【文章內(nèi)容簡介】 實(shí)體或進(jìn)程無法竊取信息；完整性就是保證沒有經(jīng)過授權(quán)的用戶不能改變或者刪除信息，從而信息在傳送的過程中不會(huì)被偶然或故意破壞，保持信息的完整、統(tǒng)一；可用性是指合法用戶的正常請(qǐng)求能及時(shí)、正確、安全地得到服務(wù)或回應(yīng)。ITSEC把可信計(jì)算機(jī)的概念提高到可信信息技術(shù)的高度上來認(rèn)識(shí)，對(duì)國際信息安全的研究、實(shí)施產(chǎn)生了深刻的影響。信息技術(shù)安全評(píng)價(jià)的通用標(biāo)準(zhǔn)（CC）由六個(gè)國家（美、加、英、法、德、荷）于1996年聯(lián)合提出的，并逐漸形成國際標(biāo)準(zhǔn)ISO15408。該標(biāo)準(zhǔn)定義了評(píng)價(jià)信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準(zhǔn)則，提出了目前國際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)，即把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求以及解決如何正確有效地實(shí)施這些功能的保證要求。CC標(biāo)準(zhǔn)是第一個(gè)信息技術(shù)安全評(píng)價(jià)國際標(biāo)準(zhǔn)，它的發(fā)布對(duì)信息安全具有重要意義，是信息技術(shù)安全評(píng)價(jià)標(biāo)準(zhǔn)以及信息安全技術(shù)發(fā)展的一個(gè)重要里程碑。ISO13335標(biāo)準(zhǔn)首次給出了關(guān)于IT安全的保密性、完整性、可用性、審計(jì)性、認(rèn)證性、可靠性6個(gè)方面含義，并提出了以風(fēng)險(xiǎn)為核心的安全模型：企業(yè)的資產(chǎn)面臨很多威脅（包括來自內(nèi)部的威脅和來自外部的威脅）；威脅利用信息系統(tǒng)存在的各種漏洞（如：物理環(huán)境、網(wǎng)絡(luò)服務(wù)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、相關(guān)人員、安全策略等），對(duì)信息系統(tǒng)進(jìn)行滲透和攻擊。如果滲透和攻擊成功，將導(dǎo)致企業(yè)資產(chǎn)的暴露；資產(chǎn)的暴露（如系統(tǒng)高級(jí)管理人員由于不小心而導(dǎo)致重要機(jī)密信息的泄露），會(huì)對(duì)資產(chǎn)的價(jià)值產(chǎn)生影響（包括直接和間接的影響）；風(fēng)險(xiǎn)就是威脅利用漏洞使資產(chǎn)暴露而產(chǎn)生的影響的大小，這可以為資產(chǎn)的重要性和價(jià)值所決定；對(duì)企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)的分析，就得出了系統(tǒng)的防護(hù)需求；根據(jù)防護(hù)需求的不同制定系統(tǒng)的安全解決方案，選擇適當(dāng)?shù)姆雷o(hù)措施，進(jìn)而降低安全風(fēng)險(xiǎn)，并抗擊威脅。該模型闡述了信息安全評(píng)估的思路，對(duì)企業(yè)的信息安全評(píng)估工作具有指導(dǎo)意義。BS7799是英國的工業(yè)、政府和商業(yè)共同需求而發(fā)展的一個(gè)標(biāo)準(zhǔn)，它分兩部分：第一部分為“信息安全管理事務(wù)準(zhǔn)則”；第二部分為“信息安全管理系統(tǒng)的規(guī)范”。目前此標(biāo)準(zhǔn)已經(jīng)被很多國家采用，并已成為國際標(biāo)準(zhǔn)ISO17799。 BS7799包含10個(gè)控制大項(xiàng)、36個(gè)控制目標(biāo)和127個(gè)控制措施。BS7799/ISO17799主要提供了有效地實(shí)施信息系統(tǒng)風(fēng)險(xiǎn)管理的建議，并介紹了風(fēng)險(xiǎn)管理的方法和過程。企業(yè)可以參照該標(biāo)準(zhǔn)制定出自己的安全策略和風(fēng)險(xiǎn)評(píng)估實(shí)施步驟。AS/NZS 4360：1999是澳大利亞和新西蘭聯(lián)合開發(fā)的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)，第一版于1995年發(fā)布。在AS/NZS 4360:1999中，風(fēng)險(xiǎn)管理分為建立環(huán)境、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)監(jiān)控與回顧、通信和咨詢七個(gè)步驟。AS/NZS 4360:1999是風(fēng)險(xiǎn)管理的通用指南，它給出了一整套風(fēng)險(xiǎn)管理的流程，對(duì)信息安全風(fēng)險(xiǎn)評(píng)估具有指導(dǎo)作用。目前該標(biāo)準(zhǔn)已廣泛應(yīng)用于新南威爾士洲、澳大利亞政府、英聯(lián)邦衛(wèi)生組織等機(jī)構(gòu)。OCTAVE（Operationally Critical Threat, Asset, and Vulnerability Evaluation）是可操作的關(guān)鍵威脅、資產(chǎn)和弱點(diǎn)評(píng)估方法和流程。OCTAVE首先強(qiáng)調(diào)的是O—可操作性，其次是C—關(guān)鍵系統(tǒng)，也就是說，它最注重可操作性，其次對(duì)關(guān)鍵性很關(guān)注。OCTAVE將信息安全風(fēng)險(xiǎn)評(píng)估過程分為三個(gè)階段：階段一，建立基于資產(chǎn)的威脅配置文件；階段二，標(biāo)識(shí)基礎(chǔ)結(jié)構(gòu)的弱點(diǎn)；階段三，確定安全策略和計(jì)劃。國內(nèi)主要是等同采用國際標(biāo)準(zhǔn)。公安部主持制定、國家質(zhì)量技術(shù)監(jiān)督局發(fā)布的中華人民共和國國家標(biāo)準(zhǔn)GB178951999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》已正式頒布并實(shí)施。該準(zhǔn)則將信息系統(tǒng)安全分為5個(gè)等級(jí)：自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)和訪問驗(yàn)證保護(hù)級(jí)。主要的安全考核指標(biāo)有身份認(rèn)證、自主訪問控制、數(shù)據(jù)完整性、審計(jì)等，這些指標(biāo)涵蓋了不同級(jí)別的安全要求。GB18336也是等同采用ISO 15408標(biāo)準(zhǔn)。現(xiàn)有信息安全評(píng)估標(biāo)準(zhǔn)的局限性風(fēng)險(xiǎn)分析的方法有定性分析、半定量分析和定量分析?，F(xiàn)有的信息安全評(píng)估標(biāo)準(zhǔn)主要采用定性分析法對(duì)風(fēng)險(xiǎn)進(jìn)行分析，即通常采取安全事件發(fā)生的概率來計(jì)算風(fēng)險(xiǎn)。 然而，在安全評(píng)估過程中，評(píng)估人員常常面臨的問題是：信息資產(chǎn)的重要性如何度量？資產(chǎn)如何分級(jí)？什么樣的系統(tǒng)損失可能構(gòu)成什么樣的經(jīng)濟(jì)損失？如何構(gòu)建技術(shù)體系和管理體系達(dá)到預(yù)定的安全等級(jí)？一個(gè)由病毒中斷了的郵件系統(tǒng)，企業(yè)因此造成的經(jīng)濟(jì)損失和社會(huì)影響如何計(jì)算？如果黑客入侵，盡管沒有造成較大的經(jīng)濟(jì)損失，但企業(yè)的名譽(yù)損失又該如何衡量？另外，對(duì)企業(yè)的管理人員而言：哪些風(fēng)險(xiǎn)在企業(yè)可承受的范圍內(nèi)？這些問題從不同角度決定了一個(gè)信息系統(tǒng)安全評(píng)估的結(jié)果。目前的信息安全評(píng)估標(biāo)準(zhǔn)都不能對(duì)這些問題進(jìn)行定量分析，在沒有一個(gè)統(tǒng)一的信息安全評(píng)估標(biāo)準(zhǔn)的情況下，各家專業(yè)評(píng)估公司大多數(shù)是憑借各自積累的經(jīng)驗(yàn)來解決。因此，這就需要統(tǒng)一的信息安全評(píng)估標(biāo)準(zhǔn)的出臺(tái)。信息安全評(píng)估的市場前景隨著業(yè)界對(duì)于信息安全問題認(rèn)識(shí)的不斷深入，隨著信息安全體系的不斷實(shí)踐，越來越多的人發(fā)現(xiàn)信息安全問題最終都?xì)w結(jié)為一個(gè)風(fēng)險(xiǎn)管理問題。據(jù)統(tǒng)計(jì)，國外發(fā)達(dá)國家用在信息安全評(píng)估上的投資能占企業(yè)總投資的1%～5%，電信和金融行業(yè)能達(dá)到3%～5%。照此計(jì)算，每年僅銀行的安全評(píng)估費(fèi)用就超過幾個(gè)億。而且，企業(yè)的安全風(fēng)險(xiǎn)信息是動(dòng)態(tài)變化的，只有動(dòng)態(tài)的信息安全評(píng)估才能發(fā)現(xiàn)和跟蹤最新的安全風(fēng)險(xiǎn)。所以企業(yè)的信息安全評(píng)估是一個(gè)長期持續(xù)的工作，通常應(yīng)該每隔13年就進(jìn)行一次安全風(fēng)險(xiǎn)評(píng)估。因此，信息安全評(píng)估有著廣闊的市場前景。FRAP方法與風(fēng)險(xiǎn)管理文章作者：董永樂文章來源：啟明星辰信息技術(shù)有限公司1　引言　　網(wǎng)絡(luò)使原本獨(dú)立的計(jì)算機(jī)系統(tǒng)相互連接構(gòu)成了全球網(wǎng)絡(luò)空間(CyberSpace)。這一方面整合了計(jì)算機(jī)資源與數(shù)據(jù)資源，另一方面也引入了新的風(fēng)險(xiǎn)信息安全風(fēng)險(xiǎn)?！　⌒畔①Y產(chǎn)的所有者關(guān)心的是如何以合理的投入獲得足夠的安全，或者，如何把信息安全風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。信息安全風(fēng)險(xiǎn)管理針對(duì)信息安全風(fēng)險(xiǎn)的三個(gè)關(guān)鍵元素：資產(chǎn)、脆弱性與威脅，從信息安全風(fēng)險(xiǎn)的角度來衡量并保障連接在網(wǎng)絡(luò)上的信息系統(tǒng)的安全性。信息安全風(fēng)險(xiǎn)評(píng)估（以下簡稱風(fēng)險(xiǎn)評(píng)估）正是從這三個(gè)關(guān)鍵元素分別入手來分析信息資產(chǎn)面臨的風(fēng)險(xiǎn)?？梢哉J(rèn)為風(fēng)險(xiǎn)評(píng)估在風(fēng)險(xiǎn)管理過程的起點(diǎn)?！　⌒畔踩L(fēng)險(xiǎn)分析方法可以分為兩大類：定性分析方法與定量分析方法。FRAP方法是一種基于信息資產(chǎn)的半定量風(fēng)險(xiǎn)分析方法。在本文提到的案例中采用了經(jīng)過剪裁并改進(jìn)的FRAP方法(TailoredFRAP，簡稱TFRAP)?！　”疚姆譃?個(gè)部分。除了引言之外，第2小節(jié)簡單介紹了用到的案例項(xiàng)目的背景信息；第3小節(jié)簡要介紹FRAP和OCTAVE，并引入TFRAP方法；第4小節(jié)闡述TFRAP方法相對(duì)于FRAP方法所做的改進(jìn)以及如何利用TFRAP將信息系統(tǒng)生命周期與風(fēng)險(xiǎn)管理過程結(jié)合在一起；最后給出了本文的結(jié)論?！　?　案例分析　　本文所用的案例來自一個(gè)實(shí)際項(xiàng)目P。項(xiàng)目的甲方是客戶C，風(fēng)險(xiǎn)評(píng)估的對(duì)象是客戶的應(yīng)用系統(tǒng)A，分布在全國各地。項(xiàng)目P的范圍是從系統(tǒng)A中抽取了5個(gè)節(jié)點(diǎn)，共計(jì)1,500臺(tái)主機(jī)與網(wǎng)絡(luò)設(shè)備進(jìn)行信息采集和分析，利用TFRAP方法進(jìn)行風(fēng)險(xiǎn)評(píng)估，最后給出綜合風(fēng)險(xiǎn)分析報(bào)告和風(fēng)險(xiǎn)控制建議?！　　∧繕?biāo)系統(tǒng)簡介　　在項(xiàng)目P中，應(yīng)用系統(tǒng)A包括16個(gè)子系統(tǒng)，主機(jī)操作系統(tǒng)類型主要有Windows系列、UNIX類操作系統(tǒng)（RedHatLinux，TurboLinux，SCOUnixware），數(shù)據(jù)庫管理系統(tǒng)包括Oracle、SQLServer，HTTP服務(wù)主要由MSIIS提供。系統(tǒng)A中的16個(gè)子系統(tǒng)由不同的軟件開發(fā)商開發(fā)，最后由一個(gè)總集成商集成在一起。網(wǎng)絡(luò)方面，同樣采用了多種網(wǎng)絡(luò)設(shè)備；安全方面則利用防火墻、IDS、VPN、反病毒軟件等產(chǎn)品構(gòu)成網(wǎng)絡(luò)安全保障子系統(tǒng)。這是一個(gè)典型的企業(yè)網(wǎng)絡(luò)?！　　∮脩粜枨蠓治觥　】蛻鬋對(duì)本項(xiàng)目提出了如下要求：　　僅從技術(shù)上進(jìn)行風(fēng)險(xiǎn)分析　　風(fēng)險(xiǎn)分析時(shí)不涉及具體業(yè)務(wù)系統(tǒng)　　對(duì)于信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目來說，不結(jié)合資產(chǎn)，不結(jié)合具體業(yè)務(wù)系統(tǒng)進(jìn)行分析而得出的結(jié)論與實(shí)際情況的偏差很可能會(huì)比較大?！　榱吮ＷC在這種約束條件下，評(píng)估結(jié)果能盡可能真實(shí)地反映目標(biāo)系統(tǒng)所面臨的風(fēng)險(xiǎn)，需要改進(jìn)現(xiàn)有的方法。其中有兩個(gè)關(guān)鍵問題：　　威脅分析的結(jié)果偏差大，而且難以預(yù)測　　根據(jù)風(fēng)險(xiǎn)分析的結(jié)果采取技術(shù)保障措施來控制風(fēng)險(xiǎn)的原則　　3　評(píng)估方法：TFRAP　　　方法對(duì)比與選擇　　考慮到P項(xiàng)目的特點(diǎn)，我們需要選擇一種恰當(dāng)?shù)姆椒?。信息安全風(fēng)險(xiǎn)評(píng)估方法的基本理論與模型是從業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估的理論與模型衍生而來。現(xiàn)在較為流行的是FRAP與OCTAVE。下面簡要介紹兩種方法?！　　CTAVE簡介　　典型的OCTAVE過程包括3大步驟，8個(gè)階段：　　步驟1:提取基于資產(chǎn)的威脅概況　　P1:確定高級(jí)管理層的認(rèn)識(shí)　　P2:確定運(yùn)作管理層的認(rèn)識(shí)　　P3:確定全