信息安全风险评估标准研究
2024-05-14
来源:步旅网
维普资讯 http://www.cqvip.com 堡皇塑 堡皇鱼耶圃糯营慝瑟 信息安全风险评估标准研究 The Study on the Standards of Information Security Risk Assessment 王锋 冯峰一 王晨李磊… WANG Feng FENG Feng WANG Cheng L1 Lei i 蒜 睽 信息安全是国家安全的重要组成部分,信息安全风险评估工作是保障国家和信息系统安全的长效机制, 本文将讨论可以依据哪些国际和国内流行的标准指导信息安全风险评估工作的开展,并着重介绍了这 些标准的内容和适用范围。 信息安全风险评估标准 Abstract Information security is an important component of national security.Information security risk as— sessment is an enduring mechanism of assuring the safety of the country and the information system.In this the— sis,the author will discuss the international and national popular standards on which can be based in instructing the development of ifnormation security risk assessment work.It mainly introduces the content of these ̄andards and the scope to which they can be applied. Keywords Information security Risk assessment Standard 3.1 CC与GB/T 18336 1 引言 CC 随着国民经济和社会信息化的加快,网络与信息系统的 ISO/IEC 15408:1999(信息技术安全性评估通用准则》, 基础性、全局性作用13益增强,国民经济和社会发展对网络 简称通用准则(CC),它是第一个世界通用的信息技术安全 与信息系统的依赖性也越来越大。网络与信息系统自身存 评价标准,此标准是现阶段最完善的信息技术安全评估 在的缺陷、脆弱性以及面临的威胁,使信息系统的运行客观 标准。 上存在潜在的风险。 CC是面向所有IT行业的,但不包括对信息安全管理、 本文对目前国际和国内流行的信息安全风险评估的相 密码安全和物理安全方面的评测。它是侧重于对系统和产 关标准进行了研究,并对其产生背景、适用范围、内容及如何 品的技术指标的评估标准。 在风险评估工作中应用等方面进行介绍和比较。 GB/T l8336 2001年国内专家将ISO/IEC 15408转化为国家标 2信息安全风险评估information security risk assess— 准——GB\T 18336—2001《信息技术安全技术信息技术安 ment 全性评估准则》,等同于CC。此标准为我国与信息安全有关 依据有关信息安全技术与管理标准,对信息系统及由其 的行政法规、技术指导文件的制定提供技术依据和基础。 处理、传输和存储的信息的机密性、完整性和可用性等安全 GB/T 18336包括三个部分: 属性进行评价的过程。它要评估资产面临的威胁以及威胁 GB/T 18336.1:简介和一般模型。 利用脆弱性导致安全事件的可能性,并结合安全事件所涉及 GB/T 18336.2:安全功能要求。 的资产价值来判断安全事件一旦发生对组织造成的影响。 GB/T 18336.3:安全保证要求。 在信息安全风险评估工作中对系统和产品的技术指标 3信息安全风险评估标准介绍及使用 的评估可以参照GB/T 18336。 目前,国际和国内流行标准有:CC、GB/T 18336、BS 3.2 BS 7799与ISO/IEC TR 13335 7799、SSE—CMM、ISO/IEC TR 13335、GAO/AIMD一99— BS 7799 139、NIST SP 800—30 IT系统风险管理指南、OCTAVE方法、 BS 7799以安全管理为基础,提供了一个完整的切人、实 《信息安全风险评估指南》(征求意见稿)等。 施和维护的文档化组织内部的信息安全框架。它是英国标 准协会(BSI)于1995年2月制定的信息安全管理标准,目前 已被ISO组织采纳,正式成为ISO/IEC 17799标准。最新版 山东电子产品监督检验所250012 为ISO/IEC 17799:2005和IS0 IEC 27001:2005。 %山东大学计算机科学与技术学院250061 ISO17799:2005(即BS7799第一部分),是信息安全管理 山东省网络与信息安全测评中心250013 实施细则,其中包含11个主题,并定义了133个安全控制。 中国网通(集团)有限公司济南分公司 250001 它提供了一系列的安全控制机制,供组织建立、贯彻和维护 维普资讯 http://www.cqvip.com 之用,但它无法作为审核的依据。 ISO/IEC 27001:2005是信息安全管理体系规范,以自上 而下的方式提供了度量、监控和控制安全管理的方法。在实 3.6 OCTAVE方法 OCTAVE(Operationally Critical Treat,Asset,and Vulnera— bility Evaluation),可操作的关键威胁、资产和薄弱点评估,是 由美国卡耐基・梅隆大学软件工程研究所(CMU/SEI)下属 的CERT协调中心开发的用以定义一种系统的、组织范围内 施信息安全风险评估过程中可以依据这部分规范对信息安 全管理体系进行审核与认定。 ISO/IEC TR 1 3335信息技术安全管理指导 ISO/IEC TR 13335由五个部分组成,其中第三部分描述 了项目生命周期内IT安全管理的相关技巧。标准介绍了四 种风险分析的方法:基线方法;非正式方法;详细分析方法和 复合分析方法。在英国标准协会(BSI)为其开发的系列指南 的评估信息安全风险的方法。 OCTAVE方法是着眼于组织本身并识别出所需要保护 的对象,明确它的风险,然后开发出技术和实践相结合的解 决方案,是一种为大型的组织设计的可操作性强的风险评估 方法,但是这种方法提出的评估原则、属性、输出和过程通过 中,风险评估方法部分几乎直接引用ISO/IEC TR 13335—3: 1998。 我们在进行风险评估时,或者在选择合适的风险控制措 施时,可以选择参考ISO/IEC TR 13335标准的相关内容。 3.3 SSE—CMM SSE—CMM是系统安全工程能力成熟度模型(System Security Engineering Capability Maturity Mode1)的缩写,它源于 CMM(能力成熟度模型)的思想和方法,是CMM在系统安全 工程领域的应用。 SSE—CMM模型将信息系统安全工程分为3个相互联 系的部分:风险、工程和保证。其中,风险过程用于识别被开 发产品或系统的潜在危险,并将其按优先级排列次序。通 常,威胁利用系统的脆弱性对系统造成影响。因此,我们可 以通过检查“威胁”和“脆弱点”发生的可能性以及由它们造 成的“影响”来评估风险。 SSE—CMM是偏向于对组织的系统安全工程能力的评 估标准。 3.4 GAO/AIMD一99—139《信息安全风险评估指南》 1998年美国审计总署(GAO)出版了《信息安全管理指 南一向先进公司学习》(GAO/AIMD一98—68),并出版了其 支持性文件《信息安全风险评估指南——向先进公司学习》 (GAO/AIMD一99—139)。 GAO/AIMD一99—139由j部分组成:a、引言;b、给出 了第3部分案例研究的概述,分析了风险评估过程中关键的 成功因素、风险评估工具以及风险评估带来的益处;e、案例 分析。 GAO/AIMD一99—139风险评估指南有针对性的对风险 评估过程进行了分析和阐述,是我们在开展类似公司风险评 估工作的过程中可以参考和借鉴的标准。 3.5 NIST SP 800—30 IT系统风险管理指南 SP 800系列特别报告书是关于ITL在计算机安全领域 所进行的安全研究、指导成果以及在此领域与业界、政府和 学术组织协同工作的报告。 SP 800系列报告书中,关于风险评估的文档很多,如sP 800—26(IT系统安全自评估指南》、SP 800—30(IT系统风险 管理指南》、SP 800—53《联邦IT系统推荐的安全控制》等。 SP 800—30是风险评估的核心报告书。描述了风险管 理的方法和风险评估的过程(共9个步骤),说明风险管理过 程与系统授权过程的紧密联系。 适当的调整和裁减,被许多不同规模的组织、业务和部门使 用,它提出的“自上而下”基于关键威胁、资产和薄弱点评估、 的评估思想,被我国风险评估标准吸收和改进。 3.7《信息安全风险评估指南》(征求意见稿) 近年来,国内信息安全风险评估的研究与实践进展较 快,经过二年多的努力,我国信息安全风险评估国家标准《信 息安全风险评估指南》已完成标准文稿编制工作,并由国务 院信息办组织了可行性和可用性的试点工作,目前已上报国 家标准管理部门批准。 《信息安全风险评估指南》(以下简称“《指南》”)是我国 开展信息安全风险评估工作遵循的国家标准。《指南》定义 了风险评估的基本概念、原理及实施流程;对资产、威胁和脆 弱性识别要求进行了详细描述;提出了风险评估在信息系统 生命周期不同阶段的实施要点,以及风险评估的工作形式。 《指南》分为两个部分:第一部分:主体部分。主要介绍 风险评估的定义、风险评估的模型以及风险评估的实施过 程。第二部分:附录部分。包括信息安全风险评估的方法、 工具介绍和实施案例。 《指南》描述了风险评估实施过程。 (1) 风险评估的准备:这是整个风险评估过程有效性 的保证。在这个阶段要完成以下任务:确定风险评估的目标 和范围,组建评估团队,进行系统调研,确定评估依据和方法 并获得最高管理者对评估工作的支持。 (2) 资产识别:依据资产的分类,对评估范围内的资产 逐一识别,完成对资产机密性、完整性和可用性的赋值,最后 经过综合评定得出资产重要性等级。 (3) 威胁识别:对资产可能遭受的威胁进行识别,并依 据威胁出现的频率对威胁进行赋值。 (4) 脆弱性识别:脆弱性识别是风险评估中最重要的 一个环节。脆弱性识别可以以资产为核心,也可以从物理、 网络、系统、应用等层次进行识别,然后与资产、威胁对应起 来。从技术和管理两个方面对评估对象存在的脆弱性进行 识别并赋值。 (5) 已有安全措施的确认:在识别脆弱性的同时,对评 估对象已采取的安全措施的有效性进行确认,评估其有效性。 (6) 风险分析:采用适当的方法与工具确定威胁利用 脆弱性导致安全事件发生的可能性。综合安全事件所作用 的资产价值及脆弱性的严重程度,判断安全事件造成的损失 对组织的影响,即安全风险。 (下转第84页) 维普资讯 http://www.cqvip.com 信息技术与信息亿 return unescape(document.cookie.substring(offset,end・ str)); setTimeout(itocount().60000) } window.onload=checkCount() } function SetCookie(name,value){//设置Cookie的属性 vat argv=SetCookie.arguments; function convert()//计算当前时间与考试开始时间的差 值 va/"argc=SetCookle.arguments.1ength; {vat hourstart; } function checkCount() return(countdown);//返回剩余时间 } </script> {//取出时间的时分秒并记录在Cookie中 testtime=GetCookie(iesttime ̄); 4结束语 随着Intranet的不断扩大和Intranet技术及Web数据库 if(time.getHours()<10) { ts+:0 +time.getHours()+ 技术的进一步发展,未来的MIS开发将是基于Web的服务 器端应用程序开发,这是MIS发展的必然趋势。目前,随着 //分秒类似 各学校校园网的发展和完善,这种基于Web的考试系统的 开发和研制将成为必然,将会给计算机考试软件带来一场新 SetCookie(iesttime.ts,exp); docount(); 的技术革命。 } else{ convert(); 参考文献: [1] 于华.基于INTRANET的管理信息系统构建.管理信息 系统,1999.3. docount();} } function docount(){ [2] 潘振宽、贾小珠.基于Windows NT的计算机知识与座 用无纸化考试网络系统.2003. [3] 王洪海.Cookie和用户信息.计算机时代,2001.12. //系统开始计时,并在状态栏显示剩余时间 window.status= 考试时间还有 +countdown十分钟 ●I●●i●i●ii●ii●●●i●●●ii●●●ii●●1● ib●●●i●●●[作者简介] 王洪海(1978~),男,汉族,山东省新泰 市,山东经济学院信息管理学院讲师。研究方向:电子商务、 企业信息化。 ●◆ii●●●I●i● ●iI●I●●●●’●●●●I i(上接第70页) 安全风险评估指南》(征求意见稿)等国内外信息安全相关 标准,并介绍了其主要内容和适用范围,国内组织在开展信 标准给出了风险计算原理,以下面的范式形式化加以说明: 风险值=R(A,T,V)=R(L(T,V),F(1a,Va)) 其中,R表示安全风险计算函数;A表示资产;T表示威 胁;V表示脆弱性;Ia表示安全事件所作用的资产价值;Va 表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安 全事件发生的可能性;F表示安全事件发生后产生的损失。 (7) 风险评估文件记录:形成风险评估过程中的相关 文档,包括风险评估报告。 《指南》是我国第一个关于信息安全风险评估的国家标 准,它是在全面的学习、分析和研究国内外相关领域的理论 的基础上,参考了ISO/IEC TR 13335、NIST SP 800—30、OC— TAVE方法等国际流行的信息安全风险评估方法,组织国内 息安全风险评估时,可依据评估的侧重点选择适用的标准作 为参考依据。 参考文献: [¨ GB/T 18336—2001信息技术安全技术信息技术安全 性评估准则(idt ISO/IEC 15408:1999) [2] ISO/IEC 17799:2005 Information technology—security techniques—Code of practice for information security management [3] ISO/IEC 27001:2005 Ifornmation technology—Security techniques—Information security management systems —十几家企事业单位的专家编制完成的,是目前在国内开展信 Requirements 息安全风险评估工作主要参考和依照的唯一国家标准。 [4] 信息安全风险评估指南(征求意见稿) [5] 科飞管理咨询公司编著信息安全风险评估.北京:中 国标准出版社 4总结 本文介绍了:CC、GB/T 18336、BS 7799、SSE—CMM、 ISO/IEC TR 13335、GAO/AIMD一99—139、NIST SP 800—30 [6] 信息安全标准及法律法规北京:中国信息安全产品测 评认证中心 (收稿日期:2007—02—02) IT系统风险管理指南、OCTAVE方法、AS/NZS 4360、《信息