【文章內(nèi)容簡介】 實體或進(jìn)程無法竊取信息；完整性就是保證沒有經(jīng)過授權(quán)的用戶不能改變或者刪除信息，從而信息在傳送的過程中不會被偶然或故意破壞，保持信息的完整、統(tǒng)一；可用性是指合法用戶的正常請求能及時、正確、安全地得到服務(wù)或回應(yīng)。ITSEC把可信計算機(jī)的概念提高到可信信息技術(shù)的高度上來認(rèn)識，對國際信息安全的研究、實施產(chǎn)生了深刻的影響。信息技術(shù)安全評價的通用標(biāo)準(zhǔn)（CC）由六個國家（美、加、英、法、德、荷）于1996年聯(lián)合提出的，并逐漸形成國際標(biāo)準(zhǔn)ISO15408。該標(biāo)準(zhǔn)定義了評價信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準(zhǔn)則，提出了目前國際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)，即把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求以及解決如何正確有效地實施這些功能的保證要求。CC標(biāo)準(zhǔn)是第一個信息技術(shù)安全評價國際標(biāo)準(zhǔn)，它的發(fā)布對信息安全具有重要意義，是信息技術(shù)安全評價標(biāo)準(zhǔn)以及信息安全技術(shù)發(fā)展的一個重要里程碑。ISO13335標(biāo)準(zhǔn)首次給出了關(guān)于IT安全的保密性、完整性、可用性、審計性、認(rèn)證性、可靠性6個方面含義，并提出了以風(fēng)險為核心的安全模型：企業(yè)的資產(chǎn)面臨很多威脅（包括來自內(nèi)部的威脅和來自外部的威脅）；威脅利用信息系統(tǒng)存在的各種漏洞（如：物理環(huán)境、網(wǎng)絡(luò)服務(wù)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、相關(guān)人員、安全策略等），對信息系統(tǒng)進(jìn)行滲透和攻擊。如果滲透和攻擊成功，將導(dǎo)致企業(yè)資產(chǎn)的暴露；資產(chǎn)的暴露（如系統(tǒng)高級管理人員由于不小心而導(dǎo)致重要機(jī)密信息的泄露），會對資產(chǎn)的價值產(chǎn)生影響（包括直接和間接的影響）；風(fēng)險就是威脅利用漏洞使資產(chǎn)暴露而產(chǎn)生的影響的大小，這可以為資產(chǎn)的重要性和價值所決定；對企業(yè)信息系統(tǒng)安全風(fēng)險的分析，就得出了系統(tǒng)的防護(hù)需求；根據(jù)防護(hù)需求的不同制定系統(tǒng)的安全解決方案，選擇適當(dāng)?shù)姆雷o(hù)措施，進(jìn)而降低安全風(fēng)險，并抗擊威脅。該模型闡述了信息安全評估的思路，對企業(yè)的信息安全評估工作具有指導(dǎo)意義。BS7799是英國的工業(yè)、政府和商業(yè)共同需求而發(fā)展的一個標(biāo)準(zhǔn)，它分兩部分：第一部分為“信息安全管理事務(wù)準(zhǔn)則”；第二部分為“信息安全管理系統(tǒng)的規(guī)范”。目前此標(biāo)準(zhǔn)已經(jīng)被很多國家采用，并已成為國際標(biāo)準(zhǔn)ISO17799。 BS7799包含10個控制大項、36個控制目標(biāo)和127個控制措施。BS7799/ISO17799主要提供了有效地實施信息系統(tǒng)風(fēng)險管理的建議，并介紹了風(fēng)險管理的方法和過程。企業(yè)可以參照該標(biāo)準(zhǔn)制定出自己的安全策略和風(fēng)險評估實施步驟。AS/NZS 4360：1999是澳大利亞和新西蘭聯(lián)合開發(fā)的風(fēng)險管理標(biāo)準(zhǔn)，第一版于1995年發(fā)布。在AS/NZS 4360:1999中，風(fēng)險管理分為建立環(huán)境、風(fēng)險識別、風(fēng)險分析、風(fēng)險評價、風(fēng)險處置、風(fēng)險監(jiān)控與回顧、通信和咨詢七個步驟。AS/NZS 4360:1999是風(fēng)險管理的通用指南，它給出了一整套風(fēng)險管理的流程，對信息安全風(fēng)險評估具有指導(dǎo)作用。目前該標(biāo)準(zhǔn)已廣泛應(yīng)用于新南威爾士洲、澳大利亞政府、英聯(lián)邦衛(wèi)生組織等機(jī)構(gòu)。OCTAVE（Operationally Critical Threat, Asset, and Vulnerability Evaluation）是可操作的關(guān)鍵威脅、資產(chǎn)和弱點評估方法和流程。OCTAVE首先強調(diào)的是O—可操作性，其次是C—關(guān)鍵系統(tǒng)，也就是說，它最注重可操作性，其次對關(guān)鍵性很關(guān)注。OCTAVE將信息安全風(fēng)險評估過程分為三個階段：階段一，建立基于資產(chǎn)的威脅配置文件；階段二，標(biāo)識基礎(chǔ)結(jié)構(gòu)的弱點；階段三，確定安全策略和計劃。國內(nèi)主要是等同采用國際標(biāo)準(zhǔn)。公安部主持制定、國家質(zhì)量技術(shù)監(jiān)督局發(fā)布的中華人民共和國國家標(biāo)準(zhǔn)GB178951999《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》已正式頒布并實施。該準(zhǔn)則將信息系統(tǒng)安全分為5個等級：自主保護(hù)級、系統(tǒng)審計保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗證保護(hù)級。主要的安全考核指標(biāo)有身份認(rèn)證、自主訪問控制、數(shù)據(jù)完整性、審計等，這些指標(biāo)涵蓋了不同級別的安全要求。GB18336也是等同采用ISO 15408標(biāo)準(zhǔn)?，F(xiàn)有信息安全評估標(biāo)準(zhǔn)的局限性風(fēng)險分析的方法有定性分析、半定量分析和定量分析?，F(xiàn)有的信息安全評估標(biāo)準(zhǔn)主要采用定性分析法對風(fēng)險進(jìn)行分析，即通常采取安全事件發(fā)生的概率來計算風(fēng)險。 然而，在安全評估過程中，評估人員常常面臨的問題是：信息資產(chǎn)的重要性如何度量？資產(chǎn)如何分級？什么樣的系統(tǒng)損失可能構(gòu)成什么樣的經(jīng)濟(jì)損失？如何構(gòu)建技術(shù)體系和管理體系達(dá)到預(yù)定的安全等級？一個由病毒中斷了的郵件系統(tǒng)，企業(yè)因此造成的經(jīng)濟(jì)損失和社會影響如何計算？如果黑客入侵，盡管沒有造成較大的經(jīng)濟(jì)損失，但企業(yè)的名譽損失又該如何衡量？另外，對企業(yè)的管理人員而言：哪些風(fēng)險在企業(yè)可承受的范圍內(nèi)？這些問題從不同角度決定了一個信息系統(tǒng)安全評估的結(jié)果。目前的信息安全評估標(biāo)準(zhǔn)都不能對這些問題進(jìn)行定量分析，在沒有一個統(tǒng)一的信息安全評估標(biāo)準(zhǔn)的情況下，各家專業(yè)評估公司大多數(shù)是憑借各自積累的經(jīng)驗來解決。因此，這就需要統(tǒng)一的信息安全評估標(biāo)準(zhǔn)的出臺。信息安全評估的市場前景隨著業(yè)界對于信息安全問題認(rèn)識的不斷深入，隨著信息安全體系的不斷實踐，越來越多的人發(fā)現(xiàn)信息安全問題最終都?xì)w結(jié)為一個風(fēng)險管理問題。據(jù)統(tǒng)計，國外發(fā)達(dá)國家用在信息安全評估上的投資能占企業(yè)總投資的1%～5%，電信和金融行業(yè)能達(dá)到3%～5%。照此計算，每年僅銀行的安全評估費用就超過幾個億。而且，企業(yè)的安全風(fēng)險信息是動態(tài)變化的，只有動態(tài)的信息安全評估才能發(fā)現(xiàn)和跟蹤最新的安全風(fēng)險。所以企業(yè)的信息安全評估是一個長期持續(xù)的工作，通常應(yīng)該每隔13年就進(jìn)行一次安全風(fēng)險評估。因此，信息安全評估有著廣闊的市場前景。FRAP方法與風(fēng)險管理文章作者：董永樂文章來源：啟明星辰信息技術(shù)有限公司1　引言　　網(wǎng)絡(luò)使原本獨立的計算機(jī)系統(tǒng)相互連接構(gòu)成了全球網(wǎng)絡(luò)空間(CyberSpace)。這一方面整合了計算機(jī)資源與數(shù)據(jù)資源，另一方面也引入了新的風(fēng)險信息安全風(fēng)險。　　信息資產(chǎn)的所有者關(guān)心的是如何以合理的投入獲得足夠的安全，或者，如何把信息安全風(fēng)險控制在可接受的范圍內(nèi)。信息安全風(fēng)險管理針對信息安全風(fēng)險的三個關(guān)鍵元素：資產(chǎn)、脆弱性與威脅，從信息安全風(fēng)險的角度來衡量并保障連接在網(wǎng)絡(luò)上的信息系統(tǒng)的安全性。信息安全風(fēng)險評估（以下簡稱風(fēng)險評估）正是從這三個關(guān)鍵元素分別入手來分析信息資產(chǎn)面臨的風(fēng)險?？梢哉J(rèn)為風(fēng)險評估在風(fēng)險管理過程的起點。　　信息安全風(fēng)險分析方法可以分為兩大類：定性分析方法與定量分析方法。FRAP方法是一種基于信息資產(chǎn)的半定量風(fēng)險分析方法。在本文提到的案例中采用了經(jīng)過剪裁并改進(jìn)的FRAP方法(TailoredFRAP，簡稱TFRAP)?！　”疚姆譃?個部分。除了引言之外，第2小節(jié)簡單介紹了用到的案例項目的背景信息；第3小節(jié)簡要介紹FRAP和OCTAVE，并引入TFRAP方法；第4小節(jié)闡述TFRAP方法相對于FRAP方法所做的改進(jìn)以及如何利用TFRAP將信息系統(tǒng)生命周期與風(fēng)險管理過程結(jié)合在一起；最后給出了本文的結(jié)論。　　2　案例分析　　本文所用的案例來自一個實際項目P。項目的甲方是客戶C，風(fēng)險評估的對象是客戶的應(yīng)用系統(tǒng)A，分布在全國各地。項目P的范圍是從系統(tǒng)A中抽取了5個節(jié)點，共計1,500臺主機(jī)與網(wǎng)絡(luò)設(shè)備進(jìn)行信息采集和分析，利用TFRAP方法進(jìn)行風(fēng)險評估，最后給出綜合風(fēng)險分析報告和風(fēng)險控制建議?！　　∧繕?biāo)系統(tǒng)簡介　　在項目P中，應(yīng)用系統(tǒng)A包括16個子系統(tǒng)，主機(jī)操作系統(tǒng)類型主要有Windows系列、UNIX類操作系統(tǒng)（RedHatLinux，TurboLinux，SCOUnixware），數(shù)據(jù)庫管理系統(tǒng)包括Oracle、SQLServer，HTTP服務(wù)主要由MSIIS提供。系統(tǒng)A中的16個子系統(tǒng)由不同的軟件開發(fā)商開發(fā)，最后由一個總集成商集成在一起。網(wǎng)絡(luò)方面，同樣采用了多種網(wǎng)絡(luò)設(shè)備；安全方面則利用防火墻、IDS、VPN、反病毒軟件等產(chǎn)品構(gòu)成網(wǎng)絡(luò)安全保障子系統(tǒng)。這是一個典型的企業(yè)網(wǎng)絡(luò)?！　　∮脩粜枨蠓治觥　】蛻鬋對本項目提出了如下要求：　　僅從技術(shù)上進(jìn)行風(fēng)險分析　　風(fēng)險分析時不涉及具體業(yè)務(wù)系統(tǒng)　　對于信息安全風(fēng)險評估項目來說，不結(jié)合資產(chǎn)，不結(jié)合具體業(yè)務(wù)系統(tǒng)進(jìn)行分析而得出的結(jié)論與實際情況的偏差很可能會比較大?！　榱吮ＷC在這種約束條件下，評估結(jié)果能盡可能真實地反映目標(biāo)系統(tǒng)所面臨的風(fēng)險，需要改進(jìn)現(xiàn)有的方法。其中有兩個關(guān)鍵問題：　　威脅分析的結(jié)果偏差大，而且難以預(yù)測　　根據(jù)風(fēng)險分析的結(jié)果采取技術(shù)保障措施來控制風(fēng)險的原則　　3　評估方法：TFRAP　　　方法對比與選擇　　考慮到P項目的特點，我們需要選擇一種恰當(dāng)?shù)姆椒?。信息安全風(fēng)險評估方法的基本理論與模型是從業(yè)務(wù)風(fēng)險評估的理論與模型衍生而來?，F(xiàn)在較為流行的是FRAP與OCTAVE。下面簡要介紹兩種方法?！　　CTAVE簡介　　典型的OCTAVE過程包括3大步驟，8個階段：　　步驟1:提取基于資產(chǎn)的威脅概況　　P1:確定高級管理層的認(rèn)識　　P2:確定運作管理層的認(rèn)識　　P3:確定全