关键词:信息安全;风险评估;教学
信息安全风险评估是进行信息安全管理的重要依据,通过对信息系统进行系统的风险分析和评估,发现存在的安全问题并提出相应的措施,这对于保护和管理信息系统至关重要。目前国内外都高度重视信息安全风险评估工作。美国政府2002年颁布《联邦信息安全管理法》,对信息安全风险评估提出了具体的要求;欧盟国家也把开展信息安全风险评估作为提高信息安全保障水平的重要手段;2003年7月23日,国家信息中心组建成立“信息安全风险评估课题组”,提出了我国开展信息安全风险评估的对策和办法。2004年,国务院信息办研究制订了《信息安全风险评估指南》和《信息安全风险管理指南》两个风险评估的标准;2006年又起草了《关于开展信息安全风险评估工作的意见》[1]。这些工作都对信息安全人才的培养提出了更高的要求,同时也为《信息安全风险评估》课程的开设和讲授提供了必要的基础和条件。《信息安全风险评估》课程教学,是信息安全专业一门重要的专业课程,能全面培养学生综合运用专业知识,评估并解决信息系统安全问题的能力,是培养符合国家和社会需要的信息安全专业人才的重要课程之一。《信息安全风险评估》课程本身的理论性与实践性都很强,课程发展十分迅速,涉及的学科范围也较广,传统的教学的模式不能使该课程的特点很好地展示出来,无法适应社会经济发展对信息安全从业人员的新要求,教学改革势在必行。
一、现状与存在的问题
信息安全风险评估是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的安全威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。它涉及信息系统的社会行为、管理行为、物理行为、逻辑行为等的保密性、完整性和可用性检测。风险评估的结果可以作为信息安全风险管理的指南,用来确定合适的管理方针和选择相应的控制措施来保护信息资产,全面提高信息安全保障能力[2]。自2001年信息安全专业建立以来,高校在制订本科专业教学培养目标和教学计划时,侧重于具体安全理论和技术的教学和讲授,特别是重点强调了密码学、防火墙、入侵检测、网络安全等安全理论与技术的传授。从目前高校的教学内容看,多数侧重于对“信息风险管理”、“风险识别”、“风险评估”和“风险控制”等基本内容的介绍上,而且教学课时数也较少,只有十个学时。当前从《信息安全风险评估》课程的教学情况来看,该课程在信息安全教育教学过程中地位有待提高,实践教学的建设与研究迫切需要深化。
当前该课程的教学实践中普遍存在以下几个方面的问题,严重制约了《信息安全风险评估》课程教学质量的提高:
1.本科教学大都以理论内容为主体,实验和课程设计的学时安排较少。一般高校的《信息安全风险评估》课程主要以理论内容的讲授为主,实验和课程设计的学时较少,实验内容也大多属于验证性质,缺少具有研究和探索性质的信息安全风险评估实践内容和课程设计;
2.教学方法单一,缺乏激励学生求知欲的教学方法和手段。当前开设《信息安全风险评估》课程的高校还较少,师资力量相对薄弱,教学经验也比较缺乏,仍以主要由教师讲述的传统教学方式为主,学生进行具体实践和操作的课时较少,缺乏创新性的教学和研究,基本没有具有探索性和创新性特点的教学内容,不利于发挥学生主观能动性,提高其创新能力;
3.实验环境无法满足教学需求,缺乏专业的信息安全风险评估师资。我国信息安全风险评估的研究和教学工作起步晚,缺乏相关的实验设备;而且受到资金和专业发展等多方面因素的制约,难以设立专门的信息安全风险评估实验室。此外,信息安全风险评估是以计算机技术为核心,涉及管理科学、安全技术、通信和信息工程等多个学科,对于理论和实践要求都很高。这就要求教师既要学习好各学科的基本知识,又要加强实践训练。
二、教学改革与探索
高校计算机相关专业开设《信息安全风险评估》课程,不是培养网络信息安全方面的全才或战略人才,而是培养在实际生活和工作中确实能解决某些具体安全问题的实用型人才。针对《信息安全风险评估》课程的特点和教学中存在的不足,我们从以下几个方面对该课程的教学改革进行了探索:
1.重新确立课程培养目标。①重点培养学生分析和评估信息安全问题的能力:《信息安全风险评估》课程是一门理论性和实践性紧密结合的课程,目前开设该课程的高校较少,各学校的教学内容也多种多样。该课程的教学目标即要培养学生发现信息系统存在的安全风险,同时也需要培养他们科学地提出解决安全隐患的方案及能力。如何提高学生分析和评估信息安全问题的能力是该课程教学的首要目标。②培养学生实际操作的能力:信息安全风险评估的关键是对信息系统的资产进行分类,对其风险的识别、估计和评价做出全面的、综合的分析。这就要求学生熟练地掌握目标对象的检测和评估方法,包括使用各种自动化和半自动化的工具,可在模拟实验里,通过不断地训练实现。③培养学生继续学习、勇于探索创新的能力:随着信息化的不断发展,信息系统所面临的安全威胁急剧增加,为此各国政府都不断提出和完善了各类信息安全测评标准。这就要求我们在教学中不断地学习、理解和解释最新的国际、国内以及相关的行业标准,培养和提高学生继续学习的能力。另外,《信息安全风险评估》课程也要求通过课堂教学、课后练习、实验验证和考试、考查等教学环节培养学生独力分析信息系统安全的能力,培养学生对信息安全风险评估领域进行探索和研究的兴趣,最终使学生掌握信息安全风险评估的知识和技能,能够解决具体信息系统的安全问题。
2.增加信息安全风险评估理论和相关标准的教学。信息安全测评标准和相关法律法规是进行信息系统安全风险评估的依据和保障。2006年由原国信办《关于开展信息安全风险评估工作的意见》(国信办2006年5号文);同时,随着信息安全等级保护制度的推行,公安部会同有关部门出台了一系列政策文件,主要包括:《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》等;国家信息安全标准化委员会颁发了《信息安全风险评估规范》(GB/T 20984~2007)、《信息系统安全等级保护基本要求》(GB/T 22239-2008)等多个国家标准[3]。为了保证《信息安全风险评估》课程目标的实现,我们在教学过程中,增加了《GB/T20984-2007信息安全技术信息安全风险评估规范》、《GB/Z24364-2009信息安全风险管理指南》、《GB/T
22080-2008信息安全管理体系要求》、《GB/T22081-
2008信息安全管理实用规则》、《GB/T20269-2006信息系统安全管理要求》、《GB/T25063-2010?摇信息安全技术服务器安全测评要求》、《GB/T 20010-2005信息安全技术包过滤防火墙评估准则》、《GB/T20011-2005信息安全技术路由器安全评估准则》、《GA/T 672-2006信息安全技术终端计算机系统安全等级评估准则》、《GA/T 712-2007信息安全技术应用软件系统安全等级保护通用测试指南》等相关评估标准和指南的学习,并编制相关的调查、检查、测试表,重点强调对脆弱性检测的理论依据的描述,检测方法及其步骤的详细记录。
3.利用各种测评工具,提高学生实践能力。在信息安全风险评估过程中,资产赋值、威胁量化分析、安全模型的建立等环节的教学和实践对教师和学生都提出了较高的专业课程要求。我们在《信息安全风险评估》课程实践中通过使用风险评估工具,并对具体的信息系统进行自动化或半自动化的分析,加深了学生信息安全风险评估的理论知识理解,同时注重培养学生动手实践能力和探索新知识的能力。我们增加了主动型风险评估工具Tenable扫描门户网站系统的实践性教学内容。通过评估,该系统的服务器存在感染病毒的症状,其原因是服务器存在特定漏洞。为此我们使用漏洞扫描器对该服务器进行扫描,发现了“远程代码被执行”漏洞,而且该漏洞能被蠕虫病毒利用,形成针对系统的攻击。通过案例特征提供了的信息,培养学生使用测评工具对具体信息系统进行安全风险评估的能力,并进一步使其认识到主动型评估工具是信息安全风险评估中快速了解目标系统安全状况不可或缺的重要手段。
笔者结合自己的教学实践体会,论述了当前《信息安全风险评估》课程中存在的问题以及解决对策。《信息安全风险评估》课程教学改革和建设是一个长期的、系统化的工程,需要不断地根据信息系统在新环境下面临的各种威胁,制定新的评估标准和评估方案,并使得学生在有限的时间和环境下掌握相应的知识和技能,以满足社会对信息安全人才的需求。
参考文献:
[1]付沙.加强信息安全风险评估工作的研究[J].微型电脑应用,2010,26(8):6-8.
[2]杨春晖,张昊,王勇.信息安全风险评估及辅助工具应用[J].信息安全与通信保密,2007,(12):75-77.
[3]潘平,杨平,罗东梅,何朝霞.信息系统安全风险检查评估实践教学探讨[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011),2011,(8).
关键词:信息安全;风险评估;脆弱性;威胁
1.引言
随着信息技术的飞速发展,关系国计民生的关键信息资源的规模越来越大,信息系统的复杂程度越来越高,保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全风险评估就是从风险管理角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险,或者将残余风险控制在可接受的水平,从而最大限度地保障网络与信息安全。
2、网络信息安全的内容和主要因素分析
“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全,而从广义的角度考虑,还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。
网络信息安全具有如下6个特征:(1)保密性。即信息不泄露给非授权的个人或实体。(2)完整性。即信息未经授权不能被修改、破坏。(3)可用性。即能保证合法的用户正常访问相关的信息。(4)可控性。即信息的内容及传播过程能够被有效地合法控制。
(5)可审查性。即信息的使用过程都有相关的记录可供事后查询核对。网络信息安全的研究内容非常广泛,根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。
而通过有效的网络信息安全风险因素分析,就能够为此复杂问题的解决找到一个考虑问题的立足点,能够将复杂的问题量化,同时,也为能通过其他方法如人工智能网络方法解决问题提供依据和基础。
网络信息安全的风险因素主要有以下6大类:(1)自然界因素,如地震、火灾、风灾、水灾、雷电等;(2)社会因素,主要是人类社会的各种活动,如暴力、战争、盗窃等;(3)网络硬件的因素,如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响;(4)软件的因素,包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等;(5)人为的因素,主要包括网络信息使用者和参与者的各种行为带来的影响因素,如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等;(6)其他因素,包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。
3、安全风险评估方法
3.1定制个性化的评估方法
虽然已经有许多标准评估方法和流程,但在实践过程中,不应只是这些方法的套用和拷贝,而是以他们作为参考,根据企业的特点及安全风险评估的能力,进行“基因”重组,定制个性化的评估方法,使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。
3.2安全整体框架的设计
风险评估的目的,不仅在于明确风险,更重要的是为管理风险提供基础和依据。作为评估直接输出,用于进行风险管理的安全整体框架。但是由于不同企业环境差异、需求差异,加上在操作层面可参考的模板很少,使得整体框架应用较少。但是,企业至少应该完成近期1~2年内框架,这样才能做到有律可依。
3.3多用户决策评估
不同层面的用户能看到不同的问题,要全面了解风险,必须进行多用户沟通评估。将评估过程作为多用户“决策”过程,对于了解风险、理解风险、管理风险、落实行动,具有极大的意义。事实证明,多用户参与的效果非常明显。多用户“决策”评估,也需要一个具体的流程和方法。
3.4敏感性分析
由于企业的系统越发复杂且互相关联,使得风险越来越隐蔽。要提高评估效果,必须进行深入关联分析,比如对一个老漏洞,不是简单地分析它的影响和解决措施,而是要推断出可能相关的其他技术和管理漏洞,找出病“根”,开出有效的“处方”。这需要强大的评估经验知识库支撑,同时要求评估者具有敏锐的分析能力。
3.5评估结果管理
安全风险评估的输出,不应是文档的堆砌,而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统,但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统,使用它来指导评估过程,管理评估结果,以便在管理层面提高评估效果。
4、风险评估的过程
4.1前期准备阶段
主要任务是明确评估目标,确定评估所涉及的业务范围,签署相关合同及协议,接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。
4.2中期现场阶段
编写测评方案,准备现场测试表、管理问卷,展开现场阶段的测试和调查研究阶段。
4.3后期评估阶段
撰写系统测试报告。进行补充调查研究,评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。
5.风险评估的错误理解
(1)
不能把最终的系统风险评估报告认为是结果唯一。
(2)不能认为风险评估可以发现所有的安全问题。
(3)
不能认为风险评估可以一劳永逸的解决安全问题。
(4)不能认为风险评估就是漏洞扫描。
(5)不能认为风险评估就是IT部门的工作,与其它部门无关。
(6)
不能认为风险评估是对所有信息资产都进行评估。
根据以往学者研究及实践表明,对计算机信息安全保障的工作可归纳为安全管理、安全组织以及安全技术等三方面的体系建设。而确保其保障工作的顺利展开需以信息安全的风险评估作为核心内容。因此对风险评估的作用主要体现在:首先,信息安全保障需以风险评估作为基础。对计算机信息系统进行风险评估过程多集中在对系统所面临的安全性、可靠性等方面的风险,并在此基础上做出相应的防范、控制、转移以及分散等策略。其次,信息安全风险管理中的风险评估是重要环节。从《信息安全管理系统要求》中不难发现,对ISMS的建立、实施以及维护等方面都应充分发挥风险评估的作用。最后,风险评估的核查作用。验收信息系统设计安装等是否满足安全标准时,风险评估可提供具体的数据参考。同时在维护信息系统贵过程中,通过风险评估也可将系统对环境变化的适应能力以及相关的安全措施进行核查。若出现信息系统出现故障问题时,风险评估又可对其中的风险作出分析并采取相应的技术或管理措施。
二、计算机信息系统安全风险的评估方法分析
(一)以定性与定量为主的评估方法
计算机信息系统安全风险评估方法中应用较为广泛的主要为定性评估方式,其分析内容大多为信息系统威胁事件可能发生的概率及其可能造成的损失。通常以指定期望值进行表示如高值、中值以及低值等。但这种方式无法将风险的大小作出正确判断。另外定量分析方法对威胁事件发生的可能性与其所造成的损失评估时,首先会对特定资产价值进行分析,再以客观数据为依据对威胁频率进行计算,当完成威胁影响系数的计算后,便将三者综合分析,最终推出计算风险的等级。
(二)以知识和模型为基础的风险评估
以知识为基础的风险评估通常会根据安全专家的评估经验为依据,优势在于风险评估的结构框架、实施计划以及保护措施可被提供,对较为相似的机构可直接利用以往的保护措施等便可实现机构安全风险的降低。另外以模型为基础的评估方式可将计算机信息系统自身的风险及其与外部环境交互过程中存在的不利因素等进行分析,以此实现对系统安全风险的定性评估。
(三)动态评估与分析方式
计算信息系统风险管理实际又可理解为信息安全管理的具体过程,一般会将信息安全方针的制定、风险的评估与控制、控制方式的选择等内容包含在内。整个评估与分析方式具有一定的动态特征,以PDCA为典型代表,其计划、实施、检查以及改进实现了对风险的动态管理。
(四)典型风险评估与差距分析方法分析
典型风险评估主要包括FTA、FMECA、Hazop等方法,对计算机信息系统设计中潜在的故障与薄弱之处,都可提出相应的解决措施,以FTA故障树分析为典型代表,在分析家算计信息系统的安全性与可靠性方面极为有效。差距分析方式往往以识别、判断以及具体分析的方式对系统的安全要求与当前的系统现状存在的差距进行系统风险的确定,存在的差距越大则证明存在的风险越大。
三、结论
[关键词] 风险评估工具 风险评估产品
一、市场前景
风险评估工作是一项费时、需要人力支持以及相关专业或业务知识支持的工作。风险评估工具不仅把技术人员从繁杂的资产统计、风险评估的工作过程中解脱出来,还可以完成一些人力无法完成的工作。
目前,许多组织根据一些安全管理指南和标准开发出风险评估工具,为风险评估的进行提供了便利条件。但综观这些工具的现状,还存在许多问题,如工具运用的结果如何能够反映客观实质、如何有效度量、工具的使用如何能够综合协调等。同时,我国在风险评估工具的开发方面还处于萌芽阶段,没有成型的风险评估工具。因此开发出具有自主知识产权的风险评估工具具有广阔的市场前景。
二、信息安全风险评估产品格局
根据在风险评估过程中的主要任务和作用原理的不同,目前的风险评估工具可分为三类:综合风险评估与管理工具、信息基础设施风险评估工具、风险评估辅助工具。综合风险评估与管理工具从管理的层面出发,根据信息所面临的威胁的不同分布进行全面考虑,如RA。信息基础设施风险评估工具包括脆弱点评估工具和渗透性测试工具。脆弱点评估工具也称为安全扫描、漏洞扫描器,评估网络或主机系统的安全性并且报告系统脆弱点。渗透性测试工具是根据漏洞扫描工具提供的漏洞,进行模拟黑客测试,判断是否这些漏洞能够被他人利用。风险评估辅助工具用来收集评估所需要的数据和资料,帮助完成现状分析和趋势分析。
可见,目前风险评估工具的类型界限非常明显,从需求的角度来看,管理型和技术层面的风险评估工具的需求已初露端倪。事实上,从管理角度进行风险评估的软件国内外已经有20余种,而技术层面的自动实现对网络环境风险评估的软件,目前还没有成型的产品。更多的仍是采用“漏洞扫描―渗透性测试―专家分析”的过程,而这种方式对评估人员的专业知识要求较高,对于一般的企业来说可操作性较差。因此,一个能够自动提供网络环境面临风险状况,提供控制风险解决方案的风险评估系统(策略管理系统)是企业真正需要的工具产品。
三、信息安全风险评估产品特点分析
国内信息安全风险评估产品及服务提供者主要来自于两个方向:一是国外提供商,包括国外知名的咨询机构,如美国Palisade公司的@RISK、英国CCTA的CRAMM、IIS的Internet Scanner、美国赛门铁克公司的NetRecon等,另一是国内专业从事信息安全的公司。企业自身由于IT技术相对较为薄弱,还没有能形成自己的专业工具。
1.国外主要信息安全风险评估厂商特点分析
目前,国外的信息安全风险评估产品在国内安全评估中的应用占有绝对优势,这一方面是因国外产品成熟度高,另一方面是因国内到目前为止还没有一套成形的风险评估产品。但从长远发展来看,国外软件公司占据中国软件绝大多数市场的局面只会是暂时的,将在一段时间内被拥有自主知识产权的本土化产品所替代。风险评估产品的国产化是必然趋势,主要原因如下:
(1)总体实施成本高昂
国外供应商在国内企业实施管理软件系统的过程中,必须对软件进行国产化,加之其他方面的成本考虑,同样实施一套管理软件,国外软件的采购、咨询、实施的费用要比国内软件的费用高出5到10倍。如此高的费用使得很多企业难以接受。
(2)国外企业管理制度、语言环境等方面差异化
由于国外的政策、企业的管理制度,以及风俗习惯与国内不同,这也决定了软件在流程规划、功能设计、界面交互等方面不太符合国内实际情况及应用要求,同时由于语言、环境的差异,给实际用户对系统的理解、功能的操作,以及帮助的使用都带来很大的不便。
(3)商业机密及国防安全方面考虑
在信息化建设过程中,会逐步涉及到企业的所有管理业务、资源、及资源配备等信息,这些信息的汇集,无形之中就形成了企业的商业机密和国家机密。
2.国内主要信息安全风险评估产品厂商特点分析
虽然目前人们对信息安全风险评估的重要性和其存在的地位给与极大的肯定,人们也认识到风险评估在整个系统生命周期(SDLC)中发挥着重要的作用,象电信、金融这样的大型行业成为在信息安全风险评估方面的领头羊为其行业内的风险评估工作一掷千斤,但目前国内推出专业风险评估工具的厂商凤毛麟角。2003年6月20日,启明星辰公司正式国内第一套专业的安全风险评估工具“天清安全风险与控制管理系统”,天清安全风险控制与管理系统是启明星辰信息技术有限公司与新加坡Maximus Consulting公司合作开发的信息管理类型的产品,完全按照BS7799/ISO17799标准而设计。其他公司也在这方面投入力量,但还没有相关的产品出现。目前在信息系统、网络层面的综合风险评估与管理工具还没有出现。对信息系统的风险评估仍是阶段式的交互进行。而更多情况下,人们对信息安全的焦点更多的落在网络环境中,但不同的公司在这方面的专业人员又有限,因此,迫切需要一个能够提供网络环境风险评估与管理的综合系统(决策管理系统)。
参考文献:
[1]Federal Deposit Insurance Corpaoration,Risk Assessment Tools and Practices for Information System Security,fdic.gov
[2]Jeff Forristal , Greg Shipley , Vulnerability Assessment Scanners, Network Computing ,January 8,2001
电子信息系统是一个较为特殊的系统,其关系相当复杂,对其进行安全性评估需要建立一整套综合评估指标体系,体系中各个评价指标相互联系、相互依存。一般而言,指标体系的建立需要遵循以下原则:(1)科学性和系统性。评价指标的选择应综合考虑评估目标的各种因素,在对电子信息系统科学研究的基础上建立起来的科学指标。建立一个综合性指标体系,只有定性分析和定量分析相结合才能使建立的指标体系结构合理、层次清晰、协调一致。(2)层次性和独立性。电子信息系统安全评价指标体系可反映该系统各个方面的综合安全信息,每个指标属性不同,各因素之间的相互关系呈现出一定的层次关系。而每个指标又是相互独立的,都可独立地评估系统的安全性。(3)简易性和实用性。电子信息系统安全评价指标体系层次结构确定后,每层次中的指标数目不会太多。同时,各个指标的选取是根据电子信息系统的实际情况选取出的,不可照搬其它系统的现成指标体系。
2电子信息系统安全性评估指标体系
2.1指标体系的一般模型
指标体系是通过对影响评估结果的各个因素进行综合分析而建立起来的可以反映系统各个方面安全性信息的体系。因此,指标体系通常是递阶层次结构,包括:目标层,准则层,指标层。其中,目标层是最高层,表示安全评估的整体目标。中间层是准则层,表示安全评估评估的各个准则。底层是指标层,是指安全评估的具体指标,表示影响目标实现的各种因素。需指出说明的是,有些指标只设一层无法准确的表征需要更多地指标将其细化,对这样的指标,可将其分解,成为二级评估指标,作为递阶层次的第四层,以此类推。
2.2指标体系的建立
德尔菲法(Delphi)是一种规定程序专家调查法,由美国兰德公司于20世纪50年代提出。其基本程序为:确定目标;选择专家;设计评估意见征询表;专家间信息反馈。具体做法是:在对所要预测的问题征得专家的意见之后,进行整理、归纳、统计,再匿名反馈给各专家,再次征求意见,再集中,再反馈,直至得到收敛、基本一致的结果。采用此方法可以轻松解决电子信息系统的安全性评估涉及范围广,不确定因素多等问题。本文采用德尔菲法建立指标体系,利用德尔菲法建立电子信息系统安全性评估指标体系的步骤如下:第一步,设计调查表,收集专家认为影响电子信息系统安全性的因素,调查表中不应掺杂问卷调研者的个人意见。第二步,回收调查表,并制定第二轮调查表。汇总整理出专家对影响电子信息系统安全性的因素,并总结出分析指标。通过第一轮调查可知影响电子信息系统安全性的因素主要集中在信息安全、软件安全、硬件安全、管理安全和环境安全五个方面。根据上述标设计出第二轮专家调查表,收集专家认为影响通信安全保密系统安全性的其它因素。第三步,回收第二轮调查表,并制定第三轮调查表。从第二轮调查表中汇总整理出专家所列的安全性指标可见,安全因素得到进一步细化,如信息安全包含五方面内容:身份鉴别、访问控制、信息加密、抗抵赖性和信息完整性五个方面;软件安全包含数据库安全、操作系统安全、应用软件安全、灾难恢复技术、木马病毒防范、漏洞补丁修复和系统日志七个方面;环境安全包括:设备安全、物理保障和安全供电三个方面。信息安全保密包含专家所列的安全性指标明显增多,并依据汇总结果制定第三轮调查表,收集专家对于已有指标的意见。第四步,回收第三轮调查表,汇总得出电子信息系统安全性评估指标体系。经过上述过程可得出如下电子信息系统安全性评估指标体系,如图1所示。
2.3运行安全指标分析
运行安全是电子信息系统各项业务能够顺利开展的必要条件,可为系统运行提供一个安全稳定的环境。运行安全主要有以下几个指标:(1)备份与恢复电子信息系统必须具有能够持续不断地提供各种业务的能力。备份和恢复是一个电子信息系统所必需的,因为对系统和数据进行备份,可以使电子信息系统具有灾难恢复能力,保证电子信息系统能够在受到病毒破坏、黑客攻击、硬件故障、认为操作失误等情况下快速恢复正常运转。(2)病毒防治计算机病毒对电子信息系统的破坏是毁灭性的,不仅可以破坏系统数据,引起计算机故障,而且还会盗取电子信息系统的信息,从而影响通信安全保密系统的安全运行。对病毒的防治要将查找病毒和清除病毒结合起来,从而实现全面防毒、查毒、杀毒。(3)操作系统安全操作系统安全是计算机系统安全的关键。操作系统为应用程序提供执行环境,支撑着通信安全保密系统的信息存储、处理和通信,其安全性对系统影响重大。操作系统安全等级低、配置不正确、更新管理不及时等因素可能导致通信安全保密系统的严重事故。(4)应用系统安全应用系统安全是指电子信息系统各项业务顺利进行的前提。如果应用系统的稳定性、可用性等遭到破坏,可能造成系统中断等事故。(5)数据库安全数据库安全是电子信息系统能够正常运行的关键因素。数据库安全就是要保护数据库信息,以防止数据信息泄露,同时也要保护数据库信息不泄漏、更改或破坏,从根本上保护电子信息系统的信息安全。
3结语
资产是在组织中有一定价值且需要保护的东西。它可以是有形的也可以是无形的,可以以硬件、软件、代码、服务等形式存在。通常认为,信息资产的完整性、可用性、机密性是构成资产安全特性的三个因素。不同的资产安全特性决定了信息价值的不同,因此存在的威胁、本身的弱点以及安全控制也就各不相同。为此,需要对组织中的信息资产进行识别,以便制定风险评估策略。
1.1资产分类
资产识别是一个复杂的过程,需要对资产进行适当的分类,这样才能更有效地开展下一步工作。分类方法应依据具体环境由评估主体灵活把握。资产的种类可分为数据、硬件、软件、服务、文档、设备、人员等。
1.2资产赋值
对资产的安全价值进行评估首先要对资产进行赋值,赋值并不是以账面价值去衡量资产价值。在资产赋值估价时,不仅应考虑资产本身的应有价值,还应该综合考虑资产组织业务的重要性程度。为保证资产评估的准确性和一致性,评估机构应依据一定的原则,建立规范的评估标准,以准确地对资产进行赋值评估。资产赋值的最终确定是根据资产的可用性、完整性以及机密性三个方面综合评定,且一般采用由高到低定性相对等级方式,整个等级分为5等,从5到1,由高到低,分别代表五个级别的资产各自相对应价值,等级越高资产的重要性程度也就越高,等级越低,资产也就相对不重要。
2威胁识别
威胁是指可能对整个系统结构的安全性构成潜在危险的破坏性因素。从理论上来讲,无论机构的信息系统如何安全,威胁都是客观存在的,是进行风险评估不得不考虑的因素之一。
2.1威胁分类
威胁的产生因素可以分为环境因素和人为因素两种。环境因素又分为不可抗因素和其他物理性因素。威胁的作用形式不一,可以是对信息系统的直接攻击,也可以是间接攻击。如对非授权信息的破坏、泄露、篡改、删除等,或者破坏信息的严密性、可塑性以及完整性等。一般而言,威胁总是需要借助一定的平台,如网络、系统亦或是应用数据的弱点,才会对系统造成损害。针对威胁的产生因素,可以对威胁进行分类,如:软件障碍、硬件故障、物理环境威胁、操作失误、恶意病毒、黑客攻击、泄密、管理不善等。
2.2威胁赋值
在评估的过程中,同样还需要对引发威胁的可能性赋值。如同资产赋值一般,威胁赋值也是采用定性的相对等级的方式。威胁的等级同样分为五级,从5到1分别代表由高到低,五个级别引发威胁的可能性。等级数值越高,则表明引发威胁的可能性越大,反之,则越小。
3脆弱性识别
脆弱性评估(又称弱点评估),是风险评估环节中很重要的内容。任何资产本身都不可避免的存有弱点,这些微小的弱点却很容易被威胁利用,进而对资产和商业目标造成损害。资产的弱点不仅包括人员构成、组织机构、组织过程、管理技术等,还包括组织软件、硬件、信息以及物理环境资产的脆弱性。资产脆弱性评估工作主要是从管理和技术两个方面进行的,是涉及到整个管理层、系统层、网络层、应用层等各个层面的安全问题。技术脆弱性主要包括系统性安全、网络化完全、物理性安全、应用性安全等层面。而管理脆弱性主要是指进行安全管理。在很大程度上,资产脆弱性与机构所采取的安全控制措施有关,因此,在判定威胁发生的可能性时应该特别注意已有安全控制会对脆弱性产生的影响。
4总结
关键词:信息流;机密性;完整性;量化评估
中图分类号:TP309 文献标识码:A DOI:10.3969/j.issn.1003-6970.2012.01.01
引言
随着互联网技术的快速发展及各种新型网络应用(如云计算、物联网)的出现,针对网络信息系统的攻击变得越来越多样化和复杂化。实践表明:对系统进行攻击的本质之一是在信息流动过程中对系统进行非授权泄露与修改,进而破坏系统的安全性,这使得非常有必要对信息流的安全进行分析。
信息流概念是由Denning教授与1976年提出来,其主要目标是控制信息的非授权流动,最早的信息流模型却可以追溯到1973年由Bell和LaPaduJa提出来的机密性模型(称之为BLP模型)。虽然早期信息流模型目标是试图控制系统内各实体间的信息流动,保证信息不被非授权读取与修改,但是现在的信息流模型研究范围不再局限于单个系统,而是扩展到网络应用中,目前信息流模型已成为现代操作系统主要的安全模型之一。从安全保障目标看,信息流模型包括两类:机密性信息流模型和完整性信息流模型。从保障方式看,信息流模型也包含两类:隐式模型和显式模型。隐式模型阻止信息间接泄露或修改,与隐式模型相反,显式模型是阻止信息的直接泄露或修改。30多年来,人们对信息流安全的建模和评估做了广泛的研究。本文综述目前已有的建模和评估,同时在此基础上展望了未来的研究方向。本文第2节综述了面向信息流的机密性模型,第3节考察了面向信息流的完整性模型,第4节分析相关量化度量方法,最后展望未来的研究方向。
1面向信息流的机密性模型
面向信息流的机密性包括了两类:防止信息显式泄露模型(称之为显式泄露模型)和防止信息隐式泄露模型(称之为隐式泄露模型),下面分别讨论。
1.1显式泄露模型
在多级安全中,主体和客体被划分为不同的级别,给每个主体和客体赋予一个安全级,显式泄露模型的目标是保障高安全级信息不流向低安全级主体。BLP模型是防止信息显式泄露的经典模型,其方法是:当主体申请对客体进行操作时,安全机制通过机密级来判别是否允许其操作。如果主体的安全级高于客体,则允许其读而不允许其写。反过来,当主体的机密级低于客体的机密级时,允许其写,但不允许其读。这样就保证了高安全级信息不被泄露给安全级较低的主体,从而提供机密性。BLP以其简单且能有效地提供机密性而得到了广泛的应用,但是存在以下缺点:(1)没有对可信主体访问权限进行限制,权限过大可能会危及安全;(2)主客体敏感级在整个生命周期中不可变限制其灵活性。针对BLP模型的不足,引入了自动读(Auto-read)、自动写(Auto-write)及自动读写(Auto-read-write)归来自动调整非可信进程的安全级。另外,提出了SLCF(Security Label Common Framework),并通过记录主体的访问历史来动态调整安全级,设计了DBLP(dynamicBLP),并用主体安全级范围代替当前主体的安全级,然而,指出,这两种方式都存在安全隐患。如何增加BLP的灵活性具有重要的意义,但是,任何改进必须以安全为前提,否则,改进失去意义。
1.2信息隐式泄露模型
虽然BLP模型可有效地阻止信息直接泄露,但却不能防范信息的隐式泄露,这引发了防止信息隐式泄露的研究。最早建模隐式信息泄露的工作Goguen博士,其核心是基于无干扰(Non-Interference):若低安全级用户通过外部观测来推断高安全级用户的行为(进而可泄露信息),则称之为高安全级用户干扰低安全级用户。基于无干扰的方法总体思路是:首先设计合适的描述体系,而后分析信息流在什么类型情况下不存在干扰,进而比较在不同情况下,不同信息流之间的关系。具体地,无干扰工作可分为四类:非确定性无干扰、概率无干扰、时间无干扰及时间概率无干扰。非确定无干扰是指非确定性环境中低安全用户不可推断高安全级用户的行为,一个非确定干扰的简单例子是:if H then L,其中H表示高安全级用户的动作,L均为低安全级的动作,这样低安全级用户可通过观测自己的行为来判断高安全级用户是否执行H。与此相对应,概率无干扰、时间无干扰及时间概率无干扰分别考察在概率环境下、时间条件下及时间概率条件下低安全用户不可推断高安全级用户的行为。如,若将一个进程本身在非确定性的条件下不存在干扰称为NNI(Nondeterministic Non-Interference)、将进程在与任意环境(进程)交互时不存在非确定性干扰称为BNDC(Bi-simulation Non-deducibifity 0n Composition),则一个进程属于BNDC,则它一定属于NNI,即BNDCCNNI,如图1,非确定无干扰的典型工作包。然而,在非确定性条件不存在干扰,并不意味在所有条件(比如,概率环境下)不存在干扰。Aldini博士等人分析了概率条件下的无干扰,指出了BSPNI(Bi-simulation Strong ProbabilisticNoninterference)、PBNDC(Probabilistic BNDC)
和SPBNDC(Strong PBNDC)等之间的关系一SPBNDCCPBNDC C BSPNI,如图2。在时间概率干扰方面,讨论不同信息流之间的关系,指出时间概率无干扰属于时间无干扰,也属于概率无干扰,但反之并不成立,如图3。此外,国内方面包括中国科技大学、浙江大学在内的很多学者也投入到信息流的研究中。
2面向信息流的完整性模型
完整性需要保障信息的非授权修改,经典的完整性模型是Biba模型,该模型包含了三个不同的子策略:low-water-mark策略,环策略和严格完整性策略。low-water-mark策略可只升不降低改变安全级,这种方式可保障完整性,但也带来了致命的缺陷:可能迅速导致主体不能访问大多数客体,从而失去可用性。严格完整性策略是BLP模型的对偶,正如命名所示,在这三种策略中严格完整性策略最最严格的。完整性策略的核心是:将主体和客体进行分级,并保障信息流只能从高安全级流向同等安全级或低安全级,进而提供完整性。该策略通过两个核心规则来实现:“不下读”(一个安全等级高的主体不能读取安全级别低的客体)和“不上写”(一个安全等级低的主体不能写安全级别高的客体)。由于严格完整性与BLP模型互为对偶,因此,也存在与BLP模型相似的问题:没有对可
信主体访问权限进行限制,权限过大可能会危及安全;(2)主客体敏感级在整个生命周期中不可变限制其灵活性。
针对严格完整性策略的不足,[18]给出一种基于Biba和Clark-Wilson策略的混合强制完整性模型。该模型的基本访问控制由Biba严格完整性策略来实现,同时根据可信主体在其生命周期所属的状态实施Biba低水标策略。对可信主体在其生命周期发生的状态转换及相应的低水标参数加以调整,采用Clark-Wilson模型来进行监控,有效解决了Biba策略的灵活性及安全性问题。
在信息流完整性实施方面,提出Biba模型中严格完整性政策的动态实施方案,并给出该方案在基于Linux的安全操作系统RFSOS中的实现,该方案既可以保证系统的完整性,又能提高系统的兼容性。为了构建安全分布式应用,Jif衍生系统嵌入了完整性策略,使得相关主体能够对“信息可被哪些主体修改”进行细粒度规格,并可对应用进行细粒度自动划分。Flume也嵌入完整性,阻止不可信的动态负载代码影响负载它的进程中的信息。Airvat集成信息流到MapReduce中,能同时提供机密性和完整性。4面向信息流的量化评估方法
安全是相对的,我们不可能保证绝对安全,只要不安全度在容许的范围即可,这就要求对安全进行量化评估。按照评价指标,信息流的量化评估工作可分为:基于香浓信息论的评价、基于Renyi熵的评价、基于猜测(guessed)熵的评价、基于拒绝数的评价、基于相似度的评价及基于信仰(belief)的评价等。
最早信息流量化工作可追溯到1982年,当时Denning给出了检测程序中信息泄露的方法。继Denning之后,研究者进行了大量的工作。具有代表性的是:Millent38j首次研究了无干扰与互信息的一致关系,给出了信息流中的状态机模型与香浓熵之间的关系。McLean等1区分了非确定信息流和概率信息流,给出了概率信息流的通用模型。但Denning和Millen方式的缺点在于其度量并不准确,McLean的缺点是很难区分高低安全级对象之间的因果关系。另外,这些工作都是基于香浓熵的,然而,2009年Smith指出即使某个变量很容易被猜测到,它也可能具有任意大的香浓熵,这导致基于香浓熵的方式并不一定准确,进而以Bayes风险为基础,利用Rdnyi最小熵来度量不确定性,以此给出信息泄露的度量方法。2005年Clarkson利用概率分布来建模攻击者的Belief,而后利用Bayesian技术来修正其信仰,进而利用相对熵来量化基于信仰的信息流。Hamadou认为基于Belief和Bayes风险方式量化信息流也是不准确的,进而提出了一种混合指标评价。Aldini等采用概率弱互模拟来标识信息的泄露,而后利用不同进程中相同的动作的最大概率差来度量信息的泄露。在抽象解释层面,Yasuoka分析了基于熵方式进行量化分析的难度和可能性,指出对于任意的,现有的方式都为非k-8afety,因此不能采用自组合方式来量化信息泄露。K6pf利用猜测熵给出了边界信道攻击的度量,并依据程序执行的次数来量化其信息泄露界。
2010年美国Cornell大学的Clarkson博士开启了面向信息流完整性的量化评估,他以互信息为基础,区分污染点和抑制点,给出了完整性破坏度的计算方法,作者认为量化污染点和抑制点对完整性是完备的,除了Clarkson博士外,目前还没有其它工作量化信息流完整性。
3展望
经过30年的发展,面向信息流的安全模型及量化评估取得了很大成绩,但也有许多问题亟待解决,大体上包括如下几个方面:
(1)在信息流隐式泄露度量方面,虽然研究者提出了很多度量方法,但几乎没有工作给出信息泄漏量的抽象解释,这阻止了度量方法的大规模应用;在很多时候并不关心信息的绝对泄露量,而更关心信息泄露量的上下界,但对信息泄露上界的研究很少,另外,在应用中如何确定符合实际需求的上界也是一个重要的研究问题。
(2)目前完整性的度量处于起步阶段,现有度量方式及评价指标都比较单一,没有考虑拓扑变化、污点及抑制点可能传播的情况,也没有考虑势差等因素对完整性的影响,其应用范围有限。为了有效地度量完整性,需要研究污染和抑制的传播条件、传播路径及易感群等,分析其传播动力学特征,分析拓扑结构与传播之间的相互作用机制,建立动态演绎的传播模型及预测技术,利用人工智能中的相关技术推(预)测可能的污点及抑制点,进而建立多指标量化评估技术,这些方面都亟待研究。
参考文献
[1]Denning D E,Denning P J.Certification of Programs forSecure Information Flow[J].Communications 0f the ACM.1977,20(7):504 513.
[2]Bell D E,Lapadula L J.Secure Computer Systems:Mathematical Foundations and Model[J].MITRE CORPBEDFORD MA,1973,l(M74 244).
[3]何建波,卿斯汉,王超.对两个改进的BLP模型的分析[J].软件学报,2007,18(6):1501 1509.
[4]A.Ott.Regel B asierte Zugriffskontrolle Nach DemGeneralized Framework for Access Control Ansatz AmBeispiel Linux[D].Universit t Hamburg,FachbereichInformatik,1997.
[5]梁洪亮,孙玉芳,赵庆松,张相锋,孙波.一个安全标记公共框架的设计与实现[J].软件学报,2003,14(3):547 552.
[6]季庆光,卿斯汉,贺也平.一个改进的可动态调节的机密性策略模型[J].软件学报,2004,15(10):1647 1557.
[7]Riccardo F,Roberto G.Classification of Security Properties(Part I:Information Flow)[C].Foundations of SecurityAnalysis and Design.LNCS 2171.2001
[8]Aldini A,Bravetti M,Gorrieri R.A Process AlgebraicApproach for the Analysis 0f Probabilistic NonInterference[J].Journal of Computer Security,2004,12(2):191 245.
要:本文依据我国制定的信息安全风险评估标准和国际有关标准,研究和设计针对数字校园的信息安全风险评估流程和框架,并利用该流程针对实际的数字校园对象进行实例验证,风险评估结果验证了该流程的合理性和可行性。
关键词:数字校园;风险评估;信息安全
中图分类号:TP309 文献标志码:B 文章编号:1673-8454(2012)23-0030-04
一、引言
数字校园是以校园网为背景的集教学、管理和服务为一体的一种新型的数字化工作、学习和生活环境。一个典型的数字校园包括各种常用网络服务、共享数据库、身份认证平台、各种业务管理系统和信息门户网站等[1]。数字校园作为一个庞大复杂的信息系统,构建和维护一个良好的信息安全管理体系是一项非常重要的基础管理工作。
信息安全风险评估是构建和维护信息安全管理体系的基础和关键环节,它通过识别组织的重要信息资产、资产面临的威胁以及资产自身的脆弱性,评估外部威胁利用资产的脆弱性导致安全事件发生的可能性,判断安全事件发生后对组织造成的影响。对数字校园进行信息安全风险评估有助于及时发现和解决存在的信息安全问题,保证数字校园的业务连续性,并为构建一个良好的信息安全管理体系奠定坚实基础。
二、评估标准
由于信息安全风险评估的基础性作用,包括我国在内的信息化程度较高的国家以及相关国际组织都非常重视相关标准和方法的研究。目前比较成熟的标准和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理体系要求》(ISO/IEC27001:2005)、美国NIST制定的SP800系列标准、美国CMU软件工程研究所下属的CERT协调中心开发的OCTAVE2.0以及我国制定的《信息安全技术——信息安全风险评估规范》(GB/T20984-2007)。
ISO/IEC27001系列标准于2005年10月15日正式,作为一种全球性的信息安全管理国际标准适用于任何组织的信息安全管理活动,同时也为评估组织的信息安全管理水平提供依据。但是ISO27001系列标准没有制定明确的信息安全风险评估流程,组织可以自行选择适合自身特点的信息安全风险评估方法,如OCTAVE2.0等[2][3]。
为了指导我国信息安全风险评估工作的开展,我国于2007年11月正式颁布了《信息安全技术——信息安全风险评估规范》(GB/T20984-2007),这是我国自主研究和制定的信息安全风险评估标准,该标准与ISO27001系列标准思想一致,但对信息安全风险评估过程进行了细化,使得更加适合我国企业或者组织的信息安全风险评估工作开展。
三、评估流程
《信息安全技术——信息安全风险评估规范》(GB/T20984-2007)等标准为风险评估提供了方法论和流程,为风险评估各个阶段的工作制定了规范,但标准没有规定风险评估实施的具体模型和方法,由风险评估实施者根据业务特点和组织要求自行决定。本文根据数字校园的业务流程和所属资产的特点,参考模糊数学、OCTAVE的构建威胁场景理论和通用弱点评价体系(CVSS)等风险评估技术,提出了数字校园信息安全风险评估的具体流程和整体框架,如图1所示。
据图1可知,数字校园的信息安全风险评估首先在充分识别数字校园的信息资产、资产面临的威胁以及可被威胁利用的资产脆弱性的基础上,确定资产价值、威胁等级和脆弱性等级,然后根据风险矩阵计算得出信息资产的风险值分布表。数字校园信息安全风险评估的详细流程如下:
(1)资产识别:根据数字校园的业务流程,从硬件、软件、电子数据、纸质文档、人员和服务等方面对数字校园的信息资产进行识别,得到资产清单。资产的赋值要考虑资产本身的实际价格,更重要的是要考虑资产对组织的信息安全重要程度,即信息资产的机密性、完整性和可用性在受到损害后对组织造成的损害程度,预计损害程度越高则赋值越高。
在确定了资产的机密性、完整性和可用性的赋值等级后,需要经过综合评定得出资产等级。综合评定方法一般有两种:一种方法是选取资产机密性、完整性和可用性中最为重要的一个属性确定资产等级;还有一种方法是对资产机密性、完整性和可用性三个赋值进行加权计算,通常采用的加权计算公式有相加法和相乘法,由组织根据业务特点确定。
设资产的机密性赋值为,完整性赋值为,可用性赋值为,资产等级值为,则
相加法的计算公式为v=f(x,y,z)=ax+by+cz,其中a+b+c=1(1)
(2)威胁识别:威胁分为实际威胁和潜在威胁,实际威胁识别需要通过访谈和专业检测工具,并通过分析入侵检测系统日志、服务器日志、防火墙日志等记录对实际发生的威胁进行识别和分类。潜在威胁识别需要查询资料分析当前信息安全总体的威胁分析和统计数据,并结合组织业务特点对潜在可能发生的威胁进行充分识别和分类。
(3)脆弱性识别:脆弱性是资产的固有属性,既有信息资产本身存在的漏洞也有因为不合理或未正确实施的管理制度造成的隐患。软件系统的漏洞可以通过专业的漏洞检测软件进行检测,然后通过安装补丁程序消除。而管理制度造成的隐患需要进行充分识别,包括对已有的控制措施的有效性也一并识别。
(4)威胁—脆弱性关联:为了避免单独对威胁和脆弱性进行赋值从而造成风险分析计算结果出现偏差,需要按照OCTAVE中的构建威胁场景方法将“资产-威胁-脆弱性-已有安全控制措施”进行关联。
(5)风险值计算:在资产、威胁、脆弱性赋值基础上,利用风险计算方法计算每个“资产-威胁-脆弱性”相关联的风险值,并最终得到整个数字校园的风险值分布表,并依据风险接受准则,确认可接受和不可接受的风险。
四、评估实例
本文以笔者所在高职院校的数字校园作为研究对象实例,利用前面所述的信息安全风险评估流程对该实例对象进行信息安全风险评估。
1.资产识别与评估
数字校园的资产识别与评估包括资产识别和资产价值计算。
(1)资产识别
信息安全风险评估专家、数字校园管理技术人员和数字校园使用部门代表共同组成数字校园信息资产识别小组,小组通过现场清查、问卷调查、查看记录和人员访谈等方式,按照数字校园各个业务系统的工作流程,详细地列出数字校园的信息资产清单。这些信息资产从类别上可以分为硬件(如服务器、存储设备、网络设备等)、软件(OA系统、邮件系统、网站等)、电子数据(各种数据库、各种电子文档等)、纸质文档(系统使用手册、工作日志等)、人员和服务等。为了对资产进行标准化管理,识别小组对各个资产进行了编码,便于标准化和精确化管理。
(2)资产价值计算
获得数字校园的信息资产详细列表后,资产识别小组召开座谈会确定每个信息资产的价值,即对资产的机密性、完整性、可用性进行赋值,三性的赋值为1~5的整数,1代表对组织造成的影响或损失最低,5代表对组织造成的影响或损失最高。确定资产的信息安全属性赋值后,结合该数字校园的特点,采用相加法确定资产的价值。该数字校园的软件类资产计算样例表如下表1所示。
由于资产价值的计算结果为1~5之间的实数,为了与资产的机密性、完整性、可用性赋值相对应,需要对资产价值的计算结果归整,归整后的数字校园软件类资产的资产等级结果如表1所示。
因为数字校园的所有信息资产总数庞大,其中有些很重要,有些不重要,重要的需要特别关注重点防范,不重要的可以不用考虑或者减少投入。在识别出所有资产后,还需要列出所有的关键信息资产,在以后的日常管理中重点关注。不同的组织对关键资产的判断标准不完全相同,本文将资产等级值在4以上(包括4)的资产列为关键信息资产,并在资产识别清单中予以注明,如表1所示。
2.威胁和脆弱性识别与评估
数字校园与其他计算机网络信息系统一样面临着各种各样的威胁,同时数字校园作为一种在校园内部运行的网络信息系统面临的威胁的种类和分布有其自身特点。任何威胁总是通过某种具体的途径或方式作用到特定的信息资产之上,通过破坏资产的一个或多个安全属性而产生信息安全风险,即任何威胁都是与资产相关联的,一项资产可能面临多个威胁,一个威胁可能作用于多项资产。威胁的识别方法是在资产识别阶段形成的资产清单基础上,以关键资产为重点,从系统威胁、自然威胁、环境威胁和人员威胁四个方面对资产面临的威胁进行识别。在分析数字校园实际发生的网络威胁时,需要检查入侵检测系统、服务器日志文件等记录的数据。
脆弱性是指资产中可能被威胁所利用的弱点。数字校园的脆弱性是数字校园在开发、部署、运维等过程中由于技术不成熟或管理不完善产生的一种缺陷。它如果被相关威胁利用就有可能对数字校园的资产造成损害,进而对数字校园造成损失。数字校园的脆弱性可以分为技术脆弱性和管理脆弱性两种。技术脆弱性主要包括操作系统漏洞、网络协议漏洞、应用系统漏洞、数据库漏洞、中间件漏洞以及网络中心机房物理环境设计缺陷等等。管理脆弱性主要由技术管理与组织管理措施不完善或执行不到位造成。
技术脆弱性的识别主要采用问卷调查、工具检测、人工检查、文档查阅、渗透性测试等方法。因为大部分技术脆弱性与软件漏洞有关,因此使用漏洞检测工具检测脆弱性,可以获得较高的检测效率。本文采用启明星辰公司研发的天镜脆弱性扫描与管理系统对数字校园进行技术脆弱性识别和评估。
管理脆弱性识别的主要内容就是对数字校园现有的安全控制措施进行识别与确认,有效的安全控制措施可以降低安全事件发生的可能性,无效的安全控制措施会提高安全事件发生的可能性。安全控制措施大致分为技术控制措施、管理和操作控制措施两大类。技术控制措施随着数字校园的建立、实施、运行和维护等过程同步建设与完善,具有较强的针对性,识别比较容易。管理和操作控制措施识别需要对照ISO27001标准的《信息安全实用规则指南》或NIST的《最佳安全实践相关手册》制订的表格进行,避免遗漏。
3.风险计算
完成数字校园的资产识别、威胁识别、脆弱性识别和已有控制措施识别任务后,进入风险计算阶段。
对于像数字校园这类复杂的网络信息系统,需要采用OCTAVE标准提供的“构建威胁场景”方法进行风险分析。“构建威胁场景”方法基于“具体问题、具体分析”的原则,理清“资产-威胁-脆弱性-已有控制措施”的内在联系,避免了孤立地评价威胁导致风险计算结果出现偏差的局面。表2反映了数字校园图书馆管理系统的资产、威胁、脆弱性、已有控制措施的映射示例。
将“资产—威胁—脆弱性—已有控制措施”进行映射后,就可以按照GB/T20984-2007《信息安全风险评估规范》要求进行风险计算。为了便于计算,需要将前面各个阶段获得资产、威胁、脆弱性赋值与表3所示的“资产—威胁—脆弱性—已有控制措施”映射表合并,因为在对脆弱性赋值的时候已经考虑了已有控制措施的有效性,因此可以将已有控制措施去掉。
本文采用的风险计算方法为《信息安全风险评估规范》中推荐的矩阵法,风险值计算公式为:R=R(A,T,V)=R(L(T,V)F(Ia,Va))。其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。
风险计算的具体步骤是:
(a)根据威胁赋值和脆弱性赋值,查询《安全事件可能性矩阵》计算安全事件可能性值;
(b)对照《安全事件可能性等级划分矩阵》将安全事件可能性值转换为安全事件可能性等级值;
(c)根据资产赋值和脆弱性赋值,查询《安全事件损失矩阵》计算安全事件损失值;
(d)对照《安全事件损失等级划分矩阵》将安全事件损失值转换为安全事件损失等级值;
(e)根据安全事件可能性等级值和安全事件损失等级值,查询《风险矩阵》计算安全事件风险值;
(f)对照《风险等级划分矩阵》将安全事件风险值转换为安全事件风险等级值。
所有等级值均采用五级制,1级最低,5级最高。
五、结束语
数字校园是现代高校信息化的重要基础设施,数字校园的安全稳定直接关系到校园的安全稳定,而风险评估是保证数字校园安全稳定的一项基础性工作。本文的信息安全风险评估方法依据国家标准,采用定性和定量相结合的方式,保证了信息安全风险评估的有效性和科学性,使得风险评估结果能对后续建立数字校园的信息安全管理体系起到指导作用。
参考文献:
[1]宋玉贤.高职院校数字化校园建设的策略研究[J].中国教育信息化,2010(4).
