1前言
金融、電信、證券、保險、民航、鐵路、稅收和海關(guān)8個系統(tǒng),以及電信網(wǎng)絡(luò)、廣電網(wǎng)絡(luò)和互聯(lián)網(wǎng)絡(luò)3個基礎(chǔ)網(wǎng)絡(luò)是我國信息安全保障的重中之重。目前,中國信息化水平與國際先進水平還有較大差距,信息安全保障尚存在很多問題亟待解決。我國信息安全保障的發(fā)展經(jīng)歷了3個階段:第一階段為單機版的殺病毒和防病毒軟件;第二個階段為從單一的防火墻產(chǎn)品逐漸向信息安全系列產(chǎn)品發(fā)展;第三個階段為信息安全保障體系的建設(shè)。信息安全保障的內(nèi)容和深度不斷得到擴展和加深.但依然存在著“頭痛醫(yī)頭,腳痛醫(yī)腳”的片面性,沒有從系統(tǒng)工程的角度來考慮和對待信息安全保障問題。
信息安全保障問題的解決既不能只依靠純粹的技術(shù),也不能靠簡單的安全產(chǎn)品的堆砌。它要依賴于復(fù)雜的系統(tǒng)工程——信息安全工程SSE(System Security Engineering)。信息安全工程是采用工程的概念、原理、技術(shù)和方法,來研究、開發(fā)、實施與維護信息系統(tǒng)安全的過程,是將經(jīng)過時間考驗證明是正確的工程實施流程、管理技術(shù)和當(dāng)前能夠得到的最好的技術(shù)方法相結(jié)合的過程。
由于國家8個重點信息系統(tǒng)和3個重點基礎(chǔ)網(wǎng)絡(luò)本身均為復(fù)雜的大型信息系統(tǒng),因此必須采用系統(tǒng)化方法對其信息安全保障的效果和長效性進行評估。
2相關(guān)工作
目前,國際上系統(tǒng)的信息安全評價方法主要是美國國家安全局提出的系統(tǒng)安全工程能力成熟模型ssE-CMM(SystemSecurity Engineering-Capability Maturity Model)和《信息保障技術(shù)框架》LATF(Information Assurance TechnicalFramework)。
系統(tǒng)安全工程能力成熟模型(SSE-CMM)的開發(fā)源于1993年5月美國國家安全局發(fā)起的研究工作。SSE-CMM確定了一個評價安全工程實施的綜合框架,提供了度量與改善安全工程學(xué)科應(yīng)用情況的方法。也就是說,對合格的安全工程實施者的可信性,是建立在對一個工程組的安全實施與過程的成熟性評估之上的。SSE-CMM項目的目標(biāo)是將安全工程發(fā)展為一整套有定義的、成熟的、可度量的學(xué)科。目前,SsE.CMM已經(jīng)成為西方發(fā)達國家政府、軍隊和要害部門組織和實施安全工程的通用方法,是系統(tǒng)安全工程領(lǐng)域里成熟的方法體系,在理論研究和實際應(yīng)用方面具有舉足輕重的作用。
美國國家安全局LATF(《信息保障技術(shù)框架》)對信息安全工程進行了深入研究,以為保護美國政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南。IATF從整體、過程的角度看待信息安全問題,其代表理論為“深度防護戰(zhàn)略(Defensein-Depth)。IATF強調(diào)人、技術(shù)、操作這3個核心原則,關(guān)注4個信息安全保障領(lǐng)域:保護網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、保護邊界、保護計算環(huán)境、支撐基礎(chǔ)設(shè)施。最終將信息安全工程的重點放在了發(fā)掘信息保護的需求上,即“保護需求的導(dǎo)出PNE”,詳細說明了信息安全系統(tǒng)工程ISSE(Information Security Systern Engineering)中第一個、也是最重要的一個活動。
在國內(nèi)學(xué)術(shù)研究方面,北京郵電大學(xué)信息安全中心的楊義先教授及其課題組在采用模糊層次分析法Fuzzy-AHP進行網(wǎng)絡(luò)攻擊效果評估方面取得了一定的成果;清華大學(xué)的段海新教授提出了一種實體安全體系結(jié)構(gòu);國防科技大學(xué)的黃遵國研究員在網(wǎng)絡(luò)可生存技術(shù)及其實現(xiàn)框架方面取得了成果;國家信息中心的呂欣研究了網(wǎng)絡(luò)信息系統(tǒng)的信息安全保障;在信息安全評價框架、模型和算法研究方面,北京大學(xué)計算機科學(xué)技術(shù)研究所信息安全實驗室的徐輝等研究了基于動態(tài)貝葉斯規(guī)劃圖的狀態(tài)安全報警關(guān)聯(lián);海軍工程大學(xué)的吳曉平教授等提出了基于貝葉斯網(wǎng)絡(luò)的信息安全風(fēng)險評估方法;成都三零盛安信息技術(shù)有限公司的魏忠研究了從定性到定量的系統(tǒng)性信息安全綜合集成評估體系;山東大學(xué)的黃麗民和王華教授提出了網(wǎng)絡(luò)安全多級模糊綜合評價方法;華中科技大學(xué)的肖道舉和楊素娟教授進行了網(wǎng)絡(luò)安全評估模型研究;還有很多其他研究人員在人為因素和管理等方面都做了大量的工作,提出了許多很好的安全評估方法。
目前,有關(guān)信息系統(tǒng)的安全評價雖然存在著多種多樣的具體實踐方式,但在世界上還沒有形成系統(tǒng)化和形式化的評價理論和方法。評價模型基本是基于灰色理論(Gray Theory)或者模糊(Fuzzy)數(shù)學(xué),而評價方法基本上用層次分析法AHP(Analytic Hierarchy Process)或模糊層次分析法Fuzzy AHP將定性因素與定量參數(shù)結(jié)合,建立了安全評價體系,并運用隸屬函數(shù)和隸屬度確定待評對象的安全狀況。上述各種安全評估思想都是從信息系統(tǒng)安全的某一個方面出發(fā),如技術(shù)、管理、過程、人員等。著重于評估網(wǎng)絡(luò)系統(tǒng)安全某一方面的實踐規(guī)范。在操作上主觀隨意性較強,其評估過程主要依靠測試者的技術(shù)水平和對網(wǎng)絡(luò)系統(tǒng)的了解程度,缺乏統(tǒng)一的、系統(tǒng)化的安全評估框架,很多評估準則和指標(biāo)沒有與被評價對象的實際運行情況和信息安全保障的效果結(jié)合起來。
3系統(tǒng)化信息安全評估模型
系統(tǒng)化信息安全評估是為確保實施長效機制的信息安全保障工程,對信息安全保障建設(shè)過程進行監(jiān)督和指導(dǎo)。其內(nèi)容包括:(1)涉及分布于整個信息安全保障工程生命周期中各個環(huán)節(jié)的工程活動,包括概念定義、需求分析、設(shè)計、開發(fā)、集成、安裝、運行、維護及更新;(2)為信息安全產(chǎn)品開發(fā)者、安全系統(tǒng)開發(fā)者和集成者提供信息安全保障指導(dǎo),以及提供信息安全服務(wù)和信息安全工程的組織;(3)適用于各種類型和規(guī)模的信息安全保障工程組織,例如行業(yè)、商業(yè)、政府和研究機構(gòu)。
3.1信息安全保障框架模型
信息保障系統(tǒng)在結(jié)構(gòu)上具有分布式、層次化的特點,在功能上具有動態(tài)、多樣化的特點。現(xiàn)代信息保障體系包含戰(zhàn)略、管理、技術(shù)和工程體系3大要素;擁有預(yù)警、保護、檢測、反應(yīng)、恢復(fù)和反擊6大能力。信息保障評價過程跨越了信息和信息系統(tǒng)的規(guī)劃、設(shè)計、實施、運維和廢棄5個基本階段。因此,評價一個信息保障系統(tǒng)保障能力的大小,需要從不同的維度進行度量,既要考慮現(xiàn)有的安全措施是否滿足抵御威脅的要求,又要考慮實際的運行效果是否滿足設(shè)計要求。
圖1信息保障框架模型
依據(jù)上述對保障模型的分析,可以看出保障措施和保障效果的好壞存在因果關(guān)系,即保障措施是因,保障效果是果。保障措施越不力,保障效果就越差,發(fā)生安全事件的可能性就越大,反之也成立。但是安全事件的發(fā)生除了與保障措施設(shè)置不當(dāng)有關(guān)以外,在很大程度上受到偶然性的影響。因而,評價保障措施指標(biāo)從而預(yù)測保障效果和實際運行效果之間存在一定程度的相關(guān)關(guān)系,它們從不同側(cè)面、不同階段反映了系統(tǒng)整體的安全保障水平,二者互為補充。這兩種指標(biāo)結(jié)合,既考查了系統(tǒng)在一定時期內(nèi)實際安全保障成績,又考查了系統(tǒng)要素及其組合中因措施不力而造成的安全隱患,避免了評價過程的片面性,能夠比較全面而客觀地反映信息保障的整體安全態(tài)勢。
3.2基于狀態(tài)觀測器的信息安全綜合評價模型
本文根據(jù)現(xiàn)代控制理論和狀態(tài)控制理論,在信息安全保障框架模型(見圖1)的基礎(chǔ)上,建立了一個基于狀態(tài)觀測器的信息保障綜合評價模型,如圖2所示。
該模型具有2個反饋環(huán)路。通過狀態(tài)變量的計算。安全屬性值按照一定的反饋控制律反饋輸入端,也就是調(diào)整安全保障措施,使信息保障的保障能力動態(tài)調(diào)整,不斷地適應(yīng)安全需求。具體到模型中,反饋控制的變量為保障措施,例如入侵檢測、傳輸加密和防火墻等。保障措施設(shè)置不當(dāng),體現(xiàn)在某個保障措施的某個具體參數(shù)不適當(dāng),例如加密算法的密鑰長度、防火墻的過濾規(guī)則等。假如在整體保障能力中有某項安全屬性要求的情況下,依據(jù)子系統(tǒng)權(quán)重遞減的順序。先分析重要性最高的子系統(tǒng)。如果該子系統(tǒng)能滿足屬性需求,則考慮次重要子系統(tǒng)。否則,分析該子系統(tǒng)中的基礎(chǔ)指標(biāo)集合,同樣依據(jù)基礎(chǔ)指標(biāo)的權(quán)重,從最重要的基礎(chǔ)指標(biāo)的安全措施調(diào)整,調(diào)整力度為提高一個序化等級,然后再次進行整體屬性計算,直到能夠滿足所有的安全屬性保障需求為止。
圖2所示的信息保障評價模型,主要包含保障措施集合、保障效果集合、狀態(tài)觀測器、狀態(tài)反饋控制律、實際效果反饋等組成要素。
圖2 基于狀態(tài)觀測器的信息保障綜合評價模型
在控制理論中,狀態(tài)觀測又叫狀態(tài)重構(gòu),其實質(zhì)就是對物理上無法直接觀測的狀態(tài)變量進行估計的過程。在本文所設(shè)計的基于狀態(tài)觀測器的信息保障評價模型中,狀態(tài)變量選取的是信息安全屬性指標(biāo),顯然這些指標(biāo)不具備物理可觀測性。因此必須構(gòu)造適當(dāng)?shù)臓顟B(tài)觀測器,對信息安全屬性進行測算。
在信息保障評價模型中,狀態(tài)觀測的過程就是通過對目標(biāo)保障系統(tǒng)建立適當(dāng)?shù)闹笜?biāo)體系,采集指標(biāo),然后進行信息安全屬性量化計算的過程。目前,對信息安全屬性的定義往往是敘述性的描述。若要對其進行量化計算,就需要首先解決兩個問題:一個是信息安全屬性的量化定義;一個是信息安全屬性的量化算法。在現(xiàn)代控制論中,狀態(tài)變量能夠完全反映系統(tǒng)的運動狀態(tài)。在信息保障評價模型中,狀態(tài)變量——信息安全屬性的計算結(jié)果,全面反映著信息保障體系的保障能力,是進行信息保障評價的最終目標(biāo)之一。因此,狀態(tài)變量的計算或者說狀態(tài)觀測器的設(shè)計就顯得尤為重要。
如系統(tǒng)控制理論所說,狀態(tài)反饋是將系統(tǒng)的每一個狀態(tài)變量乘以相應(yīng)的反饋系數(shù),然后反饋到輸入端,參考輸入相加,形成控制律,作為受控系統(tǒng)的控制輸入。因此,反饋控制律的設(shè)計是反饋控制的核心。在本文設(shè)計的評價模型中,狀態(tài)反饋發(fā)生在信息安全按屬性計算之后,通過比較每一個信息安全屬性的計算結(jié)果和安全需求的差值來判斷反饋過程。如果發(fā)現(xiàn)某一個安全屬性的計算結(jié)果大于安全需求區(qū)間,則判定為該屬性過度保障,需要降低保障措施的保障級別。反之,如果小于安全需求區(qū)間,則判定為該屬性保障不足,需要提高保障措施的保障級別。
信息安全是一個全面的概念,包含信息系統(tǒng)安全、信息安全和運行安全3大層次的內(nèi)容。信息保障措施依據(jù)其保障對象也可以分為信息系統(tǒng)保障措施、信息安全保障措施和運行安全保障措施3大類。
(1)信息系統(tǒng)保障措施保障的是信息系統(tǒng)的抗毀性、生存性和有效性,屬于物理安全。面臨的主要威脅是人為的或自然的物理破壞,例如地震、火災(zāi)、施工破壞、設(shè)備自然老化等。保障的目的是信息系統(tǒng)抵御物理破壞的能力或者物理破壞發(fā)生后的生存能力。主要的保障措施有重要設(shè)備訪問控制、機房建筑防火抗震、通信線路合理布置和可靠供電系統(tǒng)等。
(2)信息安全保障措施保障的是信息自身的機密性、完整性、真實性、可鑒別性和不可抵賴性。面臨的主要威脅是信息竊取、篡改、仿冒和抵賴等。威脅的表現(xiàn)形式有黑客攻擊、病毒、蠕蟲和詐騙等。技術(shù)保障措施有身份認證、防病毒體系、訪問控制、加密技術(shù)、安全協(xié)議和安全操作系統(tǒng)等。
(3)運行保障措施保障的是系統(tǒng)運行的可控性、可用性、可確認性,保證系統(tǒng)在滿足服務(wù)需求的水平上穩(wěn)定運行。主要面臨的威脅有非法控制系統(tǒng)、拒絕服務(wù)攻擊等。主要的技術(shù)保障措施有防火墻、入侵檢測系統(tǒng)、安全審計技術(shù)等。
隨著信息保障技術(shù)的不斷發(fā)展,有一些保障技術(shù)設(shè)備擁有了多種保障能力。例如。有些防火墻設(shè)備集中了包過濾、防病毒、入侵檢測和加密傳輸?shù)榷喾N功能。因此,難以從物理形態(tài)上對這些保障措施進行區(qū)分。所以,本文提出的信息保障評價模型輸入量的保障措施為邏輯上的概念,是一定的保障功能和技術(shù)參數(shù)的集合,并非指的是物理設(shè)備。例如,定義防火墻就是一種執(zhí)行網(wǎng)絡(luò)過濾功能的保障措施,其技術(shù)參數(shù)有并發(fā)連接數(shù)、網(wǎng)絡(luò)數(shù)據(jù)包處理速度、最大規(guī)則數(shù)、時延和包過濾算法等。
為了實現(xiàn)對保障措施自適應(yīng)的反饋調(diào)整,需要對保障措施的保障能力進行度量。度量參考的指標(biāo)就是每個保障措施自身的技術(shù)參數(shù)。度量方法可以采用序化度量的方式。
序化度量的思想就是采用一系列值,這些值表明由大到小或由小到大的順序,并不是反映實際的大小或者實際的大小沒有意義。例如,加密技術(shù)中按照密鑰長度進行序化度量,可以分為128位、256位、1024位等幾個級別。這樣,當(dāng)保障措施需要調(diào)整時,可以按照需要按升序或降序調(diào)整保障措施的具體參數(shù)。
就國家而言,保障的核心信息系統(tǒng)的重要性是有層次性和差異性的;就企事業(yè)單位而言,支撐其業(yè)務(wù)正常流轉(zhuǎn)的各類信息、信息系統(tǒng)重要性也有差異。因此,構(gòu)建信息安全保障體系需要針對信息和信息系統(tǒng)面臨的威脅、信息的重要性、信息系統(tǒng)的重要性和系統(tǒng)遭到攻擊破壞后造成的危害程度等。依據(jù)國家制定的等級保護標(biāo)準設(shè)定其保護等級,細化安全需求。只有通過科學(xué)分析,合理確定安全需求,才能真正實現(xiàn)科學(xué)合理的適度保障,既能避免保障不足造成的損失,又不會由于過度保障引起不必要的浪費。安全需求的量化描述就是依據(jù)信息安全屬性的量化定義,各組織機構(gòu)依據(jù)實際需求,給出所有信息安全屬性的量化的需求底線。假設(shè)以概率方法定義信息安全屬性,以機密性為例是:信息在操作過程中不會被捕獲或捕獲不被解密的概率,此時某組織對信息保障機密性的要求為95%,其含義就是信息保障系統(tǒng)要保障重要信息不被捕獲或者捕獲之后不被破解的概率不能低于95%。
在圖2所示的評價模型中,實際保障效果作為評價模型的輸出量而存在,說明了保障措施和實際保障效果之間存在正相關(guān)性。簡單來說,就是保障措施設(shè)置越到位,在一定時期內(nèi)安全事件發(fā)生的次數(shù)就越少,安全事件造成的損失也越小。反之,如果實際保障效果不能滿足組織對信息保障的要求,也就說明保障措施的設(shè)置存在缺陷,需要有針對性地調(diào)整。通過狀態(tài)觀測器測量的屬性結(jié)果是一種帶有預(yù)計性的保障能力評價,與實際的保障效果可能有偏差。因此,需要依據(jù)一定時期內(nèi)統(tǒng)計的實際保障效果,有針對性地調(diào)整保障措施。實際效果反饋的是一種“亡羊補牢”的思想,信息保障體系在實際運行一定時期后,由于安全形勢發(fā)生了改變,或者出現(xiàn)新的安全威脅等原因,需要對保障體系進行重新規(guī)劃和設(shè)計。
4系統(tǒng)化評估方法
系統(tǒng)化的評估方法就是從戰(zhàn)略、管理、工程和技術(shù)4個方面對信息系統(tǒng)的信息安全進行全面的評估。信息安全評價包括3個過程:靜態(tài)評估、動態(tài)檢測和狀態(tài)監(jiān)控。本文提出的信息系統(tǒng)信息安全評價方法如圖3所示。
圖3 信息系統(tǒng)信息安全評價方案
為了解決模糊問題,基于灰色理論中關(guān)聯(lián)空間和光滑離散函數(shù)等概念,定義灰導(dǎo)數(shù)和灰微分方程,用離散數(shù)據(jù)列建立微分方程型的動態(tài)模型,即灰色模型GM(Grey Model)。它是本征系統(tǒng)的基本模型,而且模型非唯一。利用多級關(guān)聯(lián)度分析法GRA即可解決信息系統(tǒng)中多層次之間、同層次中各個因素之間的模糊關(guān)聯(lián)問題。
運用圖3所示的評價方法進行信息保障評價的具體流程如圖5所示。
圖5信息保障評價模型工作流程
信息保障評價模型工作流程需要經(jīng)過系統(tǒng)劃分、保障需求分析、保障措施識別、指標(biāo)體系建立、基礎(chǔ)指標(biāo)采集整理、信息安全屬性運算和狀態(tài)反饋等幾個主要環(huán)節(jié)。其中,系統(tǒng)劃分、保障需求分析、保障措施識別是評價準備階段,為信息安全屬性的計算提供基礎(chǔ)數(shù)據(jù)。
結(jié)束語系統(tǒng)化信息安全評價的思想是為確定一個評價信息安全工程實施的綜合框架,提供評價度量與改善信息安全工程學(xué)科應(yīng)用情況的方法。系統(tǒng)化評價模型及其評價方法可達到的目的:(1)確定信息安全保障工程的保障能力和目標(biāo),(2)完成信息安全保障工程的設(shè)計和建設(shè);(2)決定信息安全保障工程的投資決策;(3)建立信息安全保障工程的長效機制。系統(tǒng)化信息安全評價的方法適用于所有形式的信息安全保障工程,涵蓋信息安全保障工程的3個方面:安全狀態(tài)改善、防護能力評估和保障效果評價。
建立健全的信息系統(tǒng)的信息安全保障評估方法體系,是實施中國信息安全戰(zhàn)略的重要保證。借助信息安全保障評價體系對我國的重點信息系統(tǒng)和核心業(yè)務(wù)系統(tǒng)進行統(tǒng)一分析和縱橫比較,將有助于對我國信息安全防御態(tài)勢做出量化的結(jié)論,為國家提供決策支持,對我國重點信息安全建設(shè)的規(guī)劃、信息安全建設(shè)的投人,乃至信息安全管理政策的制定、信息安全技術(shù)的研究與發(fā)展都具有重要意義。因此,建立健全的國家信息安全保障評價體系是一項帶有戰(zhàn)略意義的任務(wù)。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:系統(tǒng)化的信息安全評估方法
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083952083.html