信息安全評估評測體系研究及ISMS審核實(shí)踐

作者簡(jiǎn)介：

李莉，中國信息通信研究院,主要從事信息系統和網(wǎng)絡(luò )設備安全研究和測試工作

魏巨升，北京天陽(yáng)睿博科技有限公司, 主要從事通信系統研發(fā)工作

1   引言

信息系統安全是現代社會(huì )正常運行的基礎。國際組織及各國都開(kāi)展了廣泛的研究，制定了系列標準，推薦了若干最佳實(shí)踐。保障信息系統安全的制度及方法有等級保護、風(fēng)險評估、信息安全管理體系（ISMS）審核等。不同方法制度的側重點(diǎn)不同，組織在其產(chǎn)品或業(yè)務(wù)生命周期的不同階段運用不同的方法，來(lái)確保其信息系統的安全。

2   風(fēng)險評估、等級保護與ISMS

2.1 風(fēng)險評估

信息系統風(fēng)險評估，是指具有風(fēng)險評估資質(zhì)的機構，依照風(fēng)險評估標準的要求，制定特定的風(fēng)險評估方案，對組織的信息系統及信息安全產(chǎn)品進(jìn)行評估，給出風(fēng)險評估結論及改進(jìn)建議的過(guò)程，目的是全面了解信息系統和產(chǎn)品的安全狀況水平，控制風(fēng)險，盡可能保障信息系統和產(chǎn)品安全。

信息系統安全風(fēng)險評估的研究起源于上世紀70年代，ISO和歐美、亞太等國家和國際組織在該領(lǐng)域進(jìn)行了積極探索和深入的研究，制定了一系列標準，形成了較成熟的模型和工具。我國也積極開(kāi)展風(fēng)險評估方面的研究，制定和同等采用了一系列的標準。

國際組織和各國陸續制定了系列安全風(fēng)險評估標準。1985年美國國防部發(fā)布了《可信計算機系統評估準則》（TCSEC， Trusted Computer System Evaluation Criteria）；90年代，西歐、美、加等國在此基礎上提出改進(jìn)標準《信息技術(shù)安全評估準則》（ITSEC， Information Technology Security Evaluation Criteria）、《加拿大可信計算機產(chǎn)品評估準則》（CTCPEC， Canadian Trusted Computer Products Evaluation Criteria）、《通用信息技術(shù)安全評估標準》（CC， Common  Criteria for IT Security Evaluation）。其中CC標準被批準為信息技術(shù)安全評估標準ISO/IEC 15408。此外，國際上風(fēng)險評估和風(fēng)險管理標準還有《信息安全管理實(shí)施規范》（ISO/IEC 17799）、《信息技術(shù)安全管理指南》（ISO/IEC 13335）、《信息安全風(fēng)險管理》（ISO/IEC 27005）、卡內基梅隆大學(xué)提出的OCTAVE評估方法（Operationally Critical Threat, Asset, Vulnerability Evaluation）和《信息安全工程能力成熟度模型》（SSE-CMM，System Security Engineering Capability Maturity Model）等。以上標準對風(fēng)險評估進(jìn)行了明確的定義，對規范和指導風(fēng)險評估工作起到了積極作用。這些標準也有一定的局限性，如TCSEC、ITSEC、CTCPEC更注重技術(shù)層面，對于管理層面重視不夠；BS ISO/IEC 17799被廣泛接受，標準覆蓋內容廣，但缺少技術(shù)測量精度，實(shí)施困難。相比之下CC從安全功能和安全保證兩個(gè)方面予以規范，是比較全面的評估準則。ISO/IEC 27005則從生命周期的角度，將風(fēng)險評估作為計劃的一部分，經(jīng)過(guò)PDCA（Plan-Do-Check-Ack）循環(huán)不斷完善風(fēng)險管理過(guò)程。

為風(fēng)險評估能規范實(shí)施，各個(gè)標準制定機構和研究機構提出了多種信息安全模型。ISO/IEC 13335提出了信息安全風(fēng)險關(guān)系模型，給出了八個(gè)安全要素及其之間的關(guān)系。八個(gè)要素即資產(chǎn)、威脅、脆弱點(diǎn)、影響、風(fēng)險、防護措施、殘余風(fēng)險和限制條件八個(gè)要素。一些IT管理方法可能注重一些方面而忽略另一些方面，ISO/IEC 13335的信息安全風(fēng)險管理模型提供了一個(gè)更通用的方法，促使能夠全面考慮安全問(wèn)題。ISO/IEC 15408同樣提出了信息安全風(fēng)險評估的要素和風(fēng)險評估模型。ISO/IEC 15408的風(fēng)險評估要素包括攻擊者、屬主、資產(chǎn)、威脅、漏洞、風(fēng)險、措施。ISO/IEC 27005采用了PDCA循環(huán)，體現了持續改進(jìn)不斷完善的風(fēng)險評估方式。這些模型對風(fēng)險評估的實(shí)施起到了積極作用。

風(fēng)險評估的不同階段，使用不同的風(fēng)險評估方法。在資產(chǎn)識別、威脅識別、脆弱性識別、已有安全措施識別階段通，常使用現場(chǎng)調查、人員訪(fǎng)談、調查問(wèn)卷的方式，或者使用技術(shù)手段進(jìn)行手動(dòng)檢查或工具協(xié)助分析。風(fēng)險分析階段，可以采用定性評估方法、定量評估方法或者二者結合的方法。定性評估方法基于評估者的經(jīng)驗，對評估中的多個(gè)要素值進(jìn)行定性分析，如威脅的大小和脆弱性大小。這種方法對評估者素質(zhì)和經(jīng)驗的要求較高，通常會(huì )在類(lèi)似頭腦風(fēng)暴的會(huì )議上協(xié)商決定，而不會(huì )完全依賴(lài)一個(gè)專(zhuān)家的意見(jiàn)。定量分析在數據統計的基礎上，將風(fēng)險分析過(guò)程量化并得出定量的結果。定量分析的難點(diǎn)是建模，各種復雜的相互影響的因素對風(fēng)險分析的建模帶來(lái)挑戰，同時(shí)數學(xué)模型對客觀(guān)事物抽象的準確程度和側重點(diǎn)也因模型而異。目前使用較多的是信息安全風(fēng)險分析的定性分析法。

風(fēng)險評估通常用到多種不同的工具。包括漏洞掃描工具、漏洞挖掘、主機配置檢查工具、主機安全審計工具、滲透測試工具、入侵檢測工具等。有些工具是安全公司依據特定標準和特定目的開(kāi)發(fā)的，也有開(kāi)源免費軟件。COBRA（Consultative,  Objective and Bi-functional Risk Analysis）是英國的C&A公司基于ISO 17799發(fā)布的風(fēng)險評估工具。COBRA在知識庫和專(zhuān)家系統的基礎上，通過(guò)問(wèn)卷調查的方式，評估風(fēng)險并生成風(fēng)險評估報告。 CRAMM（CCTA Risk Analysis and Management Method）是1985年英國政府中央計算機與電信局開(kāi)發(fā)的風(fēng)險分析工具。CRAMM依據BS 7799開(kāi)發(fā)，同時(shí)支持定量分析和定性分析。美國NIST針對NIST SP800-26標準，開(kāi)發(fā)了免費的安全風(fēng)險自我評估軟件ASSET（Automated Security Self-Evaluation Tool）。ASSET也采用問(wèn)卷調查的方式收集數據，具有定性和定量調查的分析特點(diǎn)。還有很多偏重技術(shù)的風(fēng)險評估工具，如Synopsis公司的Defencics漏洞挖掘工具和Beyond Security公司開(kāi)發(fā)的 beSTORM自動(dòng)化模糊測試工具。這些軟件工具各具體點(diǎn)，多是針對特定標準或特定協(xié)議開(kāi)發(fā)的，能一定程度上提高評估效率和評估客觀(guān)性。

我國于1999年頒布了與TCSEC對應的《GB 17859-1999 計算機信息系統安全保護等級劃分準則》，于2001年頒布了與CC標準對應的系列標準《GB/T 18336-2001 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則》，2001年同等采用ISO/IEC1333-1，發(fā)布了《GB/T 19715-2005 信息技術(shù) 信息技術(shù)安全管理指南》系列標準。隨后，我國制定和頒布了一系列信息安全技術(shù)標準。2005年頒布《GB/T 19716-2005 信息技術(shù) 信息安全管理實(shí)用規則 》， 2007年頒布了《GB/Z 20986-2007信息安全技術(shù) 信息安全事件分類(lèi)分級指南》、《GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險評估規范》和《GB/Z 20985-2007 信息技術(shù) 安全技術(shù) 信息安全事件管理指南》，2009年頒布《GB/Z 24364-2009 信息安全技術(shù) 信息安全風(fēng)險管理指南》，2015年頒布《GB/T 31509-2015 信息安全技術(shù) 信息安全風(fēng)險評估實(shí)施指南》。國內信息安全標準的發(fā)布，充分體現出我國對信息安全的重視，各個(gè)標準在信息技術(shù)行業(yè)的實(shí)施，提高了社會(huì )對信息安全的重視程度，積極促進(jìn)信息安全水平不斷提高。如啟明星辰提供專(zhuān)業(yè)的風(fēng)險評估服務(wù)，綠盟推出基于大數據的風(fēng)險評估產(chǎn)品NSFOCUS IDR（NSFOCUS Insight for Discovery and Risk）等。

2.2 等級保護

在美國國防部制定的TCSEC中及后續的系列安全指南中，計算機系統評估準則從操作系統、數據庫和計算機網(wǎng)絡(luò )的不同角度，對信息系統安全進(jìn)行了規范要求，結合已有安全措施、安全策略、系統應用等方面的信息，將系統分為四類(lèi)（A~D）八個(gè)等級（D、C1、C2、B1、B2、B3、A1、超A1）。最低級D級是無(wú)保護級，即不能處理敏感信息的系統。C類(lèi)是自主保護等級，B類(lèi)為強制保護即，A類(lèi)為驗證保護級。

我國的等級保護制度是在國家行政制度引導和推動(dòng)下建立發(fā)展的。1994國務(wù)院發(fā)布《中華人民共和國計算機信息系統安全保護條例》，標志我國開(kāi)始施行計算機信息系統安全等級保護制度。為推進(jìn)保護條例的落實(shí)，公安部制定了國家標準《GB 17859-1999計算機信息系統安全保護等級劃分準則》和一系列公共安全行業(yè)標準。公共安全行業(yè)標準包括《GA/T 387-2002 計算機信息系統安全等級保護網(wǎng)絡(luò )技術(shù)要求》、《GA 388-2002 計算機信息系統安全等級保護操作系統技術(shù)要求》、《GA/T 390-2002 計算機信息系統安全等級保護通用技術(shù)要求》、《GA 391-2002 計算機信息系統安全等級保護管理要求》。我國的信息系統劃分為五個(gè)等級，由低到高為自主保護級、指導保護級、監督保護級、強制保護級和專(zhuān)控保護級。等級保護是從信息系統本身業(yè)務(wù)的重要程度和遭到破壞后對組織自身、社會(huì )及國家造成影響的嚴重程度來(lái)劃分的，自主保護級為最低級，專(zhuān)控保護級為最高級。

隨著(zhù)社會(huì )的發(fā)展和技術(shù)的進(jìn)步，我國在發(fā)布了《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》2.0版本，于2019年12月1日開(kāi)始實(shí)施。等保2.0的重大變化在于從之前的被動(dòng)防御發(fā)展為主動(dòng)防御，注重全流程的全面審計和安全感知，在傳統信息系統和基礎信息網(wǎng)絡(luò )的基礎上拓展覆蓋了工業(yè)控制信息系統、云計算平臺、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)及其他網(wǎng)絡(luò )和大數據。

2.3 ISMS

ISMS是眾多風(fēng)險評估模型中的一種。ISMS的主要特點(diǎn)在于特定情境中的實(shí)踐性。

1993年，英國的學(xué)者和一些自愿參與的公司發(fā)起了一個(gè)“安全實(shí)踐指南”項目，項目的發(fā)包方英國商務(wù)部商業(yè)計算機安全中心，希望這個(gè)指南能夠與ITSEC一同規劃設計。但是項目組考慮到項目實(shí)踐化的目的與ITSEC的方向并不完全一致，最終單獨發(fā)布，并最終被采納為英國國家標準BS 7799。2000 年，成為國際標準ISO/IEC 17799。2005 年，重新編號成為ISO/IEC 27002。ISO/IEC 27000標準簇目前已經(jīng)有二十多個(gè)，其中ISO/IEC 27001和ISO/IEC 27002是最重要的兩個(gè)標準，已被我國同等采用為GB/T 22080和GB/T 22081。通常術(shù)語(yǔ)“ISMS”指在ISO/IEC27000標準簇指導下建立的組織信息安全管理體系。

產(chǎn)品的或系統的脆弱性是其固有特性，同樣的產(chǎn)品應用于不同的環(huán)境，對客戶(hù)業(yè)務(wù)的重要程度不盡相同，體現為不同的資產(chǎn)價(jià)值。比較而言，CC標準更注重產(chǎn)品的脆弱性，更關(guān)注在預期應用場(chǎng)下產(chǎn)品自身的安全風(fēng)險，而非實(shí)際應用中客戶(hù)的業(yè)務(wù)和實(shí)際資產(chǎn)價(jià)值。ISMS是一套保障組織信息安全的方法，是組織管理體系的組成部分。 具有ISMS認證資質(zhì)的機構對組織進(jìn)行信息安全管理體系認證，通過(guò)認證的組織可以獲得證書(shū)。

ISMS具有同QMS樣的標準結構。ISMS系列標準除基本要求外，還涉及信息安全控制實(shí)踐指南、管理體系實(shí)施指南、測量、風(fēng)險管理、行業(yè)通信安全管理、信息安全治理、及認證機構要求和審核員指南等內容。該標準簇旨在通過(guò)行業(yè)最佳實(shí)踐和審核的方式，促進(jìn)組織的信息安全。

2.4 各種信息安全評測制度的對比

等級保護是基本的安全管理原則，等級保護通過(guò)按照信息系統的重要性劃分安全等級，并針對不同的安全等級提出相應的安全要求。各種風(fēng)險評估和安全評測都是在等級保護制度指導下的具體的研究分析方法，等級保護制度要高于風(fēng)險評估和安全評測。各種風(fēng)險評估和安全評測要充分考慮等級保護提出的要求，在資產(chǎn)識別、脆弱性識別、威脅識別、風(fēng)險分析評價(jià)等各個(gè)階段都要考慮到等級保護要求，判斷安全現狀與等級保護要求的符合程度和差距，合理處置殘余風(fēng)險，使不可接受風(fēng)險的處置計劃與等級保護工作的要求相一致。

風(fēng)險評估是開(kāi)展等級保護和安全建設、運維的重要手段。風(fēng)險評估與傳統的以技術(shù)為導向的安全設計和安全方案不同，它從安全建設的實(shí)際出發(fā)，結合成本效益因素，對用戶(hù)的重要軟硬件資產(chǎn)進(jìn)行分級，全面分析安全威脅，考慮安全威脅利用脆弱性的可能，通過(guò)分析已有安全措施，用定性或定量分析的方法，推斷出客戶(hù)資產(chǎn)的安全風(fēng)險，提出風(fēng)險處置計劃，并跟蹤風(fēng)險處置計劃的實(shí)施效果來(lái)確保業(yè)務(wù)系統的安全。

多數風(fēng)險評估方法主要關(guān)注產(chǎn)品或信息系統在預期應用中的固有安全風(fēng)險，而不是實(shí)際應用中的安全。然而，任何產(chǎn)品或信息系統，都必須在實(shí)際應用的場(chǎng)景中發(fā)揮其功能。ISMS的關(guān)注點(diǎn)是應用場(chǎng)景，是一種實(shí)踐指南。ISMS通過(guò)在客戶(hù)業(yè)務(wù)現場(chǎng)審計，對信息安全策略、人力資源、資產(chǎn)、物理和環(huán)境安全、通信安全、供應商安全等各種現實(shí)情況進(jìn)行審計。ISMS中對風(fēng)險評估有強制性的要求，這個(gè)風(fēng)險評估可以由第三方，也可組織自身或第二方實(shí)施。具有ISMS審核資質(zhì)的機構對組織進(jìn)行信息安全管理體系整體符合性審核，審核通過(guò)后頒發(fā)證書(shū)。

3   ISMS的第三方審核實(shí)踐

ISMS依據ISO/IEC 27000標準簇，由ISO/IEC JTC 1/SC 27/WG 1 發(fā)布。ISMS具有和QMS、EMS和OHSMS相同的標準結構，ISO系列標準采用相同體系章節架構的目的是為了加強各管理系統的兼容性，使組織在選擇多個(gè)標準增強組織的管理時(shí)，能有效地將組織的業(yè)務(wù)和各管理體系相融合。信息安全管理體系審計主要依據GB/T 22080-2016/ISO/IEC 27001:2013，該標準采用正文加附錄的形式，正文提出了安全通用要求，附錄制定了具體的安全控制目標。組織聲稱(chēng)符合ISO/IEC 27001時(shí)，對于正文中的章節都不能刪減，必須滿(mǎn)足全部要求；而附錄A中的參考控制目標和控制可以增加也可以刪除，即組織可以聲稱(chēng)滿(mǎn)足部分控制目標也可以增加內容聲稱(chēng)滿(mǎn)足更多的安全目標。在審核實(shí)踐中，ISO/IEC 27001的正文和附錄都是審核準則。

組織進(jìn)行ISMS認證的目的可能是主動(dòng)的，源于自身提高管理水平要求的目的，也可能是被動(dòng)的，為了滿(mǎn)足市場(chǎng)招投標等要求的目的。在理解組織及其環(huán)境的條款審核中，首先要與領(lǐng)導層溝通，了解組織所處的內外部環(huán)境、組織進(jìn)行ISMS認證的目的、組織關(guān)注的信息安全風(fēng)險點(diǎn)，這有利于提高ISMS審核的有效性和針對性。組織所處的外部環(huán)境，主要從物理環(huán)境、網(wǎng)絡(luò )環(huán)境、政策法規對信息安全方面的要求、客戶(hù)和供方對信息安全的要求等方面去考慮；組織所處的內部環(huán)境，主要考慮技術(shù)資源、設備資源、網(wǎng)絡(luò )資源和人力資源等。在確定信息安全管理體系范圍的審核中，要確認組織的物理邊界、邏輯邊界和業(yè)務(wù)邊界是否清晰，是否考慮了相關(guān)方及其信息安全要求，并形成文件化信息。注意識別是否有不包含在ISMS體系范圍內的業(yè)務(wù)過(guò)程，這些業(yè)務(wù)過(guò)程對體系運行的有效性是否有影響。對于這點(diǎn)，一般的原則是獨立的業(yè)務(wù)過(guò)程可以不包含在ISMS體系內，但是行政、人力、財務(wù)這樣的支持部門(mén)的業(yè)務(wù)不支持分割在體系外，應當作為ISMS體系審核的對象。信息安全管理體系的審核中，關(guān)注體系建立運行的時(shí)間，體系運行的效果是否達到了預期。

在審核組織的信息安全管理角色、責任和權限時(shí)，ISMS沒(méi)有要求建立管理者代表，有關(guān)于設立風(fēng)險責任人的要求。風(fēng)險責任人指對風(fēng)險責任有權利和責任的人或實(shí)體，有對組織的風(fēng)險處置計劃和殘余風(fēng)險接受進(jìn)行批準的權限，一般都是公司的總經(jīng)理兼任風(fēng)險責任人。審核中可查看信息安全風(fēng)險責任權限分配表，或者是部門(mén)崗位責任說(shuō)明書(shū)一類(lèi)的文件，檢查文件中是否包含信息安全職責的內容。

ISMS要求實(shí)施具體的風(fēng)險評估，風(fēng)險評估報告是ISMS審核內容之一。ISMS體系建立的時(shí)間和風(fēng)險評估的時(shí)間間隔不宜過(guò)長(cháng)，否則風(fēng)險評估的結果不能真實(shí)反映ISMS體系運行的真實(shí)有效性。ISO/IEC27001的風(fēng)險管理流程是按照ISO31000的風(fēng)險框架實(shí)施的，是ISMS審核的重要組成部分。最新的《ISO31000：2018 風(fēng)險管理指南》著(zhù)重在管理層面上提升企業(yè)對風(fēng)險管理的重視程度。信息資產(chǎn)識別是按照組織的信息資產(chǎn)分類(lèi)辦法規定識別的，典型的信息資產(chǎn)包括硬件、軟件、信息、數據、服務(wù)、人員、無(wú)形資產(chǎn)等。組織的重要資產(chǎn)價(jià)值通過(guò)完整性、機密性、可用性賦值加權計算和對比得到。風(fēng)險處置結束后要進(jìn)行風(fēng)險再評價(jià)，通過(guò)風(fēng)險處置方式的引入，風(fēng)險可能會(huì )升高。如果風(fēng)險責任人接受風(fēng)險處置報告，風(fēng)險評估就告一段落；如果不能接受，則要繼續進(jìn)行風(fēng)險評估。風(fēng)險處置的原則是適度接受風(fēng)險，根據組織可接受的處置成本，將殘余風(fēng)險控制在可接受的范圍內。一般選擇較低的支出就可以減少大量風(fēng)險的處置辦法。

    信息安全風(fēng)險評估和處置過(guò)程的審核，重點(diǎn)審核信息安全風(fēng)險責任人或信息安全風(fēng)險主責部門(mén)，了解信息安全風(fēng)險管控流程是否符合信息安全標準的要求，檢查受審核方實(shí)施信息安全風(fēng)險管理程序的情況，包括信息安全風(fēng)險評估計劃、風(fēng)險管理程序、風(fēng)險識別與評價(jià)表、風(fēng)險接受準則、風(fēng)險處置計劃等。ISO/IEC 27001:2013在信息安全風(fēng)險識別方面不再強調以信息資產(chǎn)為導向，而是與 ISO31000更加保持一致，支持更多的方法識別進(jìn)行風(fēng)險識別，頭腦風(fēng)暴法、情境分析法、檢查表法等都是有效的風(fēng)險識別方法。                                

4   總結

為實(shí)現信息安全保障，組織應關(guān)注等級保護制度的要求，同時(shí)實(shí)施風(fēng)險評估，必要時(shí)進(jìn)行ISMS評估，從制度、管理和技術(shù)的不同角度入手，合理利用信息安全評估評測制度和相關(guān)技術(shù)，提升組織的信息安全水平。

參考文獻：

[1]譚良,羅訊,佘堃,周明天.CC與SSE-CMM的研究與比較[J].計算機應用研究,2006(05):38-40+43.

[2]王伏華,姚杰.風(fēng)險評估與管理工具研究[J].電腦知識與技術(shù),2011,7(30):7388-7389+7392.

[3]謝宗曉,李寬.通用準則(CC)與信息安全管理體系(ISMS)的比較分析[J].中國質(zhì)量與標準導報,2018(07):28-32.

[4]郭琳. 基于ITBPM的校園網(wǎng)信息安全防護研究[D].陜西師范大學(xué),2011.

[5]李成,曲振華.物聯(lián)網(wǎng)風(fēng)險評估和等級保護淺析[J].現代電信科技,2014,44(10):32-35.

[6]鐘瑞瓊,姜靈敏,蔣吉頻,鄺麗敏.信息服務(wù)外包安全監管對策研究[J].廣東農工商職業(yè)技術(shù)學(xué)院學(xué)報,2012,28(02):73-77.   

(注：本文來(lái)自于《電子產(chǎn)品世界》2020年11月刊)