《信息安全风险评估待提高》由会员分享,可在线阅读,更多相关《信息安全风险评估待提高(6页珍藏版)》请在金锄头文库上搜索。
1、 信息安全风险评估待提高 文魏克由信息安全报告引发根据卡巴斯基实验室安全网络( KSN)收集和处理到的数据,卡巴斯基发布了2010年第一季度信息安全威胁报告。该报告给出了几个有意思的数据。首先是全球安全态势,在全球不同国家,共计发生327,598,028次恶意程序试图感染用户计算机的行为,同上一季度相比,总体增长26.8%,网络罪犯所采取的攻击策略有所改变目前,针对中国地区用户的网络攻击同比下降了13%。其次是哪些国家的用户最容易遭受网络攻击的侵害,根据卡巴斯基的报告,前三甲是中国、俄罗斯和印度,分别占18.05%、13.18%和8.52%。而一直叫嚷受到中国大陆黑客攻击的美国只能屈居第四,占
2、总比的5.25%,不到中国的三分之一。中国依然是“最易遭受网络攻击的国家”。最后来了解一下来自互联网的威胁,卡巴斯基给出了互联网上排名前十的最常见恶意软件家族,排名前三的分别是Iframe、Generic,和Hexzone。另一个威胁是漏洞,在2010年第一季度,卡巴斯基实验室在用户计算机上共检测到12,111,862个未修补的漏洞。同上一季度相比,增长了6.9%。排名前十位的漏洞中,有六种来自微软的软件产品,有九种可以被网络罪犯用来获取系统的安全控制权。可见,保护计算的最好的办法是及时安装漏洞补丁。在国内,根据CNCERT的周报(5月31日6月6日),“依据CNCERT抽样监测结果,境内被木
3、马控制的主机IP地址数目为69873个,同种类木马感染数量与前一周环比下降40%;境内被僵尸网络控制的主机lP地址数目为6471个,环比下降13%;境内被篡改政府网站数量为145个,环比增长8%”。虽然CNCERT给出的安全态势是“良”,但是依然有众多的政府网站被篡改,众多的主机被控制。这两份报告其实是全球和国内总体信息安全状况和发展态势的评估报告。此外,有针对性地评估,比如针对你所在组织公司的信息安全风险评估,也不可替代。全球信息安全风险评估发展及现状美国人发明了计算机,并在此后一直引领着计算机技术发展的方向。同样,美国最早开展计算机安全研究,一直主导着信息安全技术和理论的发展。因此,美国在
4、信息安全评估理论和方法上的研究,代表该领域国际上的最新发展。美国从1967年开始研究计算机安全问题,从1967年11月至1970年2月,美国美国国防科学委员会委托兰德公司、迈特公司( MITIE)及其它和国防工业有关的一些公司,经过将近两年半的工作,主要对当时的大型机、远程终端进行了研究和分析,完成了第一次比较大规模的风险评估。在此基础上,经过近10年的研究,NBS(美国国家标准局)1979年颁布了一个风险评估的标准:自动数据处理系统( ADP)风险分析标准( FIPS 65)。从此拉开了信息安全风险评估理论和方法研究的序幕,包括美国80年代的彩虹系列f即橘皮书,美国早期的一套比较完整的从理论
5、到方法的有关信息安全评估的准则,形成于1981-1985),1992年美国联邦政府制定的联邦信息技术安全评估准则(FC),以及1993年发布的信息技术安全通用评估准则最终演化为1999年的国际标准ISO/IEC 15408。跨入21世纪,随着网络和信息技术的发展,互联网及其应用高速发展,同时国际范围内出现了大规模黑客攻击,信息战的理论逐步发展,并且美国的军事、政治、经济和社会活动对信息基础设施的依赖程度达到了空前的高度,在此环境下,美国又开始了对信息系统新一轮的评估和研究,产生了一些新的概念、法规和标准。从2002年1月开始,NIST先发布了IT系统风险管理指南( SP 800-30)、联邦I
6、T系统安全认证和认可指南( SP 800-37)、联邦信息和信息系统的安全分类标准( FIPS 199)、联邦IT系统最小安全控制(SP 800-53)、将各种信息和信息系统映射到安全类别的指南(SP 800-60)等多个文档。虽然美国引领了网络和信息技术的发展,但是目前影响最广泛的网络和信息安全方面的标准ISO/IEC 17799:2005(其前身是BS7799 Part 1,全称是Code of Pract,ice for Information Security,也即为信息安全的实施细则)却来自英国,并被大多数国家认可和使用。目前我们常讲的ISO27001和IS0 27002,其前身分别
7、是BS7799 part2和BS7799 part 1。信息安全评估涉及到方方面面,安全标准也十分庞杂,各种评估标准的侧重点也不一样,比如信息技术安全性评估准则(CC)和美国国防部可信计算机评估准则(TCSEC)等更侧重于对系统和产品的技术指标的评估;系统安全工程能力成熟模型(SSE-CMM)更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。ISO/IEC 17799(也就是IS0 27001和IS0 27002)在对信息系统日常安全管理方面具有无法取代的地位,因此,目前国外很多企业接受IS0 27001: 2005( BS7799-2)的认证,即信息安全管理体系认证证书。国内情况比较
8、简单,由于关于安全风险评估研究起步的较晚,目前国内整体处于起步和借鉴阶段,在安全风险评估的标准研究上还处于跟踪国际标准的初级探索阶段。国家质量技术监督局于2001年依据国际标准CC颁布了GB/T 18336信息技术安全技术信息技术安全性评估准则,相关的标准还有依据美国的TCSEC及红皮书于1999年发布的GB17859计算机信息系统安全保护等级划分准则,以及我国专门针对信息系统安全风险评估制定标准信息安全技术信息安全风险评估规范 GB20984-2007)和信息安全风险管理指南。当前我国正在进行的“信息系统安全等级保护”也是进行信息安全评估的一种重要形式,其重要性不亚于60年代初,美国通过两年
9、半的时间进行的第一次全美国范围内的大规模的风险评估。其实国内的“信息系统安全等级保护”工作,与美国2002年颁布的联邦信息安全管理法案( FISMA)有相似之处。该法案试图通过采取适当的安全控制措施来保证联邦机构的信息系统安全性,是当前美国信息安全领域的一个重要发展计划。信息安全风险评估的方法论述信息安全风险评估方法的文章很多,有兴趣的人可以去参考各种标准文档,如IS027001,GB20984-2007等。也可以去研究各类书籍,如清华大学出版社的信息安全风险评估方法与应用,中国标准出版社的信息安全风险评估概念、方法和实践等,也可以阅读比较著名的风险分析指南和方法,研究风险评估理论和方法的最佳
10、途径还是阅读标准并参与实践。信息安全风险评估的本质是资产、威胁、弱点和风险的识别和判断,无论采取何种方法,无论给出的是定性的还是定量的判断,信息安全风险评估考验的是评估师的学识、经验和从业经历。目前流行的风险评估方法是有评估人员(或叫安全咨询专家)采用一种或多种工具进行评估,如COBRA( Consultative,Objective and Bi-functional Risk Analysis)是一个基于专家系统的风险评估工具,一种基于问卷调查形式的风险分析工具;CORA(Cost-of-Risk Analysis)是半定量(定性与定量方法相结合)的风险评估工具;CONTROL-IT、De
11、finitive Scenario是定性的风险评估工具等。对于初学风险评估的人员,建议使用微软安全风险评估工具( MSAT),这是一种免费工具。MSAT涵盖的方面包括基础设施、应用、运作和人员。信息安全风险评估也需要大量的技术型评估工具,如漏洞检测工具Nessus、评估网络设备配置安全的nipper等。还有一种非常重要的评估手段,就是来自“暗黑世界”的渗透测试。渗透测试的本质是模拟黑客攻击,其测试思想、技术手段和方式方法都来自黑客世界。渗透测试可以发现一般信息安全风险评估方法和手段无法揭示的安全漏洞和缺陷,比如跨占脚本攻击,中间人攻击等,其有效性已经被大量的实践所验证。渗透测试也已经被一些信息
12、安全评估标准流程接纳为必备的测试流程,比如支付卡产业的数据安全标准( PCI DSS)就要求每年至少进行一次渗透测试,包括网络层渗透测试和应用程序层渗透测试。无论对于哪个国家,信息安全风险评估都是一项非常重要的任务。信息安全风险评估的理论和方法一直在发展。从事信息安全评估工作需要的不仅仅是在此领域要有深厚、广博的知识,更重要的是要有不断学习的恒心和面对客户的耐心。(作者单位为CERNET国家网络中心应急响应组)FISMA实施的三个阶段FISMA的实施分为三个阶段,分别为开发标准和指南(2003-2008)、形成安全能力(2007-2010)和运用自动化工具(2008-2009)。前文提到的美国
13、国家标准与技术研究所(NIST)开发和发布相关的SP 800系列信息安全标准体系,就是FISMA第一阶段的成果。在我国还在制定相关标准和艰难推进“信息系统安全等级保护”的时候,FISMA第二阶段的工作目标一一形成安全能力已经基本完成。美国国家标准技术委员会发布了若干个不同的标准,包括150,150-1 7和7328等,这些标准的主要目标就是约束相关的信息安全测评机构,需要具备这样的服务能力和服务准则来为联邦相关机构的信息系统进行测评以确认这些系统是否符合信息安全管理法案的要求。与此同时,美国政府资助本土研究机构和企业开始FISMA第三阶段的工作,推动自动化工具的开发应用。即从2009年向后的三
14、到五年的时间里,尽可能地把一些规范和标准自动化、工具化,从而配合安全运维人员更好地工作。NIST推出了SCAP协议(安全内容自动化协议,Security Content AutomationProtocol),它是结合了一系列用来枚举软件缺陷和安全配置问题的开放性标准,实现了一种通过明确的标准化的模式,使漏洞管理、安全监测和政策符合性能够与美国联邦信息安全管理法案一致的方法。SCAP主要由六个不同的技术标准(CVE、CCE、CPE、XCCDF、OVAL和cvss)作为支撑,六个不同的标准分别从漏洞、配制、系统脆弱性的统一命名,包括脆弱性严重性的评分标准、安全检查的步骤、检查项目及检查报告等各个方面进行有效地设定,从而保证后期的工具、软件开发厂商能够有一个明确的标准进行参考。在S- CAP的基础上由美联邦政府牵头针对一些联邦政府的桌面主机开展了一个FDCC的安全项目,专门对Windows系统主机的安全漏洞和安全配置进行检查的标准,并由安全厂商开发了时应的FDCC Scanner设备进行自动化的检查,而FDCC也给通过FDCC认证的Scanner颁发证书。在2008年初,NIST发布了一个符合FDCC的扫描器列表(参见Articlesl20080125NIST-to-release-SCAP-FDCC-scanner-list. aspx?Page=1)。-全文完-
