熊婉迪 劉新輝

（廣州城建職業(yè)學(xué)院 廣東省廣州市 510925）

對計算機進行風(fēng)險評估的目的是確定外力環(huán)境下，不可控因素及其可能造成損失的概率及程度，以便選擇針對性的控制措施。不同領(lǐng)域條件下，考慮到目標、影響以及行為主體的不同，風(fēng)險評估的內(nèi)容和方法也存在一定差異。對不同領(lǐng)域的重要活動和項目進行風(fēng)險評估是必要的過程。隨著互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用，用戶逐漸認識到計算機內(nèi)部信息安全的重要性。在計算機信息系統(tǒng)安全領(lǐng)域，風(fēng)險已在內(nèi)涵中進行了重新定義，指的是安全事件的可能性以及由于系統(tǒng)漏洞而人為或自然威脅所造成的影響。計算機信息系統(tǒng)風(fēng)險評估主要針對信息和信息處理系統(tǒng)，是從內(nèi)部原因和外部原因中綜合判斷其面臨的風(fēng)險。本文主要分析了我國風(fēng)險評估的相關(guān)標準和方法，以致于風(fēng)險評估的實施過程更加高效可靠。

1 計算機信息系統(tǒng)安全風(fēng)險評估的必要性

計算機信息系統(tǒng)風(fēng)險評估能夠判斷系統(tǒng)的安全環(huán)境與狀況，還能夠明確信息化過程中各級的責任，它為評估機構(gòu)的高層管理人員提供了更加經(jīng)濟有效的安全管理措施，以確保整套安全管理策略的一致性。因此，在信息技術(shù)快速發(fā)展的今天，深入計算機信息系統(tǒng)風(fēng)險評估標準與安全管理的研究具有現(xiàn)實意義[1]。

（1）計算機信息系統(tǒng)風(fēng)險評估與安全管理符合當前信息化建設(shè)的根本需求。當前，計算機信息系統(tǒng)安全已經(jīng)成為影響和限制信息建設(shè)的突出問題。通過科學(xué)的方法來預(yù)測并規(guī)避風(fēng)險是信息建設(shè)的現(xiàn)實任務(wù)，也是計算機信息系統(tǒng)完善與發(fā)展的必然要求。盡管近年來計算機信息系統(tǒng)安全問題備受關(guān)注，但如何識別、評估以及規(guī)避信息安全風(fēng)險的研究工作仍未達成理想預(yù)期。

（2）計算機信息系統(tǒng)風(fēng)險評估與安全管理是為了加強信息安全的客觀需要，以確保信息系統(tǒng)安全貫穿并作用于信息化系統(tǒng)建設(shè)過程中的各個階段，必須按照風(fēng)險管理標準對信息進行風(fēng)險評估，以便正確響應(yīng)信息系統(tǒng)可能會出現(xiàn)的各種安全問題。

（3）計算機信息系統(tǒng)風(fēng)險評估與安全管理是信息系統(tǒng)規(guī)劃建設(shè)的科學(xué)手段與重要依據(jù)。計算機信息系統(tǒng)與安全管理風(fēng)險評估需要基于國家標準和規(guī)范展開實施，對計算機系統(tǒng)的各種風(fēng)險因素展開定性與定量分析，獲得評估結(jié)果，并結(jié)合結(jié)果提出針對性的改進措施。在整合各種現(xiàn)行標準、方法、管理規(guī)定以及運用先進性科學(xué)方法的基礎(chǔ)上，提高計算機信息系統(tǒng)安全管理效率。

2 計算機信息安全系統(tǒng)管理模型與標準

2.1 安全體系模型

目前，世界上普遍認為計算機信息系統(tǒng)處于動態(tài)且不斷改進的過程中，并且已經(jīng)進行了大量研究工作，產(chǎn)生了各種動態(tài)安全系統(tǒng)模型。例如，基于時間的PDR 模型、P2DR 模型、 APPDRR 模型、PADIMEE ?模型和WPDRRC 模型。技術(shù)含量高的P2DR 模型和管理水平高的PADIMEE ?模型產(chǎn)生影響范圍最廣，而PADIMEE ?模型能夠提供對系統(tǒng)安全性的全面描述。

該模型通過分析用戶技術(shù)、業(yè)務(wù)需求以及用戶計算機信息系統(tǒng)生命周期，從七個核心方面反映了計算機系統(tǒng)安全管理的連續(xù)周期，它們分別是：戰(zhàn)略、評估、設(shè)計、實施、管理、應(yīng)急響應(yīng)以及教育，并將其業(yè)務(wù)與PADIMEE ?周期的所有環(huán)節(jié)緊密聯(lián)系在一起，為用戶打造該切實有效的管理方案，方案的核心思想是以工程方式展開計算機信息系統(tǒng)評估與安全管理工作。同時，更加重視管理與安全管理過程中的人為因素[2]。

信息安全評估要素主要包括信息資產(chǎn)自身內(nèi)容、信息資產(chǎn)脆弱性、威脅信息資產(chǎn)安全因素、可能存在的信息風(fēng)險、信息安全保護措施等。信息安全評估主要根據(jù)以上要素展開，基于對信息系統(tǒng)的脆弱性評估來判斷會對系統(tǒng)產(chǎn)生破壞的威脅風(fēng)險。針對上述要素的評估，應(yīng)結(jié)合安全需求、殘余風(fēng)險、資產(chǎn)價值等屬性進行分析。信息安全評估要素關(guān)系模型如圖1 所示。

圖1 中方框部分為信息系統(tǒng)安全評估基本要素，橢圓部分為基本要素相關(guān)屬性。信息系統(tǒng)安全評估主要根據(jù)基本要素展開。

2.2 風(fēng)險評估標準

隨著網(wǎng)絡(luò)的發(fā)展趨勢呈現(xiàn)出一定的復(fù)雜性，使計算機信息風(fēng)險評估逐漸向標準化靠攏。目前，國外已經(jīng)對某些特定信息系統(tǒng)提出了相關(guān)評估標準，其中包括CC/ISO15408《信息技術(shù)安全性認證通用標準》、BS-7799/ISO17799《信息安全管理體系標準》以及ISO13335《信息安全管理標準》等。從整體層面出發(fā)，國際信息安全評估經(jīng)歷了一個發(fā)展過程，從僅側(cè)重于技術(shù)到技術(shù)和管理，從獨立計算機到網(wǎng)絡(luò)再到信息系統(tǒng)基礎(chǔ)架構(gòu)，以及從單個安全屬性到多個安全屬性的不斷完善的過程。國內(nèi)在采用一些國際標準的基礎(chǔ)上，提出了GB/T20984-2007《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》，但在實施過程中仍存在以下不足。

2.2.1 安全功能較欠缺

國標僅對未授權(quán)主體的控制進行了一定的考慮，包括機密性、可靠性以及完整性，但沒有充分考慮對未授權(quán)主體的不當行為的控制。計算機信息系統(tǒng)的可控制性和不可否認性是對授權(quán)主體的控制，屬于系統(tǒng)機密性、可靠性以及完整性的充分補充。它主要對授權(quán)用戶在授權(quán)范圍內(nèi)的合法訪問權(quán)限進行調(diào)整，并對用戶訪問記錄進行監(jiān)督與審查。

2.2.2 評價不具備針對性

不同行業(yè)的計算機信息系統(tǒng)對安全功能的重視程度明顯不同。以智能化計算機信息系統(tǒng)為例，國家標準沒有在工程意義層面上區(qū)分不同安全指標重要性的差異化特征，更沒有平等對待計算機系統(tǒng)評估標準與安全管理的機密性、可靠性以及完整性，從而使評估結(jié)果不準確。

2.2.3 評估計算不完整

在對風(fēng)險價值和風(fēng)險等級進行分析計算后，該標準不再對所有評估結(jié)果進行合并，以形成整個系統(tǒng)的風(fēng)險價值和風(fēng)險等級。不同的系統(tǒng)結(jié)構(gòu)和計算方法的組合可能有所不同，這也導(dǎo)致最終評估結(jié)論大相徑庭。另外，缺乏相關(guān)數(shù)據(jù)來支持不同安全管理措施下，同一系統(tǒng)風(fēng)險水平效果的對比。

3 計算機信息系統(tǒng)安全管理方法

3.1 威脅分析

盡管計算機信息系統(tǒng)評估標準定義了測量信息，但采用科學(xué)有效的安全管理方法對計算機信息系統(tǒng)的安全性仍然具備重要意義。

目前，尚無統(tǒng)一的方法對各種威脅進行分類。用戶會在不同的場合下使用不同的分類方法。分類依據(jù)包括：內(nèi)部威脅和外部威脅；主動威脅和被動威脅；偶然威脅和故意威脅等。通過對系統(tǒng)潛在威脅的判斷與分析，能夠及時制定相應(yīng)的系統(tǒng)安全策略，并根據(jù)相應(yīng)的安全管理機制進行實施，這一方法也有助于對計算機信息系統(tǒng)安全進行針對性地檢查與管理[3]。

3.2 安全要求與組織安全策略

組織化常規(guī)安全策略是指計算機信息系統(tǒng)中的管理者和用戶為正常運行所制定的安全規(guī)則、程序、做法以及準則。組織安全策略的分析是判斷計算機信息系統(tǒng)安全管理級別和保證正常運行能力的重要體現(xiàn)。安全要求代表組織對計算機信息系統(tǒng)安全管理的策略、職責以及技術(shù)服務(wù)的要求。評估防應(yīng)結(jié)合安全要求，保證安全要求、組織制定、安全保護級別、應(yīng)用程序之間具有一致性。

3.3 安全功能檢測

檢測功能包括肯定和驗證兩種方式：在肯定檢測中，主要觀察的是計算機信息系統(tǒng)安全管理功能規(guī)劃的合理性和可行性。首先，在計算機信息系統(tǒng)中的信息以機器可讀語言評估標準在生成的測試向量和測試驅(qū)動器的基礎(chǔ)上，通過評估信息系統(tǒng)安全功能進行描述，并在實際的測試驅(qū)動操作下，獲得檢測指標，建立計算機信息系統(tǒng)安全關(guān)系評價信息數(shù)據(jù)庫；驗證方式主要是利用掃描和模擬攻擊，對計算機信息系統(tǒng)中的安全漏洞進行查找，從而明確為評估提供指標信息。安全功能檢測作為安全評估中最直觀的評估方法，它能夠直接在被評估對象中發(fā)現(xiàn)隱藏的安全風(fēng)險，并在被評估對象受到攻擊時測試其生存能力。在計算機信息系統(tǒng)安全功能檢測中，首先分析系統(tǒng)的整體結(jié)構(gòu)，分別評估信息系統(tǒng)的邊界、計算環(huán)境以及保護能力，以檢測各部分是否具備應(yīng)對威脅攻擊的能力。

3.4 信息庫和知識庫評估推理

評估信息庫收集了上述分析和測試形成的指標，這是計算機信息系統(tǒng)安全評估的客觀基礎(chǔ)。評估知識庫包括典型信息系統(tǒng)安全評估模型，其能夠直接反映出安全要素與安全指標的映射關(guān)系。根據(jù)計算機信息庫和知識庫的推論，提供客觀全面的安全評估報告和安全管理優(yōu)化策略。計算機信息系統(tǒng)安全管理實施框架如圖2 所示。

計算機信息系統(tǒng)安全管理實施過程是：分析計算機信息系統(tǒng)的組成，分別對計算環(huán)境、系統(tǒng)邊界、網(wǎng)絡(luò)設(shè)施等進行分析、測試與確認，將評估結(jié)果存放在監(jiān)控器中驗證信息數(shù)據(jù)庫中。根據(jù)計算機信息系統(tǒng)安全管理策略、要求以及威脅，在評估標準、模型以及知識庫的基礎(chǔ)上進行綜合評估，給出最終評估結(jié)論，構(gòu)成評估報告，為安全改進措施提供決策支持[4]。

4 結(jié)語

綜上所述，作為計算機信息系統(tǒng)工程的重要組成部分，評估標準與安全管理不僅是單個企業(yè)需要面對的問題，更是與國民經(jīng)濟各個方面均有緊密關(guān)聯(lián)的重大問題，它將逐漸向標準化和法制化層面遞進，使安全標準和管理辦法更加健全，發(fā)展更加活躍。