刘玉林1,王建新1,谢永志2
(1中南大学信息科学与工程学院,湖南 长沙 410082;
2
中国信息安全产品测评认证中心华中测评中心,湖南 长沙 410001)
【摘 要】风险评估与安全测评是两种不同的安全评估活动,在信息安全建设中占有重要地位。论文通过介绍风险评估与安全测评的基本概念及相互关系,针对涉密信息系统的特殊性要求,深入探讨了涉密信息系统风险评估与安全测评的具体可操作的实施方法。
【关键词】风险评估;安全测评;涉密信息系统
【中图分类号】TP309 【文献标识码】A 【文章编号】1009-8054(2007) 01-0142-03
A Study about Secret-involved Information System Risk Evaluation
and Security Testing Evaluation
Liu Yulin 1, Wang Jianxin 1, Xie Yongzhi 2
(1School of Information Science & Engineering, Central South University, Changsha 410082, China;
2
China Information Technology Security Certification Center Central
China Testing Evaluation Center, Changsha, 410001, China )
【Abstract 】Risk evaluation and security testing evaluation, which are different kinds of security evaluation activities,are important to information security. In this article, we analyze the concept and relationship of risk evaluation and security testing evaluation in detail. Considering the difference of secret-involved information system, we explore the way to carry out risk evaluation and security testing evaluation of secret-involved information system.【Keywords 】risk evaluation; security testing evaluation; secret-involved information system
涉密信息系统风险评估与安全测评实施
1 引言
信息系统的风险评估,简单的说就是发现风险,进行定性或定量分析,为风险管理提供依据。信息系统安全测评则是根据系统技术方案、安全策略等检验系统安全状况是否符合所定义的评估标准[1]。关于风险评估及安全测评,
有不少人认为两者内容基本一致。如有的文章在概念介绍
时认为安全测评的目的也是“最大程度地降低系统的安全
风险”[2]
;有的文章在进行风险评估探讨时,讨论的主体内
容是安全测评的实施[3]。事实上,风险评估与安全测评是信息系统安全工程生命周期中不同阶段、不同目的的安全评价活动。
本文将针对涉密信息系统的特殊性要求,介绍信息系统安全风险评估与安全测评的基本概念、相互关系,在此
基础上深入探讨涉及国家秘密的信息系统(以下简称“涉密信息系统”)风险评估和安全测评具体实施的形式、步骤、方法等内容。
2 风险评估与安全测评
风险评估是指针对确立的风险管理对象所面临的风险进行识别、分析和评价,即根据资产的实际环境对资产的
脆弱性、威胁进行识别,对脆弱性被威胁利用的可能性和所产生的影响进行评估,从而确认该资产的安全风险及其大小。风险评估贯穿于整个信息系统安全工程生命周期,是风险管理的重要组成部分。
系统安全测评是指从信息系统建设完毕到废弃之间这段时间内,由国家授权的信息安全测评部门所进行的,对信息系统已采取的安全控制措施(如管理措施、运行措施、技术措施等)的有效性进行验证,从而给出系统现有的安全状况是否符合相关规范要求的准确判断的活动。安全测评结果的有效期依据相关部门的要求确定,测评结果失效后必须重新进行测评。
风险评估和安全测评都是安全测度方法,两者关系密切,风险评估报告是安全测评的依据之一,安全测评将进一步检验风险评估结果是否有效。虽然实施过程中,某些技术手段(如技术渗透性测试、安全扫描等)可以互用,但风险评估与安全测评是不同的安全评价活动。简单的说,风险评估目的是为了发现系统中存在的风险,从而给出信息系统安全建设的相关建议;安全测评目的是检验已完成安全建设的系统中的残余风险是否符合相关标准的要求,为系统准入提供依据。
风险评估与安全测评互为补充,不是对立的,但任何将风险评估与安全测评混为一谈的做法也都会使信息安全建设缺失一个重要环节。对于涉密信息系统而言,正确认识风险评估与安全测评非常重要。
3 涉密信息系统的风险评估实施方法涉密信息系统与非涉密信息系统风险评估具体操作上有很多相通之处,基本流程、计算方法等都可以借鉴。因为自身的特殊性要求,也有需要特殊处理的地方,比如一般信息系统资产的识别主要依据资产自身的价值以及系统对此资产的依赖程度,涉密信息系统中资产按密级进行识别、分级保护。借鉴一般信息系统风险评估经验时要注意结合涉密信息系统的特点进行。下面就涉密信息系统风险评估流程、风险的计算、结果的判定进行探讨。
3.1 涉密信息系统风险评估的流程
以自评估为例,涉密信息系统责任单位向所在单位提出评估申请,确定被评估对象,获得批准后进入风险评估流程。风险评估的过程包括风险评估准备、风险因素识别、风险程度分析和风险等级评价四个阶段[4]。在信息安全风险管理过程中,接受对象确立的输出,为风险控制提供输入,监控与审查和沟通与咨询贯穿其全程。实际操作中可分为六个步骤:
(1) 确立评估对象:明确涉密信息系统软硬件资产、数据和信息、人员和系统使命等,给出系统功能、边界、关键资产和敏感资产,确立评估范围并提请报批。
(2) 评估准备:按要求制定评估计划,确定评估程序,选择合适的评估方法和工具,组建涉密系统小组,进行分工,监督审查评估活动。
(3) 风险识别:识别评估范围里的关键资产与一般资产,按二比八的规则进行识别,分别执行详细评估或基线评估等不同的评估方法[5];识别运行环境威胁,进行分类整理;识别资产自身存在的脆弱性;识别现有安全措施(包括管理措施和技术措施)。
(4) 风险分析:结合资产的属性,分析脆弱性被威胁利用的可能性及后果。分析现有安全措施的有效性与合理性。风险分析中侧重泄密风险的分析。
(5) 风险评估:评价分析结果,结合专家组意见,给出风险评估报告及相关推荐措施,形成风险评估报告,上报涉密系统小组监督审查委员会。
(6) 风险控制:风险评估报告通过审批后,按批示要求采取有效措施,转移、规避或降低风险,使系统中的风险得到有效控制。
整个评估流程中,风险的识别和计算单纯的定量或定性分析都意义不大,建议定量分析与定性相结合。
3.2 涉密信息系统风险的计算
涉密信息系统风险分析包含涉密资产、弱点/脆弱性、威胁等关键要素。每个要素有各自的属性,涉密资产的属性是资产密级,弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度,威胁的属性是威胁发生的可能性。
风险的计算方法:R= f(A,V,T)=f(Ia,L(Va,T))其中,R表示风险;A表示涉密资产;V表示脆弱性;T表示威胁;Ia表示涉密资产发生安全事件后对业务的影响(也称为涉密资产的重要程度,一般按标明的密级定);Va表示某一涉密资产本身的脆弱性;L表示威胁利用涉密资产脆弱性造成安全事件发生的可能性。
3.3 风险结果的判定
确定风险数值的大小不是组织风险评估的最终目的,重要的是明确不同威胁对涉密资产所产生的风险的相对值,即要确定不同风险的优先次序或等级,对于风险级别高的涉密资产应被优先分配资源进行保护。风险等级建议从1到5划分为五级:很低、低、中、高、很高。等级越大,风险越高。可采用按照风险数值排序的方法,也可以采用区间划分的方法将风险划分为不同的优先等级,这包
括将可接受风险与不可接受风险的划分,接受与不可接受的界限应当考虑风险控制成本与风险(机会损失成本)的平衡。风险的等级应得到组织管理层的评审并批准,监控和审查贯穿整个评估过程。
4 涉密信息系统安全测评的实施方法
与风险评估不同,信息安全测评是一个验证的过程,因此测评标准对测评结果非常重要。涉密信息系统测评的依据是中华人民共和国保密指南,BMZ3《涉及国家秘密的计算机信息系统安全保密测评指南》;测评的方法是按照BMZ3测评指南所规定的方法,采用规范的工具,按照涉密信息系统处理信息密级的不同,按相应等级安全保密防护要求进行测评。下面就涉密信息系统安全测评流程、内容、结果的判定进行探讨。
4.1 涉密信息安全测评的流程
涉密信息系统的测评由国家保密局授权的测评单位组织的测评专家组完成,具体流程如图1所示。涉密信息系统安全测评基本流程分为八个步骤:
(1) 涉密信息系统使用单位依据BMZ3《涉及国家秘密的计算机信息系统安全保密测评指南》要求,向测评专家组提交测评所需要的申请材料。
(2) 测评专家组对申请材料进行审查,并将审查结果反馈给申请单位要求其对申请材料进行补充或通知审查通过。
(3) 专家组依据申请单位的申请材料组织测评小组撰写涉密信息安全测评计划,并通知申请单位即将进入安全
测评现场测试阶段。
(4) 由测评专家组组织召开安全测评现场评估阶段的启动会议,商谈并确定测评的时间、人员的安排和采用的具体技术方式,确保在涉密信息安全测评过程中的系统的正常运行。
(5) 现场测评小组进入现场对涉密信息系统依据BMZ3《涉及国家秘密的计算机信息系统安全保密测评指南》进行现场测试,收集数据。
(6) 现场测评小组完成现场测试工作后对测试数据进行分析,撰写现场测评报告。
(7) 结合现场测评报告和测评专家组对申请材料的审查数据,由测评专家组组织对该涉密信息系统进行综合分析,专家组形成涉密信息系统综合评估报告并出具审批意见。
(8) 相关审批单位依据专家组的审批意见对该涉密信息系统进行最终审批,并将审批结果通报至申请单位。
4.2 涉密信息安全测评的内容测评的内容包括涉密系统的四个方面,即物理安全、网络运行安全、信息安全保密和安全保密管理。测评专家组和现场测评小组采用手动的方式对操作系统、网络设备的安全性配置进行核查,同时采用功能验证的方式对备份与恢复、病毒防治、身份鉴别、访问控制、信息加密、信息完整性、抗抵赖等进行测试。
此外,为了从系统的全局角度来评估系统的整体安全性和稳定性,将采用BMZ3《涉及国家秘密的计算机信息系统安全保密测评指南》认可的测评设备对全网进行测试。
4.3 涉密信息安全测评结果的判据(1) 检测项目结果判据。测评项目分为基本要求项和一般要求项,基本要求项关系到涉密信息系统的高安全风
图1 测评与审批流程
(下转第147
页)
间层技术截获网络数据包,因此,在这里基于以上对这几
类个人防火墙特点的分析提出一些改进建议:
—增强对防火墙关键模块的保护。增强对关键模块的保护以及个人防火墙关键信息,比如启动信息的隐藏将有效避免木马对个人防火墙本身的篡改。这里可以借鉴windows2000对关键模块的保护技术,建立原始的模块库,对被篡改的模块进行还原。
—控制不明驱动程序的加载。驱动程序工作在内核,对内核具有最高访问权限。要监控工作在内核模式下的木马程序,必须具有监控驱动程序的能力。
—对关键接口的保护。在穿透passthru程序的实验中,通过对NdisIMRegisterMiniport接口进行HOOK,来让该函数返回期望的结果。对关键接口的保护将有效地降低这类木马对系统的威胁。
—混合采用多种数据包截获技术。
5 总结
本文描述了在Windows下个人防火墙所采用的网络数据包拦截技术,分析了各种技术的原理和不足,以及木马要穿透防火墙所可能采用的技术,并提出了改进个人防火墙的一些建议。本文所有例子测试环境为win2000sp4,VC++6.0,测试NDIS-HOOK技术所用的防火墙为OutPost Firewall,中间层技术是引用win2000DDK提供的passthru程序。
参考文献
[1] MSDN Library for Windows DDK[Z].Microsoft Corporation,2001.
[2] 叶小虎. Windows下的个人防火墙-网络数据包拦截技术概览[J]. 绿盟科技,
2003.
Carnegie Mellon University,2001.
推荐访问: 信息安全保密风险评估报告 密信 测评 风险评估