中国软件评测中心副主任 相春雷:
信息安全主要是保证计算及其相关的配套设备、设施的安全。信息安全体系架构方面是基于如下做划分的。我们认为目前的信息系统普遍由硬件、操作系统、中间件以及上层的各种应用和用户界面构成的。强调系统管理及网络管理,这是本次会议的主题。另外,我们强调三个层次的安全,包括网络安全、系统安全和应用安全。对于安全和网络管理来讲是长期的行为,是动态的,我们还需要通过不断的教育、培训以及相关的技术支持,以及专业化第三方的服务和顾问咨询,提高信息安全的管理水平和网络管理水平。
在安全里可以把信息安全分成如下几个层次:
首先要保证物理安全,包括数据线路的安全,我们通常会通过各种不同的加密机实现。还包括网络安全,可以通过防火墙等。我们还要通过操作系统的加固和漏洞的补偿保证安全。物理安全里还有一点就是需要对信息中心的环境在关键部位要通过隔离屏蔽和无线电干扰实施物理安全。
管理层次要通过强大的安全特点和评估手段,以及安全管理的相关措施,保证整个安全系统动态长期有效的行为。
说到信息安全的标准:国外在这方面走的比我们靠前一些,比如说最早接触的美国TCSEC、欧洲的ITSEC、加拿大的一些标准,这些标准都是属于我们可以参照的对象。美国的TCSEC把信息安全等级划分成四级,可以提供比较完善的评估手段,并且推出了联合公共准则,这对全世界信息安全来说是一个评价的标准。考虑到信息安全是一种管理和体系性的行为,在后期近几年也正在兴起ISO的体系标准,它是根据7799引申过来的,也是目前国内很多大型企业应用的评估体系。
中国有中国自身的特点,包括中国在很多领域,与国外像美国和欧盟存在很大的差距,我们的信息安全涉及到民族利益和国家自身利益,我们需要自己有一套比较完整的信息安全评估体系。
在信息安全方面有几个要素:在进行信息安全建设的时候要保障一个系统必须有一个机密性,必须要确保信息的主体不会被进程进行侵害,不暴露相关信息。
第二就是保证完整性,允许的人才能修改相关数据,并且判断这些数据是不是已经被修改。早期的时候有一些算法被引入就是保证信息的完整性。
第三个是可用性,就是得到受权的实体访问的时候可以得到数据即便是攻击者不能占用所有资源而阻碍受访者的工作。早期的时候经常受到DOS的攻击,攻击的情况下很多正常用户无法访问,我们希望信息安全能够保证这种情况不会出现。
还有就是可控性,主要控制一些信息的流向和行为方式。网络管理员应该更注重审核,相应的时候要留下证据及时发现。这就需要必要的技术手段和管理手段了。
信息安全需要一套完整的体系,信息安全的管理体系主要是系统对组织敏感信息的管理,涉及到人、程序以及信息科技系统。信息科技可以分为一个完整的信息系统,可以参照的信息安全管理体系评价标准,现在主要是ISO17799,信息安全不是24小时提供信息安全服务的公司就可以达到的一种行为,它是需要综合管理、信息安全管理体系的引入进行的。我们在安全领域有一句话叫三分技术,七分管理,这也是很重要的。我们在做管理体系规划的时候可以这样考虑,把我们整个信息安全管理分成四个体系,第一个体系是我们认为很基础的技术体系。它可能包括了网络安全区域的划分,PKI系统的建立,统一的工作服务,并且通过现有网络安全防护技术,包括防火墙、网络隔离,日志的审计等对整个信息系统进行安全的加固。
第二个是建立一个完善的体系现在网络管理方面并没有对安全进行统一的领导。如果想建好一个安全体系,首先要建立一个比较良好的组织框架,有一个安全领导小组,并且对安全工作的组织、责任的落实、资质的认证、安全顾问的聘请、这方面的教育和培训提供组织上的保障。
第三就是策略体系,我们要根据不同的情况制订比较高的安全方针,来实现策略体系的开发和建立以及发布。最后还包括运维体系,包括周期性的风险评估,以及响应体系的建立。中国在2003年非典期间非常重视响应体系的建设,这个建设信息安全方面早被引入,也希望能得到更多人的关注。
第二部分向各位领导介绍一下有关风险评估的情况。
风险评估是信息安全体系建立的基础,它是安全投入的依据也是安全管理体系根据测量相关的业绩发现改进的一个途径。我也参与过一些质量体系的建设,比如ISO9000等,还有CMMI提出的目标是持续改进,我们也希望安全体系能持续改进,只有这样才能达到信息安全最高的境界。信息安全主要的价值可以用三个方面体现:
一、可以清晰的了解当前的风险和现状。
二、可以明确看到当前的现状和意见制定安全目标之间的差距。
三、可以进一步控制降低风险,并且给出一些相关的解决方案,提供一些详实的依据。我们可以通过自身依照一些相关的标准制订一些风险评估的指南和规范进行风险评估。第二,可以聘请一些有专业资质的机构进行风险评估。这样对信息安全会带来一个很好的作用。
通常情况下信息安全评估是由如下评估流程构成:
一、要对信息资产做相关的识别与估价。前几年说我们精力都用于网络建设和互联网建设了,但是现在看来通过几年的建设网络中最有价值的就是信息资产。比如互联网运行的内容价值是不菲的。
安全领域一样,对信息资产需要进行识别和评估。
二、安全威胁来源做一个评估。主要评估威胁主要来源于几个层次和、个方面,有攻击者,攻击者的对象、攻击的能力以及攻击的方式做威胁的一些判断,通过这个就可以对信息系统的弱点进行相关评估,对现有的措施比如说我的防火墙区域划分以及网络隔离是不是满足需要进行评估。综合起来会得到信息安全风险评估的价值。
最后会提出一些风险的控制措施和改进意见做一些加固。
进行风险评估的方法主要有以下几种:
1、安全工具扫描对象(包括网络、系统、数据库)
2、主机安全人工评估
3、入侵痕迹(后门)检查
4、模拟黑客渗透测试
5、业务软件安全评估
6、业务流程评估
7、网络拓扑结构评估
8、安全策略文档分析
9、安全审计和顾问访谈
以上就是我简单介绍的一些内容,大部分是一些概念,希望领导和专家批评指正。谢谢大家!(责任编辑:李磊)
