1. 系统安全评估技术
1.1. 技术分类
安全评估的手段与途径各不相同,但究其根本主要应用了四类主要的技术,在此基础上引入不同的解决方案思想,形成了各具优势的评估方法。
Ø 数据采集和分析技术
数据采集与分析是系统测评的基础,通常的数据采集分为调查问卷和工具测试两种。调查问卷的方式类似于工程学的办法,主要侧重对于使用效果和功用上的宏观情况,比如有关信息系统的制度、管理和安全功能方面的数据;工具测试偏重于技术数据的采集,比如用网络命令探知局域网拓扑结构、利用扫描器收集操作系统的指纹、漏洞等等。
Ø 量化评估技术
量化评估的计算规则受被测系统及其所属问题的关系制约,常常要考虑到两者或多方面的因果关系,存在复杂相关性,所以一般只能采取简化的模型,将个问题相互隔离,在独立考虑或是基本不计较交缠关系的情况下利用加权方法进行估算,虽然会影响测评的精度,但是基本无碍于测评的准确性。
Ø 安全检测技术
检测方法分为主动与被动检测两种。主动的检测偏重于技术性的扫描与测试,利用工具发掘系统和网络在技术上存在的安全问题,通过扫描、入侵检测、防窃听性能测试、密码检测、暴力攻击、物理隔离等工具和程序不断测试攻击,以检验系统或网络的漏洞和脆弱性,发现弱点并予以加强。被动的检测需要搭建相应的测试环境,利用功能性验证、模拟攻击实验及监听技术达到所需的目的。
Ø 安全评估分析技术
这种方式侧重于整体风险分析方法,常用的是“威胁树”的构建。主要是围绕CIAA四个安全需求针对不同的风险管理流程及评估方案进行分析处理,找到并针对潜在威胁和后果,制定相应的解决方案。
1.2. 主流评估技术
评估技术主要解决两类隐患:一是系统中是否存在已有的渗透变迁;二是发现新的未曾报告过的渗透变迁或是变迁序列。前一个问题常用方法为规则匹配,主流算法包括AC自动机多模式匹配、BM算法、KMP算法等等。后者更多使用模型分析,如基于异常的检测。
1.2.1. 基于规则的安全评估
从已知案例中抽取特征,并归纳成规则表达,训练成模板,将目标系统与规则模板匹配。关键问题在于规则的生成—“插件库”。最典型的例子就是网络扫描。
一次完整的网络安全扫描从踩点-发现目标-信息攫取-漏洞检测,通过半开或全开的TCP或是UDP扫描确定主机是否存活,进一步探测得到关于主机端口的信息—信息攫取。此时主要的技术是端口扫描和操作系统探测。端口扫描技术包括:开发扫描(TCP connect)、半开扫描(TCP SYN)、秘密扫描(TCP FIN、TCP ACK、NULL、XMAS、SYN/ACK)、其他扫描(UDP、IP头dump、IP分段、慢速、乱序)。操作系统指纹扫描技术包括:TCP/IP协议栈指纹识别、ICMP协议栈指纹识别、开发端口分析、SNMP探测、DNS查询和初始化序列号分析等。
1.2.2. 基于模型的安全评估
基于模型的方法为整个系统作为一个整体建立模型,通过模型获得系统所有可能的行为和状态。根据分析模型产生测试序列实例。这种方法优势在于模型建立比规则提取简单,而且能够发现未知的攻击模式和系统脆弱性,但相应的误报的情况也可能更加频繁。基于模型的方法关键在于模型的确立,过于简单的模型对系统行为的描述含糊不清,评估结果不全面,太复杂的模型造成评估执行的困难。因此,在确立模型前需要对单个系统组件进行基于规则的检测局部评估。基于内容的入侵检测、基于异常的入侵检测、基于特权提升的量化评估可以理解为使用了模型化的方法的代表。
2. 评估标准的发展
2.1. 主要的评估标准【1】
2.1.1. 可信的计算机系统安全评估标准TCSEC—美国国防部1985
它是第一个正式的计算机系统信息安全评估标准,将计算机系统安全分为四类七级(见下表),对用户目录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。
类别 | 类别说明 | 级别数 | 级别 | 级别说明 |
A | 安全级别最高 | 1 | A1 | 1. 从开发者接受一个安全策略的正式模型 2. 所有安装操作有系统管理员进行 3. 每一步安装操作都必须有正式文档 |
B | 强制性保护功能:用户必须与安全等级项链才可以存取对象 | 3 | B1 | 1. 网络控制下每个对象进行灵敏度标记,作为强迫访问控制基础 2. 灵敏度标记准确表示对象安全级别 3. 对通信通道和I/O设备手工指定单级或多级 4. 系统必须使用用户口令证明用户安全访问级别 5. 审计记录未授权访问的企图 |
B2 | 1. 兼容B1 2. 使用明确的文档化的安策略模式作为系统可信任运算基础机制 3. 通知每一个用户所有与之对应的网络连接的改变 4. 只有用户能够在可信任通信路径中通信 5. 可信任运算基础机制能够支持独立的操作员和管理员 | |||
B3 | 1. 兼容B2 2. 强监视委托管理访问能力和抗干扰能力 3. 有安全管理员 4. 可读安全列表 5. 被命名对象提供对自己没有访问权的用户列表说明 6. 操作前身份验证 7. 验证同时取消访问的审计跟踪消息 8. 区分可信任通信路径和其他路径 9. 可信任通信路径体制为每一个被命名的对象建立安全审计跟踪 10. 可信任的运算基础体制支持独立的安全管理 | |||
C | 1. 提供审慎的保护 2. 对用户的行动和责任提供审计能力 | 2 | C1 | 1. 可信任运算基础体制,将用户和数据分开 2. 所有的用户灵敏度相同-机密性相同 |
C2 | 1. 比C1加强可调的审慎控制:用户分别对各自的行为负责 2. 通过登录过程、安全事件和资源隔离增强控制 3. 兼容C1 | |||
D | 安全等级最低,为文件和用户提供安全保护 | 1 | D1 | 最基本的形式:本地操作系统或是一个完全没有保护的网络 |
2.1.2. 信息技术安全评估标准ITSEC—欧洲白皮书
英、法、德、荷四个国家在九十年代初联合发布的安全标准,对信息安全CIA三个特性的安全属性做出定义。C(机密性)--保证未经授权的用户实体或进程不能窃取信息;I(完整性)--保证未经授权的用户不能改变或者删除信息,信息传送过程不会被偶然或故意破坏,保持信息完整统一;A(可用性)--合法用户的正常请求能及时、正确、安全地得到服务或回应。
2.1.3. 信息技术安全评价的通用标准CC
美、加、英、法、德、荷六国1996年联合提出,逐渐形成国际标准ISO15408。该标准定义了评价信息技术产品和系统安全性的基本准则和目前国际上公认的表述信息技术安全性的结构,把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效地实施这些功能的保证要求。这是第一个信息技术安全评价国际标准。
2.1.4. ISO13335
第一次给出了关于IT安全的保密性、完整性、可用性、审计性、认证性、可靠性六个方面含义,并提出了以风险为核心的安全模式,该模型从企业资产面临的诸多威胁入手,阐述了信息系统漏洞可能造成的渗透与攻击对企业资产价值的影响,从企业信息系统安全风险分析的角度说明系统防护需求,并制定安全解决方案降低风险,指出了信息安全评估的新思路。
2.1.5. BS7799
英国工业、政府和商业共同需求而发展的一个标准,由“信息安全管理实务准则”和“信息安全管理系统的规范”两个部分组成,后发展成为国际标准ISO17799。主要包括十个控制大项、36个控制目标和127个控制措施。它主要提供了有效的实时信息系统风险管理的建议,并介绍了风险管理的方法和过程。
2.1.6. AS/NZS 4360: 1999
澳大利亚和新西兰联合开发的风险管理标准。1995年第一版问世。在此标准中,风险管理被分解为七个步骤:建立环境、识别风险、分析风险、评价风险、处置风险、监控风险与回顾通信咨询,为信息安全风险评估指明了风险管理流程。
2.1.7. OCTAVE
可操作的关键威胁、资产和弱点评估方法和流程,强调O—可操作性大于C—关键系统。此标准将信息安全风险评估过程分为三个阶段:建立基于资产威胁的配置文件;标识基础结构弱点;确定安全策略。
2.1.8. 《计算机信息系统安全保护等级划分准则》
这是我国公安部制定的国家标准,将信息系统安全分为5个等级:自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级,以身份认证、自主访问控制、数据完整性、审计作为主要的考核指标涵盖多级安全要求。
2.2. 发展趋势及影响因素
名称 | 国籍 | 评价 |
TCSEC | 美国 | 不可否认,TCSEC的出现将信息安全评估的概念正式引入技术舞台,系统化的总结总述了计算机信息技术发展到1985年所遇到的或是预测到的各种信息隐患与必要的安全技术措施。 |
ITSEC | 英、法、德、荷 | ITSEC的出现无疑从概念思维模式上对传统的旧式的计算机安全进行了开创性的思考,可用性的引入把可信计算机概念提高到可信信息技术的高度。 |
CC | 美、加、英、法、德、荷 | CC的出现,是系统安全评估标准国际化的标志。 |
ISO13335 | 国际 | ISO13335将企业资产安全风险的概念引入信息安全评估的思路中,以降低风险为目标制定解决方案,突出了企业信息系统安全的重要性。 |
BS7799 ISO17799 | 英国 | BS7799/ISO17799的出现是安全标准企业引导化的一个开始。这个标准更侧重于为企业提供一个参照体系已制定适合不同企业的安全策略与风险评估实施办法。 |
AS/NZS 4360:1999 | 澳大利亚、 新西兰 | AS/NZS 4360:1999引入了风险管理流程的概念,在欧洲部分国家应用相当广泛。 |
OCTAVE |
| OCTAVE关注可操作性与关键性,尤其重视前者。这个标准主要考虑关键威胁对于资产尤其弱点的影响,针对性的制定安全解决方案。 |
《计算机信息系统安全保护等级划分规则》 | 中国 | 《计算机信息系统安全保护等级划分规则》本土标准,综合性重组划分,不在话下。 |
2.3. 综合评价
现有的信息安全评估标准基本采用定性分析的方法对风险进行分析评估,以安全事件发生的概率来计算风险。而信息系统资产的重要性衡量标准始终是一个未解的难题,对于系统损失与经济损失的联系没有办法确定一个明确的对应,这样安全等级的划分存在模糊性与多样性。当前经济发展决定了企业资产不仅仅限制在有形的物理资产方面,无形资产的损失对于企业价值的影响正与日俱增,但这一部分内容很难进行定量分析,由此可见众望所归的统一的评估标准仍然晦暗不明。
3. 评估与管理的关系
先来看一下,建立信息安全管理体系的步骤:【5】
1. 定义信息安全策略
2. 定义ISMS的范围—确定需要重点进行信息安全管理的领域
3. 进行信息安全风险评估
4. 信息安全风险管理—根据风险评估的结果进行相应的风险管理
5. 确定管制目标和选择管制措施
6. 准备信息安全适用性声明
可以这样理解,系统风险评估的核心,就是信息安全风险管理。标准也好,流程也好,关键性的内容在于通过有效操作降低损失。评估标准是衡量有效性的手段,而管理是有效方案的实施,因此评估为管理提供了基本方法与注意事项的指南,而管理应用评估的结论实现了评估的目的。
上图显示在PDCA模型应用中信息安全管理体系的过程,评估贯穿在每一个过程中,通过对每个过程的评价不断更新操作流程与实施措施。
附录
【1】 计世网--信息安全评估标准的发展
【2】 China CISSP论坛—等级保护、电子商务/TCSEC/CC/GB18336
【3】 Ussrback.com—TCSEC txt
【4】 Netsecurity.51cto.com—国际安全评价标准的发展及其联系
【5】 QQGB.com--(教程站)网络风险评估原理之IT治理信息安全风险管理:标准、认知与实施。
【6】 国际工业自动化new.com—计算机网络评估技术初探
【7】 《计算机风险评估》 – 清华大学出版社
【8】 《安全扫描技术》—清华大学出版社
【9】 《网络扫描技术原理》
【10】 计算机风险评估课件