[摘 要]本文通過(guò)對(duì)目前信息安全現(xiàn)狀的背景分析，以及對(duì)前人信息安全解決策略的總結(jié)，提出了基于信息安全界主流的“三分技術(shù)，七分管理”理念的信息安全解決方案，基于對(duì)目前主流殺毒軟件產(chǎn)品的日志分析，從而評(píng)價(jià)信息安全現(xiàn)狀以此提出解決策略，并詳細(xì)介紹了根據(jù)以上理念而開(kāi)發(fā)的信息安全支持平臺(tái)的構(gòu)造及開(kāi)發(fā)方法，為解決信息安全尤其是企業(yè)信息資產(chǎn)的安全問(wèn)題提供了參考#65377;

[關(guān)鍵詞]信息安全;病毒分析;風(fēng)險(xiǎn)評(píng)估

[中圖分類(lèi)號(hào)]G250.73 [文獻(xiàn)標(biāo)識(shí)碼]B [文章編號(hào)]1008-0821(2010)03-0170-04

A Method for Information Security Risk Based on Computer Virus AnalysisLiu Xudong Yu Haoxin Sun Yangyang Peng Bi

(College of Information Science and Technology，Nanjing Agriculture University，Nanjing 210000，China)

[Abstract]This article based on the solution of information security，summarized the methods used by former scholars，gave a method for information security risk based on computer virus analysis.The method collected the documents which noted the information of security software，then calculated the grade of information security.Finally，found the resolve measures of the problem and tell the users.

[Key words]information security risk;computer virus analysis;security risk assessment

互聯(lián)網(wǎng)的迅速發(fā)展使得信息的傳輸與加工可以在瞬間跨越地理位置的障礙而遍布世界各地，計(jì)算機(jī)網(wǎng)絡(luò)已成為人們生活的重要組成部分，但是計(jì)算機(jī)網(wǎng)絡(luò)的特點(diǎn)與局限決定了它將承受眾多的安全威脅#65377;中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布的《第23次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》#65377;報(bào)告顯示，截至2008年底，中國(guó)網(wǎng)民數(shù)達(dá)到2.98億，手機(jī)網(wǎng)民數(shù)超1億達(dá)1.137億#65377;

艾瑞市場(chǎng)咨詢根據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局統(tǒng)計(jì)數(shù)據(jù)顯示，2006年中國(guó)(大陸)病毒造成的主要危害情況:“瀏覽器配置被修改”是用戶提及率最高的選項(xiàng)，達(dá)20.9%，其次病毒造成的影響還表現(xiàn)為“數(shù)據(jù)受損或丟失”18%，“系統(tǒng)使用受限”16.1%，“密碼被盜”13.1%，另外“受到病毒非法遠(yuǎn)程控制”提及率為6.1%“無(wú)影響”的只有4.2%[1]#65377;從以上數(shù)據(jù)可以看出，目前網(wǎng)絡(luò)信息安全問(wèn)題已非常嚴(yán)重，病毒#65380;木馬#65380;惡意代碼#65380;物理故障#65380;人為破壞等等都無(wú)時(shí)無(wú)刻不威脅著網(wǎng)絡(luò)的信息安全#65377;人們開(kāi)始不斷探索和研究防止網(wǎng)絡(luò)威脅的手段和方法，并且很快在殺毒軟件#65380;防火墻技術(shù)#65380;入侵檢測(cè)技術(shù)等方面取得了迅猛的發(fā)展#65377;然而，這并沒(méi)有從根本上解決計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題#65377;來(lái)自計(jì)算機(jī)網(wǎng)絡(luò)的威脅更加多樣化和隱蔽化，越來(lái)越多的研究人員開(kāi)始研究網(wǎng)絡(luò)信息安全與風(fēng)險(xiǎn)評(píng)估問(wèn)題#65377;

從用戶角度來(lái)說(shuō)，信息作為信息系統(tǒng)的重要資產(chǎn)，是企業(yè)和組織進(jìn)行正常商務(wù)運(yùn)作和管理不可或缺的資源#65377;保障信息安全能夠防止信息受到威脅，以確保業(yè)務(wù)的連續(xù)，使業(yè)務(wù)風(fēng)險(xiǎn)最小化，投資回報(bào)和商業(yè)機(jī)遇最大化#65377;信息安全的保障除了技術(shù)的完善與提高外，更重要的是管理體系的完善，正所謂“信息安全是三分靠技術(shù)七分靠管理”#65377;雖然信息安全技術(shù)經(jīng)過(guò)了20多年的發(fā)展，有許多安全產(chǎn)品可以用來(lái)加強(qiáng)信息系統(tǒng)的安全，但安全事件還是經(jīng)常出現(xiàn)，因此信息安全管理成為一個(gè)組織的整個(gè)管理體系中的一個(gè)重要環(huán)節(jié)，而信息安全風(fēng)險(xiǎn)評(píng)估又是信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)#65377;因此為現(xiàn)有的各類(lèi)組織提供較為完整的網(wǎng)絡(luò)信息安全管理解決方案，是非常有意義的#65377;

1 目前主流的信息安全技術(shù)手段

1.1 病毒防范技術(shù)

計(jì)算機(jī)病毒防范，是指通過(guò)建立合理的計(jì)算機(jī)病毒防范體系和制度，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒侵入，并采取有效的手段阻止計(jì)算機(jī)病毒的傳播和破壞，恢復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)#65377;當(dāng)計(jì)算機(jī)系統(tǒng)或文件染有計(jì)算機(jī)病毒時(shí)，需要檢測(cè)和消除#65377;但是，計(jì)算機(jī)病毒一旦破壞了沒(méi)有副本的文件，便無(wú)法醫(yī)治#65377;隱性計(jì)算機(jī)病毒和多態(tài)性計(jì)算機(jī)病毒更使人難以檢測(cè)#65377;在與計(jì)算機(jī)病毒的對(duì)抗中，如果能采取有效的防范措施，就能使系統(tǒng)不染毒，或者染毒后能減少損失#65377;目前，世界上每天有13~50種新病毒出現(xiàn)，并且60%的病毒都是通過(guò)互聯(lián)網(wǎng)來(lái)進(jìn)行傳播#65377;為了能有效保護(hù)信息資源，要求殺毒軟件能支持所有企業(yè)可能用到的互聯(lián)網(wǎng)協(xié)議及郵件系統(tǒng)，能適應(yīng)并及時(shí)跟上瞬息萬(wàn)變的時(shí)代步伐#65377;

1.2 防火墻技術(shù)

網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備#65377;它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)#65377;它所保護(hù)的對(duì)象是網(wǎng)絡(luò)中有明確閉合邊界的一個(gè)網(wǎng)塊，而它所防范的對(duì)象是來(lái)自被保護(hù)網(wǎng)塊外部的安全威脅#65377;目前防火墻產(chǎn)品主要有如下幾種:①包過(guò)濾防火墻:通常安裝在路由器上，根據(jù)網(wǎng)絡(luò)管理員設(shè)定的訪問(wèn)控制清單對(duì)流經(jīng)防火墻信息包的IP源地址，IP目標(biāo)地址#65380;封裝協(xié)議(如TCP/IP等)和端口號(hào)等進(jìn)行篩選#65377;但包過(guò)濾技術(shù)的缺陷也是明顯的#65377;包過(guò)濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來(lái)源#65380;目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無(wú)法識(shí)別基于應(yīng)用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒#65377;有經(jīng)驗(yàn)的黑客很容易偽造IP地址，騙過(guò)包過(guò)濾型防火墻#65377;②代理服務(wù)器防火墻:包過(guò)濾技術(shù)可以通過(guò)對(duì)IP地址的封鎖來(lái)禁止未經(jīng)授權(quán)者的訪問(wèn)#65377;代理型防火墻也可以被稱(chēng)為代理服務(wù)器，它的安全性要高于包過(guò)濾型產(chǎn)品，并已經(jīng)開(kāi)始向應(yīng)用層發(fā)展#65377;代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流#65377;代理服務(wù)器通常由服務(wù)端程序和客戶端程序兩部分構(gòu)成，客戶端程序與中間節(jié)(Proxy Server)連接，這樣，從外部網(wǎng)絡(luò)就只能看到代理服務(wù)器而看不到任何的內(nèi)部資源#65377;由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒(méi)有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)#65377;③狀態(tài)監(jiān)視防火墻:通過(guò)檢測(cè)模塊對(duì)相關(guān)數(shù)據(jù)的監(jiān)測(cè)后，從中抽取部分?jǐn)?shù)據(jù)，并將其動(dòng)態(tài)地保存起來(lái)作為以后制定安全決策的參考#65377;采用狀態(tài)監(jiān)視器技術(shù)后，當(dāng)用戶的訪問(wèn)到達(dá)網(wǎng)關(guān)操作系統(tǒng)之前，狀態(tài)監(jiān)視器要對(duì)訪問(wèn)請(qǐng)求抽取有關(guān)數(shù)據(jù)結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定進(jìn)行分析，以做出接納#65380;拒絕#65380;鑒定或給該通信加密等的決定#65377;一旦某個(gè)訪問(wèn)違反了上述安全規(guī)定，安全報(bào)警器就會(huì)拒絕該訪問(wèn)，并向系統(tǒng)管理器報(bào)告網(wǎng)絡(luò)狀態(tài)#65377;但它的配置非常復(fù)雜，而且會(huì)降低網(wǎng)絡(luò)信息的傳輸速度#65377;網(wǎng)絡(luò)防火墻技術(shù)的作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)，就其產(chǎn)品的主流趨勢(shì)而言，大多數(shù)代理服務(wù)器(也稱(chēng)應(yīng)用網(wǎng)關(guān))也集成了包濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用更具有大的優(yōu)勢(shì)[2]#65377;

] No.32010年3月第30卷第3期一種基于病毒分析的網(wǎng)絡(luò)信息安全支持平臺(tái)的研究Mar.，2010Vol.30 No.31.3 加密型技術(shù)

以數(shù)據(jù)加密為基礎(chǔ)的網(wǎng)絡(luò)安全系統(tǒng)的特征是:通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的可靠加密來(lái)保護(hù)網(wǎng)絡(luò)系統(tǒng)中的所有數(shù)據(jù)流，從而在不對(duì)網(wǎng)絡(luò)環(huán)境作任何特殊要求的前提下，從根本上解決了網(wǎng)絡(luò)安全的兩大要求#65377;采用加密技術(shù)網(wǎng)絡(luò)系統(tǒng)的優(yōu)點(diǎn)在于:不僅不需要特殊網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的支持，而且在數(shù)據(jù)傳輸過(guò)程中也不會(huì)對(duì)所經(jīng)過(guò)網(wǎng)絡(luò)路徑的安全程度作出要求，從而真正實(shí)現(xiàn)了網(wǎng)絡(luò)通信過(guò)程端到端的安全保障#65377;預(yù)計(jì)在未來(lái)3~5年內(nèi)，采用加密技術(shù)的網(wǎng)絡(luò)安全系統(tǒng)有希望成為網(wǎng)絡(luò)安全的主要實(shí)現(xiàn)方式#65377;加密技術(shù)按加密密鑰與解密密鑰的對(duì)稱(chēng)性可分為對(duì)稱(chēng)型加密#65380;不對(duì)稱(chēng)型加密#65380;不可逆加密#65377;在對(duì)稱(chēng)加密技術(shù)中，對(duì)信息的加密和解密都使用相同的鑰，也就是說(shuō)一把鑰匙開(kāi)一把鎖#65377;這種加密方法可簡(jiǎn)化加密處理過(guò)程，信息交換雙方都不必彼此研究和交換專(zhuān)用的加密算法#65377;如果在交換階段私有密鑰未曾泄露，那么機(jī)密性和報(bào)文完整性就可以得以保證#65377;對(duì)稱(chēng)加密技術(shù)也存在一些不足，如果交換一方有N個(gè)交換對(duì)象，那么他就要維護(hù)N個(gè)私有密鑰，對(duì)稱(chēng)加密存在的另一個(gè)問(wèn)題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過(guò)這把密鑰加密后傳送給對(duì)方的#65377;在非對(duì)稱(chēng)加密體系中，密鑰被分解為一對(duì)(即公開(kāi)密鑰和私有密鑰)#65377;這對(duì)密鑰中任何一把都可以作為公開(kāi)密鑰(加密密鑰)通過(guò)非保密方式向他人公開(kāi)，而另一把作為私有密鑰(解密密鑰)加以保存#65377;公開(kāi)密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開(kāi)密鑰可廣泛公布，但它只對(duì)應(yīng)于生成密鑰的交換方#65377;非對(duì)稱(chēng)加密方式可以使通信雙方無(wú)須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認(rèn)證#65380;數(shù)字簽名等信息交換領(lǐng)域#65377;非對(duì)稱(chēng)加密體系一般是建立在某些已知的數(shù)學(xué)難題之上，是計(jì)算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果#65377;最具有代表性是RSA公鑰密碼體制[3]#65377;

1.4 入侵檢測(cè)技術(shù)

入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)#65380;監(jiān)視#65380;進(jìn)攻識(shí)別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性#65377;它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象#65377;入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊#65380;外部攻擊和誤操作的實(shí)時(shí)保護(hù)#65377;入侵檢測(cè)技術(shù)主要分成兩大類(lèi)型:①異常入侵檢測(cè):是指能夠根據(jù)異常行為和使用計(jì)算機(jī)資源情況檢測(cè)出來(lái)的入侵#65377;異常入侵檢測(cè)試圖用定量方式描述可接受的行為特征，以區(qū)分非正常的#65380;潛在的入侵性行為#65377;②誤用入侵檢測(cè):是指利用已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)攻擊模式來(lái)檢測(cè)入侵#65377;誤用入侵檢測(cè)的主要假設(shè)是具有能夠被精確地按某種方式編碼的攻擊，并可以通過(guò)捕獲攻擊及重新整理，確認(rèn)入侵活動(dòng)是基于同一弱點(diǎn)進(jìn)行攻擊的入侵方法的變種[4]#65377;

1.5 網(wǎng)絡(luò)安全掃描技術(shù)

安全掃描技術(shù)是一類(lèi)重要的網(wǎng)絡(luò)安全技術(shù)#65377;安全掃描技術(shù)與防火墻#65380;入侵檢測(cè)系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性#65377;通過(guò)對(duì)網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)#65377;網(wǎng)絡(luò)管理員可以根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤配置，在黑客攻擊前進(jìn)行防范#65377;如果說(shuō)防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動(dòng)的防御手段，那么安全掃描就是一種主動(dòng)的防范措施，可以有效避免黑客攻擊行為，做到防患于未然#65377;安全掃描技術(shù)主要分為兩類(lèi):主機(jī)安全掃描技術(shù)和網(wǎng)絡(luò)安全掃描技術(shù)#65377;網(wǎng)絡(luò)安全掃描技術(shù)主要針對(duì)系統(tǒng)中不合適的設(shè)置脆弱的口令，以及針對(duì)其它同安全規(guī)則抵觸的對(duì)象進(jìn)行檢查等;而主機(jī)安全掃描技術(shù)則是通過(guò)執(zhí)行一些腳本文件模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞#65377;除了以上介紹的幾種網(wǎng)絡(luò)安全技術(shù)之外，還有一些被廣泛應(yīng)用的安全技術(shù)，如身份驗(yàn)證#65380;存取控制#65380;安全協(xié)議等[5]#65377;

上述技術(shù)存在的缺陷:隨著研究的逐步深入，信息安全的管理的理念發(fā)生了轉(zhuǎn)變，從單純的技術(shù)手段逐漸向管理方面轉(zhuǎn)變，在安全程度的界定上從絕對(duì)安全到目前的相對(duì)安全，從全面的安全防御到后來(lái)的評(píng)估其信息資產(chǎn)的相對(duì)安全程度的界定，并針對(duì)存在安全漏洞或威脅的程度采取相應(yīng)的措施#65377;

2 項(xiàng)目的理論基礎(chǔ)

2.1 風(fēng)險(xiǎn)評(píng)估(Risk Assessment，RA)簡(jiǎn)介

1S0明確定義:風(fēng)險(xiǎn)評(píng)估是整個(gè)風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的過(guò)程#65377;風(fēng)險(xiǎn)分析是指系統(tǒng)地使用信息以識(shí)別來(lái)源，并估計(jì)風(fēng)險(xiǎn);風(fēng)險(xiǎn)評(píng)價(jià)是依據(jù)給定的風(fēng)險(xiǎn)準(zhǔn)則比較已估計(jì)的風(fēng)險(xiǎn)，從而確定風(fēng)險(xiǎn)嚴(yán)重程度的過(guò)程#65377;

信息安全風(fēng)險(xiǎn)評(píng)估是組織按照有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)其內(nèi)部的信息系統(tǒng)及由這些系統(tǒng)進(jìn)行處理#65380;傳輸和存儲(chǔ)的相關(guān)信息的安全屬性(包括機(jī)密性#65380;完整性和可用性)進(jìn)行評(píng)價(jià)的一個(gè)過(guò)程#65377;它要評(píng)估組織內(nèi)重要信息資產(chǎn)面臨的各類(lèi)威脅，以及威脅利用薄弱點(diǎn)導(dǎo)致安全事件發(fā)生的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響，即信息安全的風(fēng)險(xiǎn)#65377;

信息安全風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全保障機(jī)制建立過(guò)程中的一種評(píng)價(jià)方法，其結(jié)果為信息安全風(fēng)險(xiǎn)管理提供依據(jù)#65377;(圖1)是對(duì)干資產(chǎn)#65380;薄弱點(diǎn)#65380;威脅#65380;風(fēng)險(xiǎn)等鳳險(xiǎn)評(píng)估所涉及的要素及其關(guān)系的描述#65377;

圖1 風(fēng)險(xiǎn)及其要素之間的關(guān)系模型 1S027001中提出了風(fēng)險(xiǎn)評(píng)估的方法論，指出了組織實(shí)施風(fēng)險(xiǎn)評(píng)估的步驟，具體內(nèi)容如下側(cè):

(1)定義組織的風(fēng)險(xiǎn)評(píng)估方法:①識(shí)別適用干ISMS和已經(jīng)識(shí)別的業(yè)務(wù)信息安全法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法;②建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí)#65377;

(2)識(shí)別鳳險(xiǎn):①識(shí)別侶MS控制范圍內(nèi)的資產(chǎn)以及這些資產(chǎn)的所有者;②識(shí)別對(duì)這些資產(chǎn)的威脅;③識(shí)別可能被威脅利用的薄弱點(diǎn);④識(shí)別保密性#65380;完整性和可用性損失可能對(duì)資產(chǎn)造成的影響#65377;

(3)分析并評(píng)價(jià)風(fēng)險(xiǎn):①評(píng)估安全失效可能導(dǎo)致的組織業(yè)務(wù)影響，考慮因資產(chǎn)保密性#65380;完整性#65380;可用性的損失而導(dǎo)致的后果;②根據(jù)資產(chǎn)的主要威脅#65380;薄弱點(diǎn)#65380;有關(guān)的影響以及已經(jīng)實(shí)施的安全控制，評(píng)估安全失效發(fā)生的現(xiàn)實(shí)可能性;③評(píng)價(jià)風(fēng)險(xiǎn)的等級(jí);④根據(jù)己建立的準(zhǔn)則，判斷風(fēng)險(xiǎn)是否可接受或需要處理#65377;

雖然標(biāo)準(zhǔn)沒(méi)有提出實(shí)施風(fēng)險(xiǎn)評(píng)估的具體方法，但是我們將按照15027001中的大致步驟，參考相關(guān)的指南和方法，以舉例的方式對(duì)數(shù)字圖書(shū)館的重要信息資產(chǎn)實(shí)施一次風(fēng)險(xiǎn)評(píng)估[6]#65377;

2.2“三分技術(shù)，七分管理”理念的提出

中國(guó)的信息安全技術(shù)發(fā)展至今，大體可分為3個(gè)階段，單機(jī)防病毒階段#65380;網(wǎng)絡(luò)安全階段和真正意義的信息安全管理階段#65377;

第一階段為1995年以前，這個(gè)時(shí)期電腦剛剛在國(guó)內(nèi)應(yīng)用，主要為單機(jī)文檔工作，以打字為主，基本沒(méi)有聯(lián)網(wǎng)#65377;這個(gè)時(shí)期主要威脅是DOS病毒，信息安全的內(nèi)容比較簡(jiǎn)單，以單機(jī)防病毒為主，可稱(chēng)為單機(jī)防病毒階段#65377;

第二階段以1995年開(kāi)始的校園網(wǎng)建設(shè)及門(mén)戶網(wǎng)絡(luò)建設(shè)為標(biāo)志，至1999年，稱(chēng)為網(wǎng)絡(luò)安全階段#65377;這個(gè)階段以防止外部攻擊和黑客為主，防火墻#65380;入侵檢測(cè)#65380;防病毒#65380;桌面管理#65380;文檔加密等安全產(chǎn)品和技術(shù)大規(guī)模應(yīng)用，特別是前3種產(chǎn)品，以至于很多人至今對(duì)信息安全的理解就是防火墻#65380;入侵檢測(cè)和防病毒這老三樣，直到現(xiàn)在還有人認(rèn)為信息安全就是網(wǎng)絡(luò)安全，其實(shí)這種認(rèn)識(shí)是很片面和局限的#65377;

第三階段自1999年開(kāi)始，在IT應(yīng)用程度最高的金融和電信等行業(yè)都很明顯地體會(huì)到越來(lái)越多的信息安全問(wèn)題，是僅僅依靠產(chǎn)品和技術(shù)根本無(wú)法解決的#65377;統(tǒng)計(jì)數(shù)字表明，這個(gè)時(shí)期企業(yè)70%的信息安全事件產(chǎn)生的原因并不是來(lái)自外界的病毒和黑客，而是來(lái)自內(nèi)部的未授權(quán)訪問(wèn)，而解決這些問(wèn)題的主要出路要依靠管理#65377;所謂“三分技術(shù)七分管理”就是這個(gè)時(shí)期提出的口號(hào)，為了解決愈來(lái)愈多的信息安全問(wèn)題，以BS7799為代表的國(guó)際信息安全管理標(biāo)準(zhǔn)開(kāi)始引入中國(guó)#65377;至此，產(chǎn)品#65380;技術(shù)和標(biāo)準(zhǔn)——決定信息安全管理水平的三要素全部到位#65377;這時(shí)中國(guó)才進(jìn)入了真正意義的信息安全管理階段，這個(gè)階段將一直延伸到今后相當(dāng)長(zhǎng)的一段時(shí)間[7]#65377;

3 平臺(tái)開(kāi)發(fā)方法及實(shí)現(xiàn)功能

本研究平臺(tái)，利用了目前針對(duì)信息安全問(wèn)題的主流思想“三分技術(shù)七分管理”，將信息資產(chǎn)安全問(wèn)題與目前的信息安全產(chǎn)品加以擬合，對(duì)不同殺毒軟件進(jìn)行管理#65380;集成，最終形成一個(gè)基于網(wǎng)絡(luò)信息安全的管理支持平臺(tái)，對(duì)遠(yuǎn)程用戶的信息安全狀況進(jìn)行評(píng)估，更為系統(tǒng)地提供信息安全服務(wù)#65377;

3.1 系統(tǒng)開(kāi)發(fā)框架(圖1)

圖2 網(wǎng)絡(luò)安全支持平臺(tái) 3.2 各部分構(gòu)成與功能

(1)客戶端:主要負(fù)責(zé)收集客戶使用的殺毒軟件所產(chǎn)生的日志，并將其形成文件傳送到Agent#65377;

(2)服務(wù)器端:將Agent發(fā)送過(guò)來(lái)的殺毒軟件日志，進(jìn)行分析，包括殺毒軟件類(lèi)型#65380;日志中各部分的含義，形成分門(mén)別類(lèi)的統(tǒng)計(jì)#65377;

(3)漏洞評(píng)估系統(tǒng):將服務(wù)器端前期解析的文件進(jìn)行處理，運(yùn)用自動(dòng)算法得出信息安全危害權(quán)值，并將其數(shù)據(jù)傳送至網(wǎng)上，供用戶查看#65377;

3.3 殺毒軟件的擬合

本平臺(tái)主要是通過(guò)獲取存在于客戶機(jī)器中殺毒軟件(NOD32#65380;瑞星#65380;諾頓#65380;趨勢(shì)等)每次殺毒產(chǎn)生的日志，對(duì)其進(jìn)行特征解析，獲得病毒類(lèi)型#65380;軟件產(chǎn)品種類(lèi)#65380;日志產(chǎn)生日期#65380;病毒位置#65380;病毒數(shù)量等信息，由Agent進(jìn)行通信，并進(jìn)入到漏洞評(píng)估系統(tǒng)中進(jìn)行安全性評(píng)估，并將結(jié)果告知用戶，提供相應(yīng)的解決策略#65377;

3.4 系統(tǒng)工作流程介紹

(1)在用戶安裝了系統(tǒng)客戶端之后，用戶打開(kāi)軟件，系統(tǒng)開(kāi)始獲取用戶的殺毒軟件信息#65377;

(2)基于軟件信息，獲取日志文件，發(fā)送服務(wù)器端#65377;

(3)服務(wù)器端接收日志文件，并將其納入漏洞評(píng)估系統(tǒng)進(jìn)行評(píng)估，產(chǎn)生評(píng)估報(bào)告#65377;

(4)將產(chǎn)生的評(píng)估報(bào)告，以網(wǎng)頁(yè)的形式上傳，供用戶查看#65377;

4 結(jié) 語(yǔ)

目前，網(wǎng)絡(luò)信息安全問(wèn)題一直是一個(gè)熱點(diǎn)問(wèn)題，也是一個(gè)一直都未能解決的問(wèn)題，黑客攻擊#65380;各種病毒的制造#65380;瀏覽掛碼網(wǎng)頁(yè)等時(shí)刻威脅著上網(wǎng)者的安全，尤其是在配置了諸多有用資產(chǎn)的公司中尤為重要，而目前主流的信息安全產(chǎn)品多半以技術(shù)見(jiàn)長(zhǎng)，而且各家的水平和軟件風(fēng)格又各不相同，而多數(shù)用戶殺毒軟件產(chǎn)品品種單一并且差異性較大，本平臺(tái)的嘗試是本著管理的理念，覆蓋眾多用戶，采用ISO27000標(biāo)準(zhǔn)的評(píng)估體系，系統(tǒng)全面地進(jìn)行信息資產(chǎn)安全的評(píng)估，與當(dāng)前信息安全產(chǎn)品形成了互補(bǔ)，具有較強(qiáng)的實(shí)用性和系統(tǒng)性，在信息安全問(wèn)題的解決上邁出了重要的一步#65377;

參考文獻(xiàn)

[1]王渝寧.網(wǎng)絡(luò)信息安全的現(xiàn)狀與防御[J].現(xiàn)代商貿(mào)工業(yè)，2008，(1):269-270.

[2]陳峰.信息安全的研究現(xiàn)狀及發(fā)展[J].中國(guó)人民公安大學(xué)學(xué)報(bào)，2009，(2):77-81.

[3]孟揚(yáng).網(wǎng)絡(luò)信息加密技術(shù)分析[J].信息網(wǎng)絡(luò)安全，2009，(4):7-9.

[4]龔星宇，劉志生，張建華.基于網(wǎng)絡(luò)入侵檢測(cè)的分析與研究[J].電子設(shè)計(jì)工程，2009，(5):84-86.

[5]李蓬，鄭延斌.基于網(wǎng)絡(luò)綜合掃描的信息安全風(fēng)險(xiǎn)評(píng)估研究[J].計(jì)算機(jī)安全，2009，(3):18-20，23.

[6]張宏，韓碩祥.淺談ISO17799《信息安全管理體系》標(biāo)準(zhǔn)的產(chǎn)生與應(yīng)用[J].信息技術(shù)與標(biāo)準(zhǔn)化，2002，(6):47-51.

[7]牛志軍.再談“三分技術(shù)七分管理”[J].軟件世界，2006，(9):36-37.