信息化的发展,信息安全问题越来越重要。本文首先介绍了信息系统安全风险评估的概念及其意义,然后分析了美国联邦信息系统安全防护的政策和措施,最后根据我国信息化建设及管理的现状,对我国信息系统安全评估框架以及风险评估的作用进行了探讨。
信息化是世界科学技术和社会发展的大趋势,是我国紧紧抓住并牢牢把握重要战略机遇期,积极应对日趋激烈的世界综合国力竞争的必然选择,也是全面建设小康社会、加快推进社会主义现代化的重大战略举措,必须毫不动摇地大力推进。随着国民经济和社会信息化进程的全面加快,国民经济和社会对信息和信息系统的依赖性越来越大,由此而产生的信息安全问题对国家安全的影响日益增加、日益突出,国家安全面临着新的挑战,对此必须高度重视,必须有充分的对策。党中央、国务院一贯高度重视信息安全问题,做出了一系列重要决策或部署。中央领导同志多次就加强信息安全保障工作做出重要指示。胡锦涛总书记要求“把信息安全放到至关重要的位置上,认真加以考虑和解决”。强调要从国家安全、社会稳定、经济发展的高度去认识信息安全问题的极端重要性。
正是在此背景下,2003年7月召开的国家信息化领导小组第三次会议上,讨论了《关于加强信息安全保障工作的意见》。2003年9月,中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(简称27号文)。27号文在分析了我国当前信息安全保障工作的基本状况的基础上,为进一步提高信息安全保障工作的能力和水平,维护公众利益和国家安全,促进信息化建设健康发展,提出了加强信息安全保障工作的总体要求和主要原则并对下一步信息安全保障工作做了全面部署。其中信息安全风险评估是信息安全保障的重要基础性工作之一。27号文的发布,在社会各界引起了不同程度的反响,掀起了有关信息安全风险评估国家政策和标准规范制定、信息安全风险评估理论和方法研究以及信息安全风险评估技术与工具开发的热潮。
本文首先介绍了信息系统安全风险评估的概念及其意义,然后分析了美国联邦信息系统安全防护的政策和措施,最后根据我国信息化建设及管理的现状,对我国信息系统安全评估框架以及风险评估的作用进行了探讨。
一、信息系统安全风险评估的概念
风险管理是管理者权衡保护措施的运行和经济成本与获得的收益之间关系的一个过程。这个过程并不是IT行业所独有的,实际上它遍及我们日常生活中需要做出决定的任何事情。进行风险管理的最终目的就是要在这种平衡关系下,将风险最小化,这也是在信息系统生命周期过程中需要实施信息安全风险管理的根本原因。所有与安全性相关的活动都是信息安全风险管理的组成部分。可以说,信息安全风险管理贯穿于系统生命周期的整个过程,即初始阶段、开发/获取阶段、实施阶段、运行/维护阶段。
信息系统安全风险评估则是对系统进行信息安全风险管理的基础,也就是系统的使用单位或组织判定在系统的整个生命周期中有关风险级别的过程。这个过程的结果是残留风险和这个风险是否达到可接受水平的一个明确界定,或者是一个是否应当实施额外的安全控制以进一步降低风险的结论。
安全风险定义为有害事件发生的可能性和该事件可能对组织的使命所产生影响的函数。为了确定这种可能性,需要对系统的威胁以及由此表现出来的脆弱性进行分析。影响则是按照系统在单位任务实施中的重要程度来确定的。具体的方法由图1给出。
二、美国联邦信息系统安全防护政策及措施
自9.11事件以来,美国政府高度重视信息安全问题。于2002年通过的《联邦信息安全管理法案》(FISMA)规定必须对联邦政府信息系统进行安全评估并备案,为美国政府机构信息系统改善信息安全问题设定了目标,也被称作美国电子政务法案。FISMA为美国联邦政府信息安全设定了目标,却没有规定如何实现这些目标。为此,美国国家技术与标准局(NIST)负责为实现这些目标制定最低的安全要求,NIST因此专门启动了信息系统安全认证认可计划,该计划近期已更名为信息系统安全计划。该计划分为两个阶段,在第一阶段将制定如下的标准和指南:联邦信息和信息系统的分类;联邦信息系统选择和规定安全控制;验证联邦信息系统安全控制的有效性;在第二阶段,将在美国国内建立一个国家级的,由经过认可的机构组成的网络,使这些机构能基于NIST的标准和指南为联邦政府提供经济高效的、高质量的安全评估服务。
为此,NIST定义了总体的信息系统安全框架图,如图2所示:
从图中可见,新建或再建的信息系统必须实施定期的风险评估(SP800-30),以分析信息系统面临的威胁、信息系统存在的脆弱性,信息系统可能遇到的安全事件损失及由此导致的风险;同时,风险评估将为信息系统确定其安全需求;随后,应根据风险评估中确定的信息系统在机密性、完整性和可用性方面存在的风险,确定信息系统的安全类别和等级(FIPS199);针对信息系统的安全类别和等级,将为其选择有效的安全控制(SP800-53),以实现合适的安全等级(SP800-60);上述过程确定的安全需求、安全控制均将列入信息系统的安全计划(SP800-18)并得到实施(SP800-53)。此后,应定期通过安全测试和评估来衡量信息系统中安全控制的有效性,即信息系统安全认证工作(SP800-37);最终,基于安全控制的有效性和残余风险值,由联邦机构的高级官员决定是否授权信息系统投入运行,即信息系统的安全认可工作(SP800-37)。而且由于信息技术的发展、业务需求的变革,外部环境的变化均可能使信息系统的安全态势发生改变,因此上述过程是动态的,且需定期重复。
从上可见,美国联邦政府信息系统的安全工作是在整个信息系统的生命周期中进行的,而整个安全工作的关键则是信息系统安全认证与认可(它包含了信息系统安全评估工作),它是整个信息系统安全工作的关键控制点。
三、我国信息系统安全风险评估工作的思考
2004年1月9日,黄菊关于“全面加强信息安全保障工作,促进信息化健康发展”的讲话中,对我国的信息安全风险评估工作做了很好的定位:“抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范,并组织力量提供技术支持。根据风险评估结果,进行相应等级的安全建设和管理,特别是对涉及国家机密的信息系统,要按照党和国家有关保密规定进行保护。对涉及国计民生的重要信息系统,要进行必要的信息安全检查”。对我国信息系统安全风险评估工作(特别是政府部门信息系统安全风险评估工作)的部署,要参照黄菊讲话的精神进行。而且信息系统安全风险评估应当结合整个信息系统的安全评估体系来考虑。
信息系统安全评估和信息安全保障一样是个复杂的问题,其复杂性不仅来源于信息系统安全本身,更来源于安全评估中涉及的角色、责任、行政管理及流程问题。
目前,信息系统安全评估类型大致有以下几种:
*安全风险评估
*安全检查
*系统安全保障等级评估
*安全认证和认可
3.1安全风险评估
安全风险评估是应用比较广泛的一种安全评估方法,是系统风险管理的前期活动。根据风险评估实施方的不同分为自评估和他评估服务两类。自评估是信息系统所有者对自己系统所进行的安全风险评估,而他评估是包括第二方商业机构或第三方中立机构所提供的安全风险服务。该方法采用定性或定量的方法对信息系统存在的安全风险进行分析和度量,不过该方法得出结果-风险值的高低并不直接等同于系统安全程度的高低,而且风险分析方法及活动还依赖于经验数据和评估人员或专家的实际经验。虽然安全风险评估的方法学还有很多问题没有定论,但安全风险评估作为评估系统安全的一种基本方法已被广为接受,其它几种信息系统安全评估,如信息系统保障等级安全评估和认证认可,均用到了安全风险评估的思想,将安全风险评估作为评估工作的一个重要环节,并把是否实施过安全风险评估视为评估系统安全时的一项必要指标。
由于自评估是自我的安全评价,因此在涉及到一些重大问题时,其客观性、有效性和公正性也难以保证。而第二方的安全风险评估则大多只适用于商业性系统,对于涉及国家机密、国家国计民生及重要基础设施等关键信息系统特别是大信息系统,则不适宜采用第二方商业性质的安全风险评估。第三方的安全风险评估,由于其中立性,公正、公平、科学、客观,而且通常具有政府背景和权威性,因此其应用范围最为广阔。
3.2安全检查
安全检查是信息系统的上级主管部门或国家相关的职能部门对其所进行的一种带有行政管理性质的安全监督和检查,偏重于安全管理方面,最终也对检查对象安全状况给出相应的评判。通常这些系统是涉及国家信息安全秘密的信息系统或是涉及国计民生的重要信息系统。
3.3系统安全保障等级评估
系统安全保障等级评估是由一个具有权威性的、独立的的第三方机构来进行,该机构具有评估能力的专门技术部门或专业实验室来进行。此评估方法是在某个时间点对系统此刻安全状态的评估;评估时间点选择有两类,一、系统建设完成并即将投入运行时。此时的评估结果将作为安全认证、行政许可的依据和前提,系统所有者的主管机构然后基于安全认证和行政许可的结果批准系统投入运行;二、系统运行阶段。在系统运行阶段应要求进行强制性定期再评估(例如每一年或两年一次)或系统发生重大变更时的再评估。系统安全保障等级评估包括对信息系统安全的技术和非技术环节的安全评估,并最终给出信息系统安全保障能力的等级和系统安全当前状态的评价。它是信息系统进行安全认证与认可的前期工作。它综合了当前信息安全领域关于安全技术、安全管理及安全工程过程等方面的最新国际标准进行,是一种非常全面、深入、细致的安全评估。
该方式安全评估的适用范围较广,既能服务于一般的商业性信息系统,也能服务于涉及国家机密、国家重要基础设施等关键信息系统特别是大信息系统中。
3.4安全认证与认可
安全认证与认可是以系统安全保障等级评估为依据和基础的,它由一个具有权威性的、独立的、公正公平的第三方认证来对信息系统进行安全认证,并由信息系统的主管机构方来对该认证结果进行认可的一个安全评估方式。安全认证与认可的目的是批准确保符合安全要求的信息系统投入正式运行,其结论有3种:全认可(允许系统投入运行)、临时认可(允许系统有条件地暂时投入运行)、拒绝认可(不允许系统投入运行)。因此,安全认证与认可通常是针对安全等级较高的涉及国计民生或政府机构的关键信息系统所进行。
综上可见,以上这几种信息安全评估类型主要的区分方式在于其评估方的不同,安全风险自评估是信息系统所有者自己进行的评估,安全检查是信息系统所有者上级主观部门对其进行的评估,第二方所进行安全风险评估则是第二方商业服务机构提供的安全评估服务,而系统安全保障等级评估和安全认证与认可是由客观公正公平科学的第三方所进行的评估;从这几种评估的关系来看,安全风险评估通常是系统安全保障等级评估的基础和必要条件,而系统安全保障等级评估则是安全检查和安全认证与认可的基础和依据。
因此,可以设计如图3所示的信息系统安全评估体制,风险评估具有基础性作用,风险评估的结果作为对信息系统进行分级的依据,并直接导出信息系统安全需求,为信息系统安全建设指明方向。
四、小结
随着信息化建设的快速推进,信息安全问题的重要性及紧迫性日益凸现。信息系统安全风险评估工作的重要性越来越被人们所认识。本文从制定国家信息系统安全评估体系的角度分析了系统安全风险评估的作用。