【正文】 活調(diào)整和擴展：提供強大的掃描策略編輯功能，對關(guān)聯(lián)分析掃描策略進行適應(yīng)性調(diào)整。支持資產(chǎn)脆弱性資料庫的定期更新：由于實際環(huán)境的動態(tài)變化，為了保證風(fēng)險分析的準確性，可以制定定時的掃描計劃任務(wù)，更新資產(chǎn)脆弱性分析資料庫。入侵風(fēng)險評估報告：通過報告明確給出具體的入侵檢測事件信息、漏洞信息以及相應(yīng)的關(guān)聯(lián)分析結(jié)果，報告可以輸出多種格式，如：WORD、PDF、HTML等。通過7+7屬性中的7個信息安全管理屬性分析等級保護工作在中辦發(fā)【2003】27號文和公通字【2004】66號文中，都明確將信息安全等級保護制度確定為我國開展信息安全保障工作的一項基本制度。在有關(guān)等級保護的相關(guān)文件、標準、規(guī)范和指南中，指出了實施等級保護的一些基本原則和關(guān)鍵要素。本文提出了信息安全保障工作的7+7安全屬性，并通過對于其中的7個信息安全管理屬性來分析等級保護工作的實現(xiàn)思路。本文認為信息安全的屬性實際上是信息安全目標的抽象體現(xiàn)，而相關(guān)的信息安全措施的抽象體現(xiàn)就是信息安全機制。比如，加密技術(shù)（算法）是一個信息安全機制，這個機制的不同實現(xiàn)方式，可以滿足不同的信息安全屬性；加密技術(shù)用在數(shù)據(jù)的存儲和傳輸上，可以滿足數(shù)據(jù)的保密性和完整性的要求；加密技術(shù)用在數(shù)字簽名的機制上，可以滿足對于一個過程和操作的不可否認性要求。抽象的屬性附著在具體的系統(tǒng)或者實體上的時候，就成為一個具體系統(tǒng)的安全目標；而抽象的機制以某種方式具體實現(xiàn)，那么就是一個信息安全產(chǎn)品或者措施了。7+7安全屬性是對于CIA（保密性、完整性、可用性）三性的擴展。將CIA三性擴展為：保密性、完整性、可用性、真實性、不可否認性、可追究性、可控性等7個信息安全技術(shù)屬性（目標）。其中所增加的真實性、不可否認性、可追究性、可控性可以認為是完整性的擴展和細化。同時，從管理的角度看，還應(yīng)當存在一些純管理的屬性，可以作為實施信息安全管理工作，實現(xiàn)“技術(shù)與管理并重”要求的參考目標。我們把信息安全管理屬性歸納為：目標性、執(zhí)行性、效益性、時效性、適應(yīng)性、整體性和符合性等7個屬性。同樣，各種各樣的管理措施或者技術(shù)措施也會對于達成信息安全管理的屬性（目標）有幫助。比如：一個應(yīng)急響應(yīng)體系，作為一個機制（措施），可以滿足管理上的時效性和適應(yīng)性的要求；再比如構(gòu)建一個符合等級保護指南要求的信息安全管理體系，作為一些機制的組合，可以滿足管理上的符合性等要求。下面結(jié)合等級保護工作，來分析闡述這些與信息安全管理屬性密切相關(guān)的原則、方法和建議。一、目標性原則信息安全要達到一個機構(gòu)、一個單位、一個地區(qū)、一個行業(yè)乃至我國整體的信息安全保障目標，各項安全工作要有很好的針對性和目標性。由于信息安全工作非常復(fù)雜，通過等級保護的思路，可以幫助機構(gòu)明確保護的重點和適當?shù)膹姸?。因此，在實施等級保護中，并不是為了等級而等級，而是能夠促進將自身業(yè)務(wù)工作的、真正的安全要求明確出來。為了明確恰當?shù)陌踩繕?，運用風(fēng)險評估的方法是一個比較可行的途徑。風(fēng)險評估方法的根本要義，實際上就是將安全問題和實際業(yè)務(wù)相結(jié)合，將業(yè)務(wù)及承載它的系統(tǒng)的風(fēng)險識別出來，進而制定出等級。二、執(zhí)行性原則也可稱為實效性原則。等級保護工作的實施中，要能夠切實幫助達成信息安全目標。因此，等級保護工作并不是要將信息安全保障工作變得復(fù)雜，而是力圖將整個工作變得簡單明確，提高可操作性。要想提高整體的可操作性，就要遵循工作的執(zhí)行規(guī)律。用三觀論（宏觀、中觀、微觀）的思路分析整個工作的可執(zhí)行性是非常好的思路之一，也就是等級保護工作要貫穿宏觀的業(yè)務(wù)/價值層面、微觀的技術(shù)/實現(xiàn)（產(chǎn)品和服務(wù)）層面，以及中觀的管理/運營層面。使得等級保護工作不是一個形象工程或者單純的政策，而是能夠自上而下推進和自下而上貫徹的實效工作。三、效益性原則信息安全工作是做不到100%的。如果要過度地追求接近100%的絕對安全，會導(dǎo)致信息安全工作的成本急劇地升高。如果能夠合適地把握這個度，就需要等級保護工作中的“級別”來幫助。也就是根據(jù)自身情況和外部要求制定合適的級別，并且采取相應(yīng)級別的合適的措施（包括管理措施和技術(shù)措施）來達到恰當?shù)陌踩取＿@其中實際上是要考慮投入產(chǎn)出的，投入的是人力、資金、資源、時間等等，產(chǎn)出的安全保障或者說安全問題損失的減小。所以這里不僅僅有經(jīng)濟性問題，所以更加廣泛地稱之為效益性。要想能夠更好地把握效益性，通過實施風(fēng)險評估和風(fēng)險管理的理論和方法可以說是最佳實踐，再進一步可以引進RoI（投資回報）的分析方法。四、時效性原則信息安全保障工作是一項非常特殊的工作，其特殊性之一就表現(xiàn)在其密切的時間相關(guān)性。離開時間來闡述和分析安全問題是沒有意義的，是會有偏頗的。比如，沒有破不了的加密算法，只有在有限的計算資源和時間之內(nèi)破解概率接近零的算法。再比如：安全問題的一個非常根本的屬性就是潛在性，安全事件沒有發(fā)生之前都是潛在的隱性的，而當問題真的發(fā)生的時候，又需要在有限的時間內(nèi)馬上解決，盡量避免更大的損失。在我國獲得廣泛認可的PDR模型就是一個基于時間的安全模型。在考慮等級保護的策劃和實施過程中，不能忽視時間因素，或者說時間因素應(yīng)當作為一個重要的要素考慮在等級的確定和安全措施的要求上。具體應(yīng)當會體現(xiàn)在應(yīng)急等時效性要求非常明顯的安全要求方面。五、適應(yīng)性原則信息安全工作要面臨不斷變化的內(nèi)外部環(huán)境，外部的威脅在變化，內(nèi)部的組織結(jié)構(gòu)在調(diào)整，自身的業(yè)務(wù)在發(fā)展，新的技術(shù)漏洞在不斷被發(fā)現(xiàn)，性能更高功能更強的安全產(chǎn)品在頻頻推出，等等。總之，變化在所難免，我們必須主動去適應(yīng)變化和利用變化。實際上，具體到一個入侵事件的處理，就是對于一個局部安全狀態(tài)變化的一個應(yīng)變、調(diào)整。在實施等級保護的過程中，這種適應(yīng)性至少會體現(xiàn)在兩個方面：一方面就是當確定了一個系統(tǒng)的安全等級后，當破壞這個系統(tǒng)安全等級狀態(tài)的情況出現(xiàn)時，安全體系的響應(yīng)、被攻擊系統(tǒng)的恢復(fù)以及針對攻擊源的反擊都力圖將系統(tǒng)調(diào)整會原來應(yīng)有的狀態(tài)；另一方面就是根據(jù)情況的變化和發(fā)展，一個系統(tǒng)的等級可能是需要變化的，以適應(yīng)安全要求的提升或者降低，這都需要適當?shù)墓芾砹鞒虂砭唧w落實。六、整體性原則信息安全保障工作，是不能夠僅僅通過局部的安全產(chǎn)品和服務(wù)等能力來實現(xiàn)的，必須有一個整體的部署和安排。而且這個整體性必須要體現(xiàn)在一些框架、結(jié)構(gòu)、規(guī)劃等上面。等級保護給出了分析和構(gòu)建信息安全整體框架的一個角度，這個角度就是等級。等級關(guān)系是一個非常簡單可操作的構(gòu)造，在數(shù)學(xué)上，可以對應(yīng)到一個數(shù)據(jù)結(jié)構(gòu)“格”；這個結(jié)構(gòu)比數(shù)學(xué)上的圖結(jié)構(gòu)（網(wǎng)狀結(jié)構(gòu)，也是更接近我們系統(tǒng)形態(tài)的結(jié)構(gòu)）要簡單的多。等級保護工作所體現(xiàn)的這種框架性、結(jié)構(gòu)性和規(guī)劃性，不僅僅給我們帶來了信息安全保障工作的整體感，同時反而可以讓我們有可能有計劃地實現(xiàn)局部防護和分階段實施。比如：對于一個機構(gòu)高等級系統(tǒng)的重點防護。再比如：一個機構(gòu)可以分階段逐級提高系統(tǒng)的防護等級。七、符合性原則我們建議應(yīng)當將等級保護的思路貫徹到具體的要求上去，甚至于可以說在某些環(huán)境和級別上應(yīng)當體現(xiàn)出一定的強制性。這種要求的落實，就一定要體現(xiàn)在對于符合性的檢查上。因此，在等級保護工作的落實工作中，要切實體會這項工作的嚴肅性。借鑒國際標準ISO17799中對于符合性的描述思路：等級保護作為一項基本制度要從法規(guī)和標準的高度去理解并且遵守，等級保護工作中的定級和檢查工作要有適當?shù)莫毩⑿圆⑹艿奖Ｗo，等級保護工作相關(guān)的資料也要注意保密并受到保護，等級保護工作自身也不能過當。在實際的信息安全工作中，有效地應(yīng)用這7+7信息安全屬性的原則和思考方法，可以幫助我們落實等級保護相關(guān)規(guī)范和要求的工作。比如，在風(fēng)險評估的過程中，針對7+7屬性進行評估，在傳統(tǒng)的CIA三性之外，能夠給出更加具體和細化的安全要求和定級依據(jù)。而且這樣的定級還能體現(xiàn)出管理在級別中的特色。再比如，根據(jù)等級進行技術(shù)措施和管理措施的選擇和組合的時候，可以更加清晰地分析不同的措施對于7+7這不同的安全目標的滿足程度和支持程度；仿照國際上ISO133354和NISTSP80037等安全控制措施選擇指南，結(jié)合7+7屬性原則，形成更加細致的控制措施選擇的指南性規(guī)范。一個機構(gòu)、單位、地區(qū)、行業(yè)如果能夠在落實等級保護工作的過程中，參考、借鑒上面這七個信息安全管理屬性所對應(yīng)的原則，相信一定可以更好地幫助把握等級保護工作的精髓和重點。14 / 14