既可以是法律要求的形式，也可以是正式或非正式的安全策略。這些文檔包括策略、指南/要求、計劃、標準操作程序（Standard Operating Procedures，SOP）以及用戶文檔等。

2.1.5制定技術評估計劃

技術評估計劃（the Technical Assessment Plan ，TAP)是IAM的關鍵管理工具之一，它是預評估現場訪問的核心輸出結果。TAP把所有在預評估階段生成的或發現的信息歸納匯總為下一步將要評估的內容概要。事實上，TAP已經成為預評估現場訪問結束后的IAM指南，它不僅是理解被評估組織情況的一個概要，也討論了在評估過程中客戶所關注的主要行動項目。

TAP文檔是被用在客戶和評估小組之間將IAM的各個方面連接在一起，對安全評估來說是至關重要的，因為它是滿足客戶評估需求的第一線協議。TAP描述了后續要進行的評估過程和在評估項目中被評估組織和評估小組使用的工具。

TAP的格式一般包括9個部分：聯系點、任務、組織的關鍵信息、關鍵信息系統、客戶關注點和強制性要求、系統配置、面談、文檔和評估詳細時間點安排。

2.2 現場評估

預評估和現場評估的關注點是不同的，預評估階段關注于確定組織的業務使命、關鍵信息和關鍵系統，而現場評估階段則關注于搜集組織信息安全相關狀態的信息。預評估階段幫助評估小組理解客戶的業務目標和支持這些業務目標的基礎設施，這些信息對建立評估范圍和確定對業務操作的影響是至關重要的。現場評估階段根據搜集的信息來確定組織是否達到了支持其業務目標所要求的安全程度以及是否需要采取一些行動來改善組織的總體安全狀況。

現場評估的工作是非常繁重的，這個階段通常會持續幾個星期。它包括面談、小組討論、研究策略、工作程序和其他信息安全相關的文檔。這也是重新回顧關鍵信息矩陣、影響屬性、影響定義和關鍵信息系統矩陣，從而和被評估組織達成一致意見的時期。

2.2.1現場評估準備工作

評估小組需要對在預評估現場訪問中搜集到的信息進行回顧，然后確定客戶關注的區域和選擇必要的工具來進行評估。適當的準備工作是減少下一步評估過程可能會遇到的問題數量的最好方法。

事先的充分準備對評估活動的成功至關重要，評估小組的準備工作包括申請和發送安全許可證、安排旅行計劃、預定旅館、安排交通工具、確定評估小組成員、與客戶協調時間表、為評估小組成員分派各自負責的現場評估工作、確定評估小組應急替補人員、制定相應的管理和技術計劃、行李打包等。

同樣，客戶也需要做一些準備工作，這些工作包括為面談設定優先級、為客戶員工和評估小組的交流安排時間表和預定會議室等。

2.2.2雙方現場溝通協調

一旦評估小組到達現場開始現場評估后，評估小組和客戶代表需要對整個評估過程進行溝通協調以建立和維持一個積極的工作氣氛。這些溝通協調工作從開放式會議開始，一直到評估小組離開現場為止。

開方式會議的內容包括：介紹評估小組成員，公布他們的聯系方式，對評估范圍做一個回顧，確定現場評估結束日期，回顧當前的時間計劃表，對文檔進行回顧，以及討論一些未確定的其他因素。

評估過程并不是一個由評估小組獨自完成的過程，客戶的參與是不可缺少的。客戶會希望隨時被告知在評估過程中的發現，同客戶經常進行溝通對評估的成功來說非常重要。為了更好地進行溝通，評估小組需要對客戶提供連續性的培訓，這些培訓包括正式的客戶培訓和非正式的客戶培訓。除了培訓之外，評估小組還需要通過工作報告或以會議的形式隨時和客戶交換信息。

2.2.3現場評估基線信息安全分類

NSA對現場評估需要進行的項目確定了18項基線信息安全分類，評估小組需要將工作集中在這些項目上以得到組織信息安全狀態的信息。這18項基線信息安全分類可以歸納為管理、技術和操作三個方面。如表5所示。

表5 IAM 基線信息安全分類表

IAM方法論是一個靈活的方法論，除了這些分類外，如果需要的話，或者應客戶的要求，可以隨時增加其他的分類進入現場評估。

2.3 后評估

后評估通常是最長的一個階段，因為在這個階段要花費大量的時間來進行分析和文檔工作。在很多情況下，后評估需要對發現的信息進行進一步的分析、研究和討論來和被評估組織達成一致意見。在前面階段的工作中，評估小組已經搜集了客戶系統的信息并確定了可能的漏洞和弱點，現在需要對這些信息進行確認。確認實際上就是能夠展示證物和證據來證明當前組織實際上的信息安全狀況。可以通過兩種辦法來進行確認工作：示范和評價。

示范就是通過觀察客戶的活動來驗證他們是怎樣做的，因為有時通過實際觀察客戶的行為，往往就會發現跟通過面談得到的資料不相符。評價就是提供關于發現的文檔證據，這是通過用一些工具或腳本來手工檢查系統來實現的，例如常見的有網絡掃描器和口令破解工具等。

2.3.1離開評估現場前總結會議

離開評估現場前總結會議的主要目的是查遺補漏，通過會議確認評估小組已從評估現場和客戶那里獲得評估需要的所有信息，而且已經通知客戶所發現的關鍵漏洞后，評估小組才可以準備離開評估現場后回顧和整理所有的信息和文檔。

在會議中除了需要對評估計劃進行回顧以達成一致意見，還要討論關鍵漏洞和評估過程以及下一步的工作安排。

2.3.2最終評估報告

完成現場評估并不意味著所有評估工作的結束，評估小組還需要付出大量的努力來確保評估對被評估組織具有最大的價值，這些努力就是通過對前期評估所獲得的大量信息進行分析和做出最終報告來進行的。分析和最終報告除了提供給客戶一個文檔化的評估結果，也給出了幫助客戶提升安全水平的路線圖和建議。

3 結論

隨著政府部門對信息系統依賴程度的日益增強，信息安全問題越來越受到關注。運用風險評估去識別信息安全風險和解決信息安全問題已經得到了廣泛的應用。因此，不斷學習和借鑒其他國家的信息安全風險評估方法和技術，能夠更好地促進我們在安全評估領域的研究和發展。

綜上所述，IAM有以下幾點值得我們借鑒：

（1）由于政府部門與普通商業公司在業務和使命上有本質的不同，它們對信息安全評估的具體需求特點也有很大的差異，而IAM是美國國家安全局專門為美國政府部門量身定做定制的一個信息安全評估方法論，因而更能滿足政府部門對安全評估的特殊需要并且能夠達到更好的效果；

（2）對現場評估確定了18項基線信息安全分類，分管理、技術和操作三大類對評估的具體內容進行了定義，避免了一些評估方法僅僅關注于評估流程和計算方法的缺點；

（3）對評估人員的資質統一由NSA進行背景調查、培訓和資質認證工作，這樣能夠更好地加強對評估人員的管理，大大減少由于評估人員因素帶來的附加風險問題。

但是也要看到，IAM并沒有對評估機構的資質進行限定和管理，這一點既不合我們的國情，也不利于對評估人員進行切實有效的組織和管理。

[1]National Security Agency (NSA) INFOSEC Assessment Methodology (IAM), Brad C. Johnson, 2004.

[2]Security Assessment: Case Studies for Implementing the NSA IAM，Russ Rogers，Greg Miles，Ed Fuller，Ted Dykstra，Matthew Hoagberg,2004 by Syngress Publishing, Inc.

[3]國標《信息安全風險評估規范》.