信息安全評估評測體系研究及ISMS審核實踐

作者簡介：

李莉，中國信息通信研究院,主要從事信息系統(tǒng)和網(wǎng)絡設備安全研究和測試工作

魏巨升，北京天陽睿博科技有限公司, 主要從事通信系統(tǒng)研發(fā)工作

1   引言

信息系統(tǒng)安全是現(xiàn)代社會正常運行的基礎。國際組織及各國都開展了廣泛的研究，制定了系列標準，推薦了若干最佳實踐。保障信息系統(tǒng)安全的制度及方法有等級保護、風險評估、信息安全管理體系（ISMS）審核等。不同方法制度的側重點不同，組織在其產(chǎn)品或業(yè)務生命周期的不同階段運用不同的方法，來確保其信息系統(tǒng)的安全。

2   風險評估、等級保護與ISMS

2.1 風險評估

信息系統(tǒng)風險評估，是指具有風險評估資質的機構，依照風險評估標準的要求，制定特定的風險評估方案，對組織的信息系統(tǒng)及信息安全產(chǎn)品進行評估，給出風險評估結論及改進建議的過程，目的是全面了解信息系統(tǒng)和產(chǎn)品的安全狀況水平，控制風險，盡可能保障信息系統(tǒng)和產(chǎn)品安全。

信息系統(tǒng)安全風險評估的研究起源于上世紀70年代，ISO和歐美、亞太等國家和國際組織在該領域進行了積極探索和深入的研究，制定了一系列標準，形成了較成熟的模型和工具。我國也積極開展風險評估方面的研究，制定和同等采用了一系列的標準。

國際組織和各國陸續(xù)制定了系列安全風險評估標準。1985年美國國防部發(fā)布了《可信計算機系統(tǒng)評估準則》（TCSEC， Trusted Computer System Evaluation Criteria）；90年代，西歐、美、加等國在此基礎上提出改進標準《信息技術安全評估準則》（ITSEC， Information Technology Security Evaluation Criteria）、《加拿大可信計算機產(chǎn)品評估準則》（CTCPEC， Canadian Trusted Computer Products Evaluation Criteria）、《通用信息技術安全評估標準》（CC， Common  Criteria for IT Security Evaluation）。其中CC標準被批準為信息技術安全評估標準ISO/IEC 15408。此外，國際上風險評估和風險管理標準還有《信息安全管理實施規(guī)范》（ISO/IEC 17799）、《信息技術安全管理指南》（ISO/IEC 13335）、《信息安全風險管理》（ISO/IEC 27005）、卡內基梅隆大學提出的OCTAVE評估方法（Operationally Critical Threat, Asset, Vulnerability Evaluation）和《信息安全工程能力成熟度模型》（SSE-CMM，System Security Engineering Capability Maturity Model）等。以上標準對風險評估進行了明確的定義，對規(guī)范和指導風險評估工作起到了積極作用。這些標準也有一定的局限性，如TCSEC、ITSEC、CTCPEC更注重技術層面，對于管理層面重視不夠；BS ISO/IEC 17799被廣泛接受，標準覆蓋內容廣，但缺少技術測量精度，實施困難。相比之下CC從安全功能和安全保證兩個方面予以規(guī)范，是比較全面的評估準則。ISO/IEC 27005則從生命周期的角度，將風險評估作為計劃的一部分，經(jīng)過PDCA（Plan-Do-Check-Ack）循環(huán)不斷完善風險管理過程。

為風險評估能規(guī)范實施，各個標準制定機構和研究機構提出了多種信息安全模型。ISO/IEC 13335提出了信息安全風險關系模型，給出了八個安全要素及其之間的關系。八個要素即資產(chǎn)、威脅、脆弱點、影響、風險、防護措施、殘余風險和限制條件八個要素。一些IT管理方法可能注重一些方面而忽略另一些方面，ISO/IEC 13335的信息安全風險管理模型提供了一個更通用的方法，促使能夠全面考慮安全問題。ISO/IEC 15408同樣提出了信息安全風險評估的要素和風險評估模型。ISO/IEC 15408的風險評估要素包括攻擊者、屬主、資產(chǎn)、威脅、漏洞、風險、措施。ISO/IEC 27005采用了PDCA循環(huán)，體現(xiàn)了持續(xù)改進不斷完善的風險評估方式。這些模型對風險評估的實施起到了積極作用。

風險評估的不同階段，使用不同的風險評估方法。在資產(chǎn)識別、威脅識別、脆弱性識別、已有安全措施識別階段通，常使用現(xiàn)場調查、人員訪談、調查問卷的方式，或者使用技術手段進行手動檢查或工具協(xié)助分析。風險分析階段，可以采用定性評估方法、定量評估方法或者二者結合的方法。定性評估方法基于評估者的經(jīng)驗，對評估中的多個要素值進行定性分析，如威脅的大小和脆弱性大小。這種方法對評估者素質和經(jīng)驗的要求較高，通常會在類似頭腦風暴的會議上協(xié)商決定，而不會完全依賴一個專家的意見。定量分析在數(shù)據(jù)統(tǒng)計的基礎上，將風險分析過程量化并得出定量的結果。定量分析的難點是建模，各種復雜的相互影響的因素對風險分析的建模帶來挑戰(zhàn)，同時數(shù)學模型對客觀事物抽象的準確程度和側重點也因模型而異。目前使用較多的是信息安全風險分析的定性分析法。

風險評估通常用到多種不同的工具。包括漏洞掃描工具、漏洞挖掘、主機配置檢查工具、主機安全審計工具、滲透測試工具、入侵檢測工具等。有些工具是安全公司依據(jù)特定標準和特定目的開發(fā)的，也有開源免費軟件。COBRA（Consultative,  Objective and Bi-functional Risk Analysis）是英國的C&A公司基于ISO 17799發(fā)布的風險評估工具。COBRA在知識庫和專家系統(tǒng)的基礎上，通過問卷調查的方式，評估風險并生成風險評估報告。 CRAMM（CCTA Risk Analysis and Management Method）是1985年英國政府中央計算機與電信局開發(fā)的風險分析工具。CRAMM依據(jù)BS 7799開發(fā)，同時支持定量分析和定性分析。美國NIST針對NIST SP800-26標準，開發(fā)了免費的安全風險自我評估軟件ASSET（Automated Security Self-Evaluation Tool）。ASSET也采用問卷調查的方式收集數(shù)據(jù)，具有定性和定量調查的分析特點。還有很多偏重技術的風險評估工具，如Synopsis公司的Defencics漏洞挖掘工具和Beyond Security公司開發(fā)的 beSTORM自動化模糊測試工具。這些軟件工具各具體點，多是針對特定標準或特定協(xié)議開發(fā)的，能一定程度上提高評估效率和評估客觀性。

我國于1999年頒布了與TCSEC對應的《GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則》，于2001年頒布了與CC標準對應的系列標準《GB/T 18336-2001 信息技術 安全技術 信息技術安全性評估準則》，2001年同等采用ISO/IEC1333-1，發(fā)布了《GB/T 19715-2005 信息技術 信息技術安全管理指南》系列標準。隨后，我國制定和頒布了一系列信息安全技術標準。2005年頒布《GB/T 19716-2005 信息技術 信息安全管理實用規(guī)則 》， 2007年頒布了《GB/Z 20986-2007信息安全技術 信息安全事件分類分級指南》、《GB/T 20984-2007 信息安全技術 信息安全風險評估規(guī)范》和《GB/Z 20985-2007 信息技術 安全技術 信息安全事件管理指南》，2009年頒布《GB/Z 24364-2009 信息安全技術 信息安全風險管理指南》，2015年頒布《GB/T 31509-2015 信息安全技術 信息安全風險評估實施指南》。國內信息安全標準的發(fā)布，充分體現(xiàn)出我國對信息安全的重視，各個標準在信息技術行業(yè)的實施，提高了社會對信息安全的重視程度，積極促進信息安全水平不斷提高。如啟明星辰提供專業(yè)的風險評估服務，綠盟推出基于大數(shù)據(jù)的風險評估產(chǎn)品NSFOCUS IDR（NSFOCUS Insight for Discovery and Risk）等。

2.2 等級保護

在美國國防部制定的TCSEC中及后續(xù)的系列安全指南中，計算機系統(tǒng)評估準則從操作系統(tǒng)、數(shù)據(jù)庫和計算機網(wǎng)絡的不同角度，對信息系統(tǒng)安全進行了規(guī)范要求，結合已有安全措施、安全策略、系統(tǒng)應用等方面的信息，將系統(tǒng)分為四類（A~D）八個等級（D、C1、C2、B1、B2、B3、A1、超A1）。最低級D級是無保護級，即不能處理敏感信息的系統(tǒng)。C類是自主保護等級，B類為強制保護即，A類為驗證保護級。

我國的等級保護制度是在國家行政制度引導和推動下建立發(fā)展的。1994國務院發(fā)布《中華人民共和國計算機信息系統(tǒng)安全保護條例》，標志我國開始施行計算機信息系統(tǒng)安全等級保護制度。為推進保護條例的落實，公安部制定了國家標準《GB 17859-1999計算機信息系統(tǒng)安全保護等級劃分準則》和一系列公共安全行業(yè)標準。公共安全行業(yè)標準包括《GA/T 387-2002 計算機信息系統(tǒng)安全等級保護網(wǎng)絡技術要求》、《GA 388-2002 計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術要求》、《GA/T 390-2002 計算機信息系統(tǒng)安全等級保護通用技術要求》、《GA 391-2002 計算機信息系統(tǒng)安全等級保護管理要求》。我國的信息系統(tǒng)劃分為五個等級，由低到高為自主保護級、指導保護級、監(jiān)督保護級、強制保護級和?？乇Ｗo級。等級保護是從信息系統(tǒng)本身業(yè)務的重要程度和遭到破壞后對組織自身、社會及國家造成影響的嚴重程度來劃分的，自主保護級為最低級，專控保護級為最高級。

隨著社會的發(fā)展和技術的進步，我國在發(fā)布了《信息安全技術網(wǎng)絡安全等級保護基本要求》2.0版本，于2019年12月1日開始實施。等保2.0的重大變化在于從之前的被動防御發(fā)展為主動防御，注重全流程的全面審計和安全感知，在傳統(tǒng)信息系統(tǒng)和基礎信息網(wǎng)絡的基礎上拓展覆蓋了工業(yè)控制信息系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)及其他網(wǎng)絡和大數(shù)據(jù)。

2.3 ISMS

ISMS是眾多風險評估模型中的一種。ISMS的主要特點在于特定情境中的實踐性。

1993年，英國的學者和一些自愿參與的公司發(fā)起了一個“安全實踐指南”項目，項目的發(fā)包方英國商務部商業(yè)計算機安全中心，希望這個指南能夠與ITSEC一同規(guī)劃設計。但是項目組考慮到項目實踐化的目的與ITSEC的方向并不完全一致，最終單獨發(fā)布，并最終被采納為英國國家標準BS 7799。2000 年，成為國際標準ISO/IEC 17799。2005 年，重新編號成為ISO/IEC 27002。ISO/IEC 27000標準簇目前已經(jīng)有二十多個，其中ISO/IEC 27001和ISO/IEC 27002是最重要的兩個標準，已被我國同等采用為GB/T 22080和GB/T 22081。通常術語“ISMS”指在ISO/IEC27000標準簇指導下建立的組織信息安全管理體系。

產(chǎn)品的或系統(tǒng)的脆弱性是其固有特性，同樣的產(chǎn)品應用于不同的環(huán)境，對客戶業(yè)務的重要程度不盡相同，體現(xiàn)為不同的資產(chǎn)價值。比較而言，CC標準更注重產(chǎn)品的脆弱性，更關注在預期應用場下產(chǎn)品自身的安全風險，而非實際應用中客戶的業(yè)務和實際資產(chǎn)價值。ISMS是一套保障組織信息安全的方法，是組織管理體系的組成部分。 具有ISMS認證資質的機構對組織進行信息安全管理體系認證，通過認證的組織可以獲得證書。

ISMS具有同QMS樣的標準結構。ISMS系列標準除基本要求外，還涉及信息安全控制實踐指南、管理體系實施指南、測量、風險管理、行業(yè)通信安全管理、信息安全治理、及認證機構要求和審核員指南等內容。該標準簇旨在通過行業(yè)最佳實踐和審核的方式，促進組織的信息安全。

2.4 各種信息安全評測制度的對比

等級保護是基本的安全管理原則，等級保護通過按照信息系統(tǒng)的重要性劃分安全等級，并針對不同的安全等級提出相應的安全要求。各種風險評估和安全評測都是在等級保護制度指導下的具體的研究分析方法，等級保護制度要高于風險評估和安全評測。各種風險評估和安全評測要充分考慮等級保護提出的要求，在資產(chǎn)識別、脆弱性識別、威脅識別、風險分析評價等各個階段都要考慮到等級保護要求，判斷安全現(xiàn)狀與等級保護要求的符合程度和差距，合理處置殘余風險，使不可接受風險的處置計劃與等級保護工作的要求相一致。

風險評估是開展等級保護和安全建設、運維的重要手段。風險評估與傳統(tǒng)的以技術為導向的安全設計和安全方案不同，它從安全建設的實際出發(fā)，結合成本效益因素，對用戶的重要軟硬件資產(chǎn)進行分級，全面分析安全威脅，考慮安全威脅利用脆弱性的可能，通過分析已有安全措施，用定性或定量分析的方法，推斷出客戶資產(chǎn)的安全風險，提出風險處置計劃，并跟蹤風險處置計劃的實施效果來確保業(yè)務系統(tǒng)的安全。

多數(shù)風險評估方法主要關注產(chǎn)品或信息系統(tǒng)在預期應用中的固有安全風險，而不是實際應用中的安全。然而，任何產(chǎn)品或信息系統(tǒng)，都必須在實際應用的場景中發(fā)揮其功能。ISMS的關注點是應用場景，是一種實踐指南。ISMS通過在客戶業(yè)務現(xiàn)場審計，對信息安全策略、人力資源、資產(chǎn)、物理和環(huán)境安全、通信安全、供應商安全等各種現(xiàn)實情況進行審計。ISMS中對風險評估有強制性的要求，這個風險評估可以由第三方，也可組織自身或第二方實施。具有ISMS審核資質的機構對組織進行信息安全管理體系整體符合性審核，審核通過后頒發(fā)證書。

3   ISMS的第三方審核實踐

ISMS依據(jù)ISO/IEC 27000標準簇，由ISO/IEC JTC 1/SC 27/WG 1 發(fā)布。ISMS具有和QMS、EMS和OHSMS相同的標準結構，ISO系列標準采用相同體系章節(jié)架構的目的是為了加強各管理系統(tǒng)的兼容性，使組織在選擇多個標準增強組織的管理時，能有效地將組織的業(yè)務和各管理體系相融合。信息安全管理體系審計主要依據(jù)GB/T 22080-2016/ISO/IEC 27001:2013，該標準采用正文加附錄的形式，正文提出了安全通用要求，附錄制定了具體的安全控制目標。組織聲稱符合ISO/IEC 27001時，對于正文中的章節(jié)都不能刪減，必須滿足全部要求；而附錄A中的參考控制目標和控制可以增加也可以刪除，即組織可以聲稱滿足部分控制目標也可以增加內容聲稱滿足更多的安全目標。在審核實踐中，ISO/IEC 27001的正文和附錄都是審核準則。

組織進行ISMS認證的目的可能是主動的，源于自身提高管理水平要求的目的，也可能是被動的，為了滿足市場招投標等要求的目的。在理解組織及其環(huán)境的條款審核中，首先要與領導層溝通，了解組織所處的內外部環(huán)境、組織進行ISMS認證的目的、組織關注的信息安全風險點，這有利于提高ISMS審核的有效性和針對性。組織所處的外部環(huán)境，主要從物理環(huán)境、網(wǎng)絡環(huán)境、政策法規(guī)對信息安全方面的要求、客戶和供方對信息安全的要求等方面去考慮；組織所處的內部環(huán)境，主要考慮技術資源、設備資源、網(wǎng)絡資源和人力資源等。在確定信息安全管理體系范圍的審核中，要確認組織的物理邊界、邏輯邊界和業(yè)務邊界是否清晰，是否考慮了相關方及其信息安全要求，并形成文件化信息。注意識別是否有不包含在ISMS體系范圍內的業(yè)務過程，這些業(yè)務過程對體系運行的有效性是否有影響。對于這點，一般的原則是獨立的業(yè)務過程可以不包含在ISMS體系內，但是行政、人力、財務這樣的支持部門的業(yè)務不支持分割在體系外，應當作為ISMS體系審核的對象。信息安全管理體系的審核中，關注體系建立運行的時間，體系運行的效果是否達到了預期。

在審核組織的信息安全管理角色、責任和權限時，ISMS沒有要求建立管理者代表，有關于設立風險責任人的要求。風險責任人指對風險責任有權利和責任的人或實體，有對組織的風險處置計劃和殘余風險接受進行批準的權限，一般都是公司的總經(jīng)理兼任風險責任人。審核中可查看信息安全風險責任權限分配表，或者是部門崗位責任說明書一類的文件，檢查文件中是否包含信息安全職責的內容。

ISMS要求實施具體的風險評估，風險評估報告是ISMS審核內容之一。ISMS體系建立的時間和風險評估的時間間隔不宜過長，否則風險評估的結果不能真實反映ISMS體系運行的真實有效性。ISO/IEC27001的風險管理流程是按照ISO31000的風險框架實施的，是ISMS審核的重要組成部分。最新的《ISO31000：2018 風險管理指南》著重在管理層面上提升企業(yè)對風險管理的重視程度。信息資產(chǎn)識別是按照組織的信息資產(chǎn)分類辦法規(guī)定識別的，典型的信息資產(chǎn)包括硬件、軟件、信息、數(shù)據(jù)、服務、人員、無形資產(chǎn)等。組織的重要資產(chǎn)價值通過完整性、機密性、可用性賦值加權計算和對比得到。風險處置結束后要進行風險再評價，通過風險處置方式的引入，風險可能會升高。如果風險責任人接受風險處置報告，風險評估就告一段落；如果不能接受，則要繼續(xù)進行風險評估。風險處置的原則是適度接受風險，根據(jù)組織可接受的處置成本，將殘余風險控制在可接受的范圍內。一般選擇較低的支出就可以減少大量風險的處置辦法。

    信息安全風險評估和處置過程的審核，重點審核信息安全風險責任人或信息安全風險主責部門，了解信息安全風險管控流程是否符合信息安全標準的要求，檢查受審核方實施信息安全風險管理程序的情況，包括信息安全風險評估計劃、風險管理程序、風險識別與評價表、風險接受準則、風險處置計劃等。ISO/IEC 27001:2013在信息安全風險識別方面不再強調以信息資產(chǎn)為導向，而是與 ISO31000更加保持一致，支持更多的方法識別進行風險識別，頭腦風暴法、情境分析法、檢查表法等都是有效的風險識別方法。                                

4   總結

為實現(xiàn)信息安全保障，組織應關注等級保護制度的要求，同時實施風險評估，必要時進行ISMS評估，從制度、管理和技術的不同角度入手，合理利用信息安全評估評測制度和相關技術，提升組織的信息安全水平。

參考文獻：

[1]譚良,羅訊,佘堃,周明天.CC與SSE-CMM的研究與比較[J].計算機應用研究,2006(05):38-40+43.

[2]王伏華,姚杰.風險評估與管理工具研究[J].電腦知識與技術,2011,7(30):7388-7389+7392.

[3]謝宗曉,李寬.通用準則(CC)與信息安全管理體系(ISMS)的比較分析[J].中國質量與標準導報,2018(07):28-32.

[4]郭琳. 基于ITBPM的校園網(wǎng)信息安全防護研究[D].陜西師范大學,2011.

[5]李成,曲振華.物聯(lián)網(wǎng)風險評估和等級保護淺析[J].現(xiàn)代電信科技,2014,44(10):32-35.

[6]鐘瑞瓊,姜靈敏,蔣吉頻,鄺麗敏.信息服務外包安全監(jiān)管對策研究[J].廣東農(nóng)工商職業(yè)技術學院學報,2012,28(02):73-77.   

(注：本文來自于《電子產(chǎn)品世界》2020年11月刊)