信息安全测评浅析
一次性进群,长期免费索取教程,没有付费教程。
教程列表见微信公众号底部菜单
进微信群回复公众号:微信群;QQ群:16004488
微信公众号:计算机与网络安全
ID:Computer-network
一、安全测评在网络安全保障体系中的作用
随着信息技术的迅猛发展,世界各国的信息化进程急剧加快。信息与网络空间给各国的政治、经济、文化、科技、军事和社会管理等各个方面都注入了新的活力。人们在享受信息化带来的众多好处的同时,也面临着日益突出的信息安全与保密问题。
事实上,信息安全问题一直伴随着人类社会发展。在政治、军事斗争、商业竞争和个人隐私保护等活动中,人们常常希望他人不能获知或篡改重要信息,或者需要查验所获得的信息的可信性。在网络环境中,国家秘密和商业秘密的保护,特别是政府上网后对涉密信息和敏感信息的保护,网上各种行为者的身份确认与权责利的确认,高度网络化的业务(商务、政务等)信息系统的正常运行,网络银行及电子商务中的安全支付与结算,金融机构的数据保护与管理系统的反欺诈,将成为社会各领域关注的焦点,甚至对社会稳定和国家安全带来重要影响。
信息安全测评对信息安全模块、产品或信息系统的安全性进行验证、测试、评价和定级,目的在于规范它们的安全特性。其作用在于通过验证、测试、评估信息模块/产品/系统的各种关键安全功能、性能以及运维使用情况,发现模块、产品或者系统在设计、研发、生产、集成、建设、运维、应用过程中存在的信息安全风险、发生或可能发生的信息安全问题,鉴定产品质量,监控系统行为,警示安全风险,保障网络与信息安全。
(一)信息安全概述
1、信息安全的属性
信息安全是指保障国家、机构、个人的信息空间、信息载体和信息资源不受来自内外各种形式的危险、威胁、侵害和误导的外在状态和方式及内在主体感受。信息技术的发展也促使信息安全的内涵不断延伸,可以理解为信息系统抵御意外事件或恶意行为的能力,这些事件和行为将会危及存储、处理或传输的数据或由这些系统所提供服务的机密性、完整性、可用性、不可否认性、真实性和可控性,这6个属性是信息安全的基本属性。
机密性:是指信息不被非授权解析,信息系统不被非授权使用的特性。保证数据即使被捕获也不会被解析,保证信息系统即使能够被访问也不能够越权访问与其身份不相符的信息。
完整性:是指信息不被篡改的特性。确保网络中所传播的信息不被篡改或任何被篡改了的信息都可以被发现。
可用性:是指信息与信息系统在任何情况下都能够在满足基本需求的前提下被使用的特性。这一特性存在于物理安全、运行安全层面上。确保基础信息网络与重要信息系统的正常运行能力,包括保障信息的正常传递,保证信息系统正常提供服务等。
不可否认性:是指能够保证信息系统的操作者或信息的处理者不能否认其行为或处理结果的特性。这可以防止参与某次操作或通信的一方事后否认该事件曾发生过。
真实性:是指信息系统在交互运行中确保并确认信息的来源以及信息发布者的真实可信及不可否认的特性。保证交互双方身份的真实可信以及交互信息及其来源的真实可信。
可控性:是指在信息系统中具备对信息流的监测与控制特性。互联网上针对特定信息和信息流的主动监测、过滤、限制、阻断等控制能力。
2、信息安全的多角度分析
信息安全的问题既可以从客观存在的角度来看,也可以从主观意识的角度来看。从客观的角度看,所看到的是技术的层面;从主观的角度看,所看到的则是社会的层面。
信息安全从技术层面上看可以分为4个方面:物理安全、运行安全、数据安全和内容安全。不同的方面在客观上反映了技术系统的不同安全属性,也决定了信息安全技术不同的表现形式。
(1)物理安全
物理安全是围绕网络与信息系统的物理装备及其有关信息的安全。主要涉及信息及信息系统的电磁辐射、抗恶劣工作环境等方面的问题。面对的威胁主要有自然灾害、电磁泄露、通信干扰等。主要的保护方式有数据和系统备份、电磁屏蔽、抗干扰、容错等。
(2)运行安全
运行安全是围绕网络与信息系统的运行过程和运行状态的安全。主要涉及信息系统的正常运行与有效的访问控制等方面的问题。面对的威胁包括网络攻击、网络病毒、网络阻塞、系统安全漏洞利用等。主要的保护方式有访问控制、病毒防治、应急响应、风险分析、漏洞扫描、入侵检测、系统加固、安全审计等。
(3)数据安全
数据安全是围绕数据(信息)的生成、处理、传输、存储等环节中的安全。主要涉及数据(信息)的泄密、破坏、伪造、否认等方面的问题。面对的威胁主要包括对数据(信息)的窃取、篡改、冒充、抵赖、破译、越权访问等。主要的保护方式有加密、认证、访问控制、鉴别、签名等。
(4)内容安全
内容安全是围绕非授权信息在网络上进行传播的安全。主要涉及对传播信息的有效控制。面对的威胁主要包括通过网络迅速传播有害信息、制造恶意舆论等。主要的保护方式有信息内容的监测、过滤等。
信息安全从社会层面的角度来看,则反映在网络空间中的舆论文化、社会行为与技术环境3个方面。
(1)舆论文化
互联网的高度开放性,使网络信息得以迅速而广泛地传播,且难以控制,使传统的国家舆论管制的平衡被轻易打破,进而冲击着国家安全。境内外敌对势力、民族分裂组织利用信息网络,不断散布谣言、制造混乱、推行与我国传统道德相违背的价值观。有害信息的失控会在意识形态、道德文化等方面造成严重后果,导致民族凝聚力下降和社会混乱,直接影响到国家现行制度和国家政权的稳固。
(2)社会行为
有意识地利用或针对信息及信息系统进行违法犯罪的行为,包括网络窃(泄)密、散播病毒、信息诈骗、为信息系统设置后门、攻击各种信息系统等违法犯罪行为;控制或致瘫基础信息网络和重要信息系统的网络恐怖行为;国家间的对抗行为——信息网络战。
(3)技术环境
由于信息系统自身存在的安全隐患,而难以承受所面临的网络攻击,或不能在异常状态下运行。主要包括系统自身固有的技术脆弱性和安全功能不足;构成系统的核心技术、关键装备缺乏自主可控性;对系统的宏观与微观管理的技术能力薄弱等。
3、信息安全的威胁
有威胁才会有安全问题,信息安全防护是针对威胁制定的对策。信息安全威胁的产生是社会发展到一定阶段的产物,其产生的根本原因是不法分子的私欲,当然还有其他直接、间接的原因。信息安全的威胁主要有以下几种。
(1)来源威胁
现在几乎所有的CPU、操作系统、外设、网络系统甚至一些加密解密工具都来源于国外,这就相当于自己的秘密掌握在别人手里一样,不可能不受制于人。
(2)传输渠道威胁
信息要经过有线或无线的通道来进行传输。信息在传输的过程中可能被窃听、篡改、伪造。信息的安全受到威胁,合法用户的权益也受到侵害。信息的传输还要经过有形和无形的介质,由于外界环境的因素会使信号减弱、失真、丢失,因此传输的信号被严重破坏。
(3)设备故障威胁
设备的故障会导致通信中断。在整个信息系统中,硬件设备非常多,因而故障率也非常高。
(4)网络人员威胁
主要体现在2个方面:(1)软件开发者在开发的软件中还有残留错误,往往这些埋藏很深的错误会导致不可挽回的损失;(2)网络管理员的文化素质和人品素质影响着网络安全。网络管理员是最直接接触网络机密的人,他们有机会窃取用户的密码以及其他秘密资料,并且他们的行为可能会破坏网络的完整性,是对信息安全最直接的威胁。
(5)所处环境威胁
信息安全立法滞后的特点为黑客们的违法犯罪行为提供了可乘之机,而且由于存在各自的国家利益,各国在联合打击国际黑客犯罪方面的合作力度不够。信息安全技术本身的发展过程中还有很多不成熟的地方,这些地方经常被不法分子所利用。
(6)病毒威胁
计算机病毒成为严重危害。近来,通过网络传播的计算机病毒越来越多,产生的危害性也越来越大。防毒软件具有一定的滞后性,不能产生防患于未然的效果。
(二)信息安全保障体系
1、信息安全保障
网络安全是信息安全的重要组成部分,其概念几乎与信息安全同时出现,因此网络安全保障与信息安全保障密不可分。
1996年,美国国防部在Do D指令5-3600.1(Do DD5-3600.1)中首次给出了“信息保障(IA)”的标准化定义:为了确保信息及信息系统的可用性、完整性、身份鉴别性和不可否认性而采取的保护和保卫信息及信息系统的信息操作,包括以保护、检测和反应能力为信息系统的恢复提供保障。
西方国家对“信息保障”的系统性研究始于1995年。Shirey在《网络管理数据的安全需求》一文中将“网络安全管理”定义为:通过监视和控制安全服务和机制、分布安全信息以及报告安全事件来实现安全策略。与网络安全管理有关的功能有:对资源的访问控制、安全信息的处理、实现以及管理和控制加密过程。1996年,Longley和Shain在《计算机与数据安全的标准概念与术语字典》一书中定义“自动化信息系统安全”:“为系统和数据处理提供一个可接受保护级别所需的全部安全措施”。Dobry和Schanken在《分布式系统安全》一文中明确阐明了信息安全和信息安全保障的区别,信息安全是一个产品或者系统的一个功能组件的一个特征,而信息安全保障指的是开发和测试的过程、开发环境以及支持产品和系统操作的一种质量。Longley和Shain综合界定信息安全保障:“为确保一个自动信息系统安全特征和结构能够得到准确的调整并执行安全策略而采取的措施”。还有学者从更加广泛的意义上对信息保障给出了定义,信息保障是一种工程规范,它可以提供一种全面且系统的方法以确保个人自动化系统与其他多个自动化系统动态组合在一起的一种(或多种)运行环境,并赋予其特定的功能性、安全性和可靠性。
我国最初于1997年由国务院信息化工作领导小组办公室提出并实施了“国际互联网安全研究项目计划”,该计划重点在于相关技术产品的研发。1998年以后,各有关部门从各自职能出发推出了相应计划,如保密部门的保密技术发展、公安部门的公共信息网络安全监察体系、国家安全部门的信息安全测评认证体系,以及科技部启动的“863”信息安全专项、国家计委启动的信息安全产业化示范项目等。国家正式提出了建立国家信息安全保障体系的战略目标,这一目标的提出,标志着我国信息安全事业将由分散的、局部的向综合的、总体的方向发展,标志着信息安全事业由单纯注重技术产品到同时注重标准、法规、管理和专门人员素质能力要求的方向发展。这一趋势不仅反映了信息化发展的客观规律,也反映了世界各国在信息化发展和信息安全保障建设方面的一致性。目前,我国各有关主管部门和科技界、管理界尚未就安全保障体系的基本概念、模型、构成和实现方法、基础指标等提出相应思路与方案,达成共识。
2、信息安全保障体系模型
目前,国际上普遍认为信息安全应该是一个动态的、不断完善的过程,并做了大量研究工作,产生了各类动态安全保障体系模型,如基于时间的PDR模型、P2DR模型、PDRR模型、全网动态安全体系APPDRR模型、PADIMEE模型以及我国的WPDRRC 模型等。
(1)PDR模型
PDR模型包含3个主要部分:防护、检测和响应。防护、检测和响应组成了一个所谓的“完整、动态”的安全循环,如下图所示。
PDR模型
防护是主动防御的部分,系统的安全最终是依靠防护来实现的。防护的对象涵盖了系统的全部,防护手段也因此多种多样。
检测是动态响应和加强防护的依据。通过不间断地检测网络和系统,发现威胁。
响应是主动防御的实现。根据策略以及检测到的情况进行动态地调整防护,达到主动防御的目的。
(2)P2DR模型
P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型,也是动态安全模型的雏形,包括4个主要部分:安全策略、防护、检测和响应。如下图所示。
P2DR安全模型
策略:根据风险分析产生的安全策略描述系统中哪些资源需要得到保护,以及如何实现对它们的保护等。策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。网络安全策略一般包括总体安全策略和具体安全策略2个部分。
防护:通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检查来发现可能存在的系统脆弱性;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。
检测:是动态响应和加强防护的依据,通过不断地检测和监控网络系统,发现新的威胁和弱点,通过循环反馈及时做出有效的响应。当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。
响应:系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
P2DR模型是在整体安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整、动态的安全循环,在安全策略的指导下保证信息系统的安全。
该理论的最基本原理认为“信息安全相关的所有活动(不管是攻击行为、防护行为、检测行为和响应行为等)都要消耗时间,因此可以用时间来衡量一个体系的安全性和安全能力”。
(3)PDRR模型
PDRR(Protect Detect React Restore)模型中,安全的概念已经从信息安全扩展到了信息保障,信息保障内涵已超出传统的信息安全保密,是保护、检测、反应、恢复的有机结合,被称为PDRR模型,如下图所示。
PDRR模型
PDRR模型把信息的安全保护作为基础,将保护视为活动过程,要用检测手段来发现安全漏洞,及时更正;同时采用应急响应措施对付各种入侵;在系统被入侵后,要采取相应的措施将系统恢复到正常状态,这样使信息的安全得到全方位的保障。该模型强调的是自动故障恢复能力。
(4)APPDRR模型
网络安全的动态特性在PDR模型中得到了一定程度的体现,其中,主要是通过入侵的检测和响应完成网络安全的动态防护,但PDR模型不能描述网络安全的动态螺旋上升过程。为了使PDR模型能够贴切地描述网络安全的本质规律,人们对PDR模型进行了修正和补充,在此基础上提出了APPDRR模型。APPDRR模型认为网络安全由风险评估、安全策略、系统防护、动态检测实时响应和灾难恢复6个部分完成,如下图所示。
APPDRR模型
根据APPDRR模型,网络安全的第一个重要环节是风险评估,通过风险评估,掌握网络安全面临的风险信息,进而采取必要的处置措施,使信息组织的网络安全水平呈现动态螺旋上升的趋势。网络安全策略是APPDRR模型的第二个重要环节,起着承上启下的作用:一方面,安全策略应当随着风险评估的结果和安全需求的变化做相应的更新;另一方面,安全策略在整个网络安全工作中处于原则性的指导地位,其后的检测、响应诸环节都应在安全策略的基础上展开。系统防护是安全模型中的第三个环节,体现了网络安全的静态防护措施。接下来是动态检测、实时响应、灾难恢复三环节,体现了安全动态防护和安全入侵、安全威胁“短兵相接”的对抗性特征。
APPDRR模型还隐含了网络安全的相对性和动态螺旋上升的过程,即不存在百分之百静态的网络安全,网络安全表现为一个不断改进的过程。通过风险评估、安全策略、系统防护、动态检测、实时响应和灾难恢复6个环节的循环流动,网络安全逐渐地得以完善和提高,从而实现保护网络资源的网络安全目标。
(5)PADIMEE模型
PADIMEE模型通过对客户的技术和业务需求的分析以及对客户信息安全的“生命周期”考虑,在7个核心方面体现信息系统安全的持续循环,包含以下几个主要部分:安全策略、安全评估、设计/方案、实施/实现、管理/监控、紧急响应和安全教育,如下图所示。
PADIMEE模型
该模型的核心思想是以工程方式进行信息安全工作,更强调管理以及安全建设过程中的人为因素。根据PADIMEE模型,网络安全需求主要在以下5个方面得以体过程中的人为因素。根据PADIMEE模型,网络安全需求主要在以下5个方面得以体现。
制订网络安全策略反映了组织的总体网络安全需求。
通过网络安全评估,提出网络安全需求,从而更加合理、有效地组织网络安全工作。
在新系统、新项目的设计和实现中,应该充分地分析可能引致的网络安全需求,并采取相应的措施。在这一阶段开始网络安全工作,往往能够收到“事半功倍”的效果。
管理/监控也是网络安全实现的重要环节。其中,既包括了动态检测内容,也涵盖了安全管理的要素。通过“管理/监控”环节,并辅以必要的静态安全防护措施,可以满足特定的网络安全需求,从而使既定的网络安全目标得以实现。
紧急响应是网络安全的最后一道防线。由于网络安全的相对性,采取的所有安全措施实际上都是将安全工作的收益(以可能导致的损失来计量)和采取安全措施的成本相配比进行选择、决策的结果。基于这样的考虑,在网络安全工程实现模型中设置一道这样的最后防线有着极为重要的意义。通过合理地选择紧急响应措施,可以做到以最小的代价换取最大的收益,从而减弱乃至消除安全事件的不利影响,有助于实现信息组织的网络安全目标。
(6)WPDRRC模型
WPDRRC安全模型是我国在PDR模型、P2DR模型及PDRR等模型的基础上提出的适合我国国情的网络动态安全模型,在PDRR模型的前后增加了预警和反击功能,如下图所示。
WPDRRC模型
WPDRRC模型有6个环节和三大要素。6个环节包括预警、保护、检测、响应、恢复和反击,它们具有较强的时序性和动态性,能够较好地反映出信息系统安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。三大要素包括人员、策略和技术,人员是核心,策略是桥梁,技术是保证。三大要素落实在WPDRRC模型6个环节的各个方面,将安全策略变为安全现实。
3、我国信息安全保障工作
(1)信息安全保障重要管理制度——信息安全等级保护
我国信息安全保障工作要求坚持“积极防御、综合防范”的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。信息安全保障体系的主要内容包括:
信息安全等级保护制度;
加强以密码技术为基础的信息保护和网络信任体系建设;
建设和完善信息安全监控体系;
重视信息安全应急处理工作;
加强信息安全技术研究开发,推进信息安全产业发展;
加强信息安全法制建设和标准化建设;
加快信息安全人才培养,增强全民信息安全意识;
保证信息安全资金到位;
加强对信息安全工作的领导,建立健全信息安全责任制。
作为我国信息安全保障工作的重要内容,1994年,根据《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)的要求,公安部牵头开始了信息安全等级保护制度建设,经过十多年的调研、建设、试点,于2007年,开始全面实施信息系统安全等级保护工作。
国家信息安全等级保护坚持“自主定级、自主保护”的原则,对信息系统分等级进行保护,按标准进行建设、管理和监督。信息安全等级保护制度遵循以下基本原则:明确责任,共同保护;依照标准,自行保护;同步建设,动态调整;指导监督,重点保护。
信息安全等级保护就是分等级保护、分等级监管,是将全国的信息系统(包括网络)按照重要性和遭受损坏后的危害性分成5个安全保护等级(从第一级到第五级,逐级增高);等级确定后,第二级(含)以上信息系统到公安机关备案,公安机关对备案材料和定级准确性进行审核,审核合格后颁发备案证明;备案单位根据信息系统安全等级,按照国家标准开展安全建设整改,建设安全设施,落实安全措施,落实安全责任,建立和落实安全管理制度;备案单位选择符合国家规定条件的测评机构开展等级测评;公安机关对第二级信息系统进行指导,对第三、四级信息系统定期开展监督、检查。
(2)信息安全保障工作研究——“一二三四五”国家信息安全保障体系
国家信息安全保障体系包括积极防御、综合防范等多个方面的多个原则。因此,要建立和完善信息安全等级保护制度就要加强和建设多个层面。根据我国信息技术和信息安全技术的发展和应用现状,中国工程院院士方滨兴指出,当前国家信息安全的保障体系需要围绕以下细节全面建设,具体为:加强密码技术的开发与应用,建设网络信息安全体系,加强网络信息安全风险评估工作,建设和完善信息安全监控体系,高度重视信息安全应急处置工作,重视灾难备份建设。在此基础上,方滨兴院士提出我国的信息安全保障体系可以从以下5个方面来开展建设。
① 一个机制
所谓的一个机制,是指一个完善长效的机制,一方面体现在组织协调性上,另一方面体现在支撑力度上。这需要宏观层面,包括主管部门予以支持。
② 两个原则
第一个原则是积极防御、综合防范。综合表现在整个产业的协调发展,是网络信息安全与信息化的关系。积极有多种含义,虽然并不提倡主动攻击,但是掌握攻击技术是信息对抗所需要的。真正的积极是指一旦出现一个新的技术,就立即要想到研究这个新技术会带来什么安全性问题,以及如何处理这样的安全性问题。另外,技术解决不了的还得靠管理,反之管理做不了的也得靠技术。
第二个原则是立足国情,主要是强调综合平衡安全成本与风险。在这里面需要强调一点就是确保重点,如等级保护就是根据信息系统的重要性来定级,从而施加适当强度的保护。此外,在发展的时候必须要考虑到涉及安全问题时的应对措施,安全是为了促进发展,而不是限制发展。
③ 三个要素
三个要素包括人、管理、技术。
从人才角度来说,强调两个方面。一个方面是培养,培养所需的人、才、水平,包括学历教育、专业研究人员,以及学科层面的人才培养。此外,还包括技能知识培训和网络教育。另一方面,建立能够吸引和使用高素质的信息安全管理和技术人才的机制。
互联网的管理可以涵盖为:法律保障、行政监管、行业自律、技术支撑。管理可以分为三级措施:第一级是国家层面的方针、政策和法规;第二级是标准,标准是从技术角度、管理角度进行引导,标准解决怎么做,法规解决做什么的问题;第三级即要求各个管理机构制定切实有效的规章、制度、策略、措施。
技术即信息安全技术,且必须可信可控。在研究新技术、新业务时需要政策导向和市场机制,最终的目标就是信息安全技术以自主知识产权为主。
④ 四个核心能力
四个核心能力,主要是信息安全的法律保障能力、信息安全的基础支撑能力、网络舆情宣传和驾驭的能力,以及国际信息安全的影响力。
法律保障能力是以信息安全为纲,围绕信息安全法这个核心法部署一系列的工作,包括制订相应的制度。
基础支撑能力是指国家要有一系列相应的基础支撑体系,如数字证书、计算机网络应急响应体系、灾难恢复体系等,基础支撑能力必须随着技术和应用的发展而不断改进增强。
舆情驾驭能力关注三个如何(如何引导网络舆论,如何对网上的热点话题做访问,如何提高处置网络的能力),这“三个如何”是舆情驾驭能力的标志。舆情驾驭的具体目标为:首先,要能够发现和获取;然后,要有分析和引导的能力;最后,要有预警和处理的能力。
信息安全国际影响力。只有在信息安全较量中才能体现出一个国家的信息安全影响力。所以需要发挥信息安全整体资源的优势,其中包括对有害信息的应对能力、技术手段。
⑤ 五项工作
五项工作包括:加强风险评估工作,建立和完善等级保护制度;加强密码技术的开发利用,建设网络信任体系;建设和完善信息安全监控体系;高度重视信息安全应急处置工作;灾难备份。
第一,风险评估和等级保护,两者相辅相成需要一体化考虑。风险评估是出发点,等级划分是判断点,安全控制是落脚点,所以风险评估和等级保护这两件事是不可分的,只有知道了系统的脆弱性有多大,等级保护才能行之有效。
第二,网络信任体系主要依赖密码技术,必须强调密钥体系的融入。
第三,网络监控系统强调国家对各个运营单位都要求有相应的信息监控系统,具有处理信息的能力。
第四,应急响应体系要求在信息安全方面有国家级的应急响应预案,并更好地贯彻实施。
第五,灾难备份最重要的目标是力保恢复,其次是及时发现,接下来是快速响应。
4、国外信息安全保障工作
当今,发达国家的信息安全保障工作起步较早,已建成了多个信息安全保障体系,其中具有代表性的是美国提出的信息保障技术框架(IATF)和国际标准化组织(ISO)提出的ISO 27000信息安全管理体系。
(1)信息保障技术框架
信息保障技术框架是关于美国政府和工业界的信息与信息基础设施安全保护方面的技术指南。信息基础设施的用途是处理、存储以及传输信息,这些信息对各组织的运作极为重要,因此需要通过“信息保障”(IA)来完成对这些信息的保护。IATF给出当今信息基础设施的全面安全需求。
IATF围绕“深度防御策略(Defense-in-Depth Strategy)”的4个重点技术领域,定义了对系统进行信息保障的过程以及系统中硬件和软件的安全要求,从而对信息基础设施做到多层的防护。
为了实现信息保障,应全面考虑深度防御策略的3个层面——人、技术和操作,如下表所示。
深度防御策略的层面
IATF重在技术方面。IATF的目标是提升对信息保障技术的意识,揭示信息系统用户的IA需求,对IA问题的解决方案提供指导。
IATF一开始就对信息基础设施、信息基础设施的边界、信息保障框架的范围、威胁的本质进行概括和定义。
IATF从网络和基础设施防御、区域边界防御、计算环境防御和支持性基础设施这4个重点技术领域描述信息保障技术。IATF认为对信息基础设施的攻击可划分为五类——被动攻击、主动攻击、物理临近攻击、内部人员攻击和软硬件装配、分发攻击,如下表所示。
攻击分类
(2)ISO 27000信息安全管理体系
ISO/IEC 27000标准是国际标准化组织专门为信息安全管理体系建立的一系列相关标准的总称,已经预留了ISO/IEC 27000到ISO/IEC 27059共60个标准号,基本可以分为四部分:第一部分是要求和支持性指南,包括ISO/IEC 27000到ISO/IEC 27005,是信息安全管理体系的基础和基本要求;第二部分是有关认证认可和审核的指南,包括 ISO/IEC 27006 到ISO/IEC 27008,面向认证机构和审核人员;第三部分是面向专门行业,如金融业、电信业的信息安全管理要求,或者专门应用于某个具体的安全域,如数字证据、业务连续性方面;第四部分是由ISO技术委员会TC 215单独制定的(而非和IEC共同制定)应用于健康行业的标准ISO 27799,以及一些处于研究阶段并以新项目提案方式体现的成果,如供应链安全、存储安全等。
依据ISO/IEC 27000 系列标准进行风险评估的核心思想是:信息资产的风险值主要由资产价值、漏洞值以及薄弱点值3个因素决定,评估过程首先由信息资产评估、漏洞评估和薄弱点评估确定资产价值、资产漏洞值和资产薄弱点值,综合考虑已有控制措施等因素后计算得出风险值。
ISO 27000标准是建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准,它采用PDCA (策划—实施—检查—处置)的过程方法来建立、实施、运行、监控和评审,维持和提高组织的信息安全,保证ISMS业绩的持续改进。ISO/IEC 27002:2005包含了信息安全管理的最佳实践规则,共11个大类、39个控制目标、133项控制措施,每一个安全控制覆盖了不同的主题和区域,可供信息安全管理体系实施者参考使用,几乎涉及了信息安全的方方面面,保证了信息安全管理的先进性和完整性,有助于ISO 27000从保密性、完整性、可用性这3个信息安全特性来保护组织的信息资产。
(三)安全测评的作用
测评认证是现代质量认证制度的重要内容,其实质是由一个中立的权威机构,通过科学、规范、公正的测试和评估向消费者、购买者即需方,证实生产者或供方所提供的产品和服务,符合公开、客观和先进的标准。具体而言,测评认证的对象是产品、系统、过程或服务;它的依据是国家标准、行业标准或认证机构确认的技术规范;它的方法是对产品进行抽样测试检验和对供方的质量保证能力即质量体系进行检查评审以及事后定期监督;它的性质是由具有检验技术能力和政府授权认证资格的权威机构,按照严格程序进行的科学公正的评价活动;它的表示方式是颁发认证证书和认证标志。
由于信息技术固有的敏感性和特殊性,信息产品是否合规,安全产品是否有效,信息系统是否安全,信息化基础设施是否具备抵御重大威胁的能力,这些都成为国家、行业、企事业单位各方需要科学验证的问题。为此,各国政府纷纷采取颁布标准,以测评和认证的方式,对信息技术产品的研制、生产、销售、使用和进出口实行严格管理,对信息系统和信息化基础设施的规划、设计、建设、运营、废弃过程进行安全审核。美国将信息安全列为其国家安全的重要内容之一,由美国国家安全局在美国国家标准技术局的支持下,负责信息安全产品的测评认证工作。其他西方国家也纷纷效仿,使信息安全的测评认证成为信息化进程中的一个重要领域。
安全测评通过在测评对象全生命周期中,对测评对象所采取的安全防护、安全检测、安全反应及安全恢复措施等安全保障的各个方面,采用系统安全工程方法,遵循特定的程序和模式,实施一整套结构化的测试、评估技术,以完成对信息化基础设施、信息安全基础设施、信息安全保障技术和信息技术产品所提供的安全保障有效性的验证。安全测评是国家和社会对信息安全保障体系进行质量监督与技术控制的有效方式。
二、安全测评基本概念
(一)国内外信息安全测评发展状况
信息安全测评不是简单的某个信息安全特性的分析与测试,而是通过综合测评获得具有系统性和权威性的结论,对信息安全产品的设计研发、系统集成、用户采购等有指导作用。因此,信息安全测评技术就是能够系统、客观地验证、测试并评价信息安全产品和信息系统安全及其安全程度的技术,主要由验证技术、测试技术及评估方法三部分组成。前两部分通过分析或技术手段证实信息安全的性质、获得信息安全的度量数据;第三部分,通过一系列的流程和方法,客观、公正地评价和定级由验证测试结果反映的安全性能。当前,信息安全验证与测试技术正在迅速发展,出现了大量的方法、工具和手段,而信息安全评估流程、方法与相关的安全功能一般要求由评估标准、规范、准则等给出。
信息安全测评是实现信息安全保障的有效措施,对信息安全保障体系、信息产品/系统安全工程设计,以及各类信息安全技术的发展演进有着重要的引导规范作用,很多国家和地区的政府和信息安全行业均已经认识到它的重要性。美国国防部于 1979 年颁布了编号为5200.28M的军标,它为计算机安全定义4种模式,规定在各种模式下计算机安全的保护要求和控制手段。当前普遍认为5200.28M是世界上第一个计算机安全标准。1977年,美国国家标准局(NBS)也参与到计算机安全标准的制定工作中来,并协助美国国防部于1981年成立国防部计算机安全中心。该中心于1985年更名为国家计算机安全中心(NCSC),归美国国家安全局(NSA)管辖。NCSC及其前身为测评计算机安全颁布一系列的文件和规定,其中,最早于 1983 年颁布的《可信计算机系统评估准则》(TCSEC,Trusted Computer System Evaluation Criteria)将安全程度由高至低划分为A~D四类,每类中又分为2或3级。如得到广泛应用的Windows NT和 Windows 2000系列产品被测评为C2级,而美国军队已经普遍采用更高级别的军用安全操作系统。在美国的带动下,1990年前后,英国、德国、法国、荷兰、加拿大等国也陆续建立计算机安全的测评制度并制定相关的标准或规范。如加拿大颁布了《可信计算机产品评估准则》(CTCPEC,Canada Trusted Computer Product Evaluation Criteria)。美国还颁布了《信息技术安全联邦准则》,通常它被简称为FC(Federal Criteria)。由于信息安全产品国际市场的形成,出现了多国共同制定、彼此协调信息安全评估准则的局面。1991年,英国、德国、法国、荷兰4国率先联合制定了《信息技术安全评估准则》(ITSEC,Information Technology Security Evaluation Criteria),该准则事实已经成为欧盟其他国家共同使用的评估准则。美国在ITSEC出台后,立即倡议欧美6国7方(即英国、德国、法国、荷兰、加拿大的国防信息安全机构和美国的NSA与NIST)共同制定一个各国通用的评估准则。从1993年~1996年,以上6国制定了《信息安全技术通用评估准则》,一般简称为CC(Common Criteria)。CC已经于1999年被国际标准化组织(ISO)批准为国际标准,编号是“ISO/IEC 15408−1999”。另外,为指导对密码模块安全的评估, NIST自20世纪80年代~21世纪初,一直在编制《密码模块安全需求》。2002年,NIST以编号FIPS PUB 140-2发布它的最新版本。当前,很多国家和地区均建立了信息安全测评机构,为信息安全厂商和用户提供测评服务。
我国于20世纪90年代末也开始了信息安全的测评工作。1994年2月,国务院颁布了《中华人民共和国计算机信息系统安全保护条例(国务院147号令)》。为了落实国务院147号令, 1997年6月和12月,公安部分别发布了《计算机信息系统安全专用产品检测和销售许可证管理办法(公安部32号令)》和《计算机信息网络国际联网安全保护管理办法(公安部第33号令)》。1998年7月,成立了公安部计算机信息系统安全产品质量监督检验中心,并通过国家质量技术监督局的计量认证[(98)量认(国)字(L1800)号]和公安部审查认可,成为国家法定的测评机构。1999年,我国发布了国家标准《计算机信息系统安全保护等级划分准则》(GB 17859−1999)。1999年2月,国家质量技术监督局正式批准了国家信息安全测评认证管理委员会章程及测评认证管理办法。2001年5月,成立了中国信息安全产品测评认证中心,该中心是专门从事信息技术安全测试和风险评估的权威职能机构。2003年7月,成立了公安部信息安全等级保护评估中心,它是国家信息安全主管部门为建立信息安全等级保护制度、构建国家信息安全保障体系而专门批准成立的专业技术支撑机构,负责全国信息安全等级测评体系和技术支撑体系建设的技术管理及技术指导。2001年,我国根据CC颁布了国家标准《信息技术 安全技术 信息技术安全性评估准则》(GB/T 18336−2001),并于2008和2015年对其进行了版本更新,当前版本为(GB/T 18336−2015)。当前,已经有大量信息安全产品/系统通过了以上机构的检验认证,信息安全测评已经逐渐成为一项专门的技术领域。
目前,随着信息技术的日益发展和应用模式的不断创新,信息安全测评的对象也在不断发生变化和更新。
云计算是一种基于互联网向用户提供虚拟的、丰富的、按需即取的数据存储和计算处理服务,包括数据存储池、软件下载和维护池、计算能力池、信息资源池、客户服务池在内的广泛服务。云计算是信息技术领域的革新,这项技术已经对社会公众的生活及工作方式带来巨大的冲击。云计算技术的发展衍生出新的安全问题,如动态边界安全、数据安全与隐私保护、依托云计算的攻击及防护等。随着云服务平台逐渐成为经济运行和社会服务的基础平台,人们开始普遍关注云平台的安全性,云平台也发展成新的网络信息安全测评对象。在云计算环境中,安全测评不仅关注云平台基础设施等软/硬件设备的脆弱性和面临的安全威胁,并且更多地强调云平台在为海量用户提供计算和数据存储服务时的平台自身健康度的保障能力,即云平台在复杂运行环境中的自主监测、主动隔离、自我修复的能力,避免由于各类不可知因素而导致的服务中断引发严重的安全事故。
物联网指通过射频识别(RFID)、红外感应器、全球定位系统、激光扫描器等信息传感设备,按约定的协议把任何物品与互联网连接起来,通过信息交换实现智能化识别、定位、跟踪、监控和管理的一种网络。物联网的核心网络仍然是互联网,是从面向人的通信网络向面向各类物品的物理世界的扩展。物联网技术的广泛应用引发了诸如安全隐私泄露、假冒攻击、恶意代码攻击、感知节点自身安全等一系列新的安全问题。更为严重的是,组成物联网的器件普遍由电池供电,为了节省能源,无法在器件上使用计算复杂度较高的成熟的安全技术,而只能部署轻量级的安全技术。这种新的安全需求亟需新的、有效的安全测评手段,准确掌控物联网在实际运行环境中的安全保障能力。
目前,工业控制系统逐渐成为网络攻击的新的核心目标之一,特别是那些具有敌对政府和组织背景的攻击行为。从2007年针对加拿大水利SCADA系统的攻击到2010年针对伊朗核电站的震网病毒攻击,网络攻击目标已经从传统的信息系统逐步扩展到关系国计民生的关键基础设施,如电力设施、水利设施、交通运输设施等。这些关键基础设施大多由工业控制系统进行管理,一旦遭受严重的攻击,影响的远不是虚拟世界中的网络信息系统,而是和人们生活工作密切相关的物理世界中的系统,极端情况下甚至会给人身安全、公众安全和国家安全带来严重威胁。因此,信息安全的保障对象也随之扩展到了这些关键基础设施。如何建立针对工业控制系统的安全测评标准和技术体系、充分掌控国家关键基础设施的安全性和可靠性,是安全测评技术在新形势下面临的重要挑战。
(二)信息安全测评技术
1、信息安全验证技术
为了测评信息安全产品或信息系统,需要验证或测试它们的安全性质及安全保障实施的效能。分析验证是指基于一定的分析手段或经验,验证信息安全产品或信息系统中不存在相应的安全隐患。产品或信息系统中的控制流、信息流和边界值等是需要重点分析的对象。普通的安全隐患不难凭经验发现,但更复杂的分析验证需要形式化的手段。所谓形式化方法,是指用语义符号、数学或模型描述所研究或设计的产品或系统,使便于推理并得到严谨的结论。当前,设计人员或分析人员已经可以采用安全模型、协议形式化分析和可证明安全性方法等手段对安全策略、安全协议或密码算法进行验证。
(1)安全模型
安全策略是在系统安全较高层次上对安全措施的描述,它的表达模型常被称为安全模型,是一种安全方法的高层抽象,它独立于软件和硬件的具体实现方法。常用的访问控制模型是最典型的一类安全模型,从中不难看出,安全模型有助于建立形式化的描述和推理方法,可以基于它们验证安全策略的性质和性能。
(2)协议形式化分析
当前对安全协议进行形式化分析的方法主要有基于逻辑推理、基于攻击结构性及基于证明结构性的三类方法。基于逻辑推理的分析方法运用了逻辑系统,它从协议各方的交互出发,通过一系列的推理验证安全协议是否满足安全目的或安全说明,这类方法的代表是由Burrows、Abadi和Needham提出的BAN逻辑。基于攻击结构性分析方法一般从协议的初态开始,对合法主体和攻击者的可能执行路径进行搜索或分析,找出协议可能的错误或漏洞,为了进行这类分析,分析人员一般要借助自动化的工具,后者采用形式化语言或数学方法描述和验证协议,常用的分析工具包括FDR等。基于证明结构性的分析方法主要在形式化语言或数学描述的基础上对安全性质进行证明,如 Paulson归纳法、秩函数法和重写逼近法等。
(3)可证明安全性方法
当前,越来越多的密码算法和安全协议在设计和论证中使用了可证明安全性方法。这种设计论证方法与以前“设计—攻击—改进—再攻击—再改进”的方法不同,它在一定的安全模型下将设计算法和协议的安全性归结于伪随机函数、分组密码等已被认可算法或函数的安全性,在一定程度上增强了设计者对安全性的把握和控制,提高了密码与安全协议的设计水平。
2、信息安全测试技术
在信息安全产品或信息系统的开发或评估中,开发者或评估人员需要借助测试技术获得反映它们性能的数据。一般将能够反映产品或系统相关性能度量的检测对象称为指标(Metrics),将它们的值称为指标值。测试技术需要准确、经济地为开发者或评估人员提供指标值或计算它们的相关数据,它们反映了产品或系统在安全性、运行性能、协议符合性和一致性、环境适应性、兼容性等方面的状况,为提高产品或系统的质量、准确评估它们的等级提供了依据。信息安全产品或信息系统的安全测试主要包括以下技术。
(1)测试仿真环境的构造
传统的测试方法主要依靠构建实际运行环境进行测试,测试人员使用专用的软/硬件测试工具得到结果。但随着网络应用的普及及运行环境的复杂化,一方面构造实际运行环境的代价越来越高,如测试服务器时可能需要大量的终端计算机,另一个方面的问题是,在实际系统中采集、控制和分析数据不方便。在以上背景下出现了各种测试环境仿真技术,它们主要由各类测试仪实现。其中,流量仿真技术可以模拟不同带宽、连接数和种类的网络流量,它们适合测试对象的背景流量或所需要处理的流量;攻击仿真技术模拟攻击者的主机向被测试系统发起攻击;通信仿真技术既可以使测试人员通过简单的开发获得需要的通信流量,又可以通过设置加入人为的线路噪声或损伤,如丢弃一定比例的流量等;设备仿真技术使仿真的设备可以与被测试设备通信,方便直接了解后者的特性。当前,Spirent、IXIA等企业的测试仪已经支持上述仿真,如一些网络安全设备测试仪提供了对IPSec网关的测试功能,在测试中,可以用测试设备仿真整个环境。
此外,信息安全测试过程可能会对被测系统产生一定的影响,干扰被测系统的正常业务数据流和控制流。因此,对于大多数需要保障实时性和可靠性的业务系统,无法对其进行直接的安全测试,并且在很多情况下也缺乏测试仪器来构建专业的测试环境。为了应对这类测评需求,采用软/硬件结合的方式,利用通用设备来构建具备高仿真度的模拟网络环境实施测评,这种思路逐渐在安全测评技术领域引起重视。模拟网络环境的构建工作包括部署主机、建立主机间的连接和信任关系、创建主机上运行的服务、生成应用程序和生成系统用户等。在这种思路的指导下,人们提出了“克隆”技术,通过构造在系统配置和应用配置方面完全吻合被测系统要求的模板主机,利用主机克隆技术实现模板主机在模拟网络环境中的快速复制,从而达到快速部署主机和应用服务的目的。
(2)有效性测试
有效性测试是指用测试的方法检查信息安全产品、系统或它们的模块、子系统是否完成了所设计的功能,也包括通过测试相应的指标量衡量完成的程度和效果。为了使测试结果更全面、准确地反映实际安全情况,测试方法需要包括典型的应用实例或输入数据,对输入数据往往还要考察边界值等极端情况。包含典型输入数据和边界值等的测试用例数据被称为测试序列。当前,出现了一些根据设计方案描述语言或源代码自动生成测试实例和输入的技术,极大地提高了有效性测试的效率。在测试网络信息安全产品和系统中,往往需要搭建并开发测试环境,如用通信仿真模拟客户端或服务器,分别测试双方的有效性。另外,用流量仿真提供背景流量,使测试环境更加真实。
(3)负荷与性能测试
负荷测试主要是指通过输入、下载不同带宽、速率的数据或建立不同数量的通信连接,得到被测产品或系统的数据处理能力指标值及它们之间可能的相互影响情况,如得到最大带宽、吞吐量、最大处理速率、最大连接数以及某个连接数上的最大处理速率。与负荷测试相关的是对其他运行性能的测试,主要包括测试在特定负荷下的连接建立速度、通信时延、响应速度、错误率、分组丢失率等。
(4)攻击测试
攻击测试指利用网络攻击或密码分析的手段,检测相应的模块、设备、应用、系统等测试对象的安全性质,判断测试对象是否存在可被攻击者利用的安全缺陷,验证可能的攻击途径,如针对密码模块的分析测试主要基于特定的密码分析和安全性能评价方法,包括对密文随机性指标的测试、对密码代数方程求解时间和可行性的测试等。
攻击测试所采用的技术手段主要有主机探测、漏洞扫描、针对网站的SQL注入和跨站攻击、针对口令的字典攻击和暴力破解、缓冲区溢出攻击、会话劫持攻击、拒绝服务攻击等。攻击测试对测试人员的技术能力和经验要求较高,通常由专业的测试人员借助一些专用的测试仪器,根据目标系统的状况和反应来选择最具效果的技术手段用以实施测试。部分测试仪器允许测试者进行二次开发,测试人员可以根据被测对象的特性对测试仪器进行定制开发,实施更有针对性的测试攻击,如可以利用测试仪对入侵检测系统(IDS)进行攻击测试。
(5)故障测试
故障测试是指通过测试,了解信息安全产品或系统出现故障的可能性、故障环境及故障类型等情况。故障测试的结果可以反映被测对象的运行稳健性。故障测试可以对有效性、负荷和性能的测试同步进行,但它本身也包含一些特殊的方法。错误数据输入是常用的故障测试方法之一,它指故意输入错误的数据用以考察被测对象的稳健性;在与通信相关的测试中,测试人员可以利用特殊的设备人为引入线路噪声、损伤或丢弃一定数量的通信分组,借此测试通信双方抵御通信故障的能力;对于一些安全设备,如军用密码机等,它们的运行环境可能比较恶劣,故障测试还可能采用非常规变化的电压或者电流等措施,测试这些设备抵抗物理环境变化的能力。
(6)一致性与兼容性测试
一致性测试是指对于信息安全产品、系统或其模块、子系统,检测它们在接口、协议等方面与其他配套产品、系统或模块、子系统的互操作情况,确定它们是否都符合相关的接口、协议设计规范。兼容性是指对于以上被测试对象,检测它们与其他系列的产品、系统或模块、子系统的互操作情况,确定它们是否可以结合在一起运行。在这类测试中,一般需要确定一个权威的参照系统并基于它进行相关测试。
3、信息安全评估技术
随着信息系统规模的不断发展、 应用服务的日益普及以及用户数目的逐年增加,信息系统已经渗入到人们生活的各个方面。由于普遍存在着资源管理分散、安全意识薄弱和防护手段缺乏等问题,信息系统正面临着严峻的安全形势。信息安全评估技术能够利用信息安全测试技术和信息安全验证技术的分析结果,利用预先建立的评估模型对被评估的网络与信息系统的安全性做出定性或定量的评估,帮助人们准确把控网络信息系统的安全状况和发展趋势,从而指导安全保障工作的方向和力度。典型的安全评估技术包括风险评估方法、 脆弱性评估技术、安全态势评估技术、安全绩效评估技术等。
(1)风险评估方法
信息安全风险评估也称信息安全风险分析,是指对信息系统的安全威胁进行分析和预测,在风险事件发生之前或之后(但还没有结束),对该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作,即风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
信息安全风险评估使信息系统的管理者可以在考虑风险的情况下估算信息资产的价值,为管理决策提供支持,也为进一步实施系统安全防护提供依据。常见威胁有基于网络和系统的攻击、内部泄露、人员物理侵入、系统问题等,它们尽可能利用信息系统存在的脆弱性,这种可能性不但与威胁和脆弱性本身相关,还与攻击者、攻击方法、攻击时间、系统状况等有关。
(2)脆弱性评估技术
信息安全问题日益严重,一方面是由于互联网的应用范围越来越广泛,另一方面是由于简单易用的攻击工具越来越普及。然而,安全问题的根源在于安全脆弱性(或称安全漏洞)。脆弱性的发现、利用、防范和修补已成为信息安全攻防双方的焦点,也是保障网络信息安全的核心问题之一。信息系统的可靠性、健壮性、抗攻击性在很大程度上取决于所使用的信息产品的脆弱性状况。由于现有的安全防御技术在主动掌控脆弱性方面存在诸多缺陷,目前,迫切需要开展脆弱性评估技术的研究,建立完备、有效的安全评估机制,用以充分指导安全措施的规划和部署,有效降低信息系统的脆弱性程度。
脆弱性评估技术是一种通过综合评判网络信息系统的脆弱性,分析系统遭受入侵的脆弱性,利用路径及其可能性,并在此基础上指导对安全漏洞进行有选择的修补,以便以最小代价获取最大安全回报的技术。安全体系需要各个环节安全技术的不断改进和创新才能得到有效的保障。脆弱性评估作为构筑信息安全体系的关键环节,有着不可替代的重要作用。在信息安全领域的典型防御技术中,入侵检测、防火墙、病毒检测都是攻击中或攻击后的被动检测,而脆弱性评估则是攻击前的主动测评,对相关技术的研究具有重要意义。首先,脆弱性评估不仅能够分析来自外部的攻击可能,也能够分析来自内部的攻击可能。其次,脆弱性评估建立在网络信息系统的各种信息之上,评估结果表示了系统可能遭受的入侵途径,因此,脆弱性评估能够对入侵检测系统出现的漏报进行弥补,对误报进行修正,对入侵关联的结果进行验证,是入侵检测技术的重要补充。再次,计算机病毒的蔓延往往依赖于系统的后门或脆弱性。在感染病毒之前对可能的蔓延路径进行分析是另一层次的病毒防御。从这三点来看,脆弱性评估可以作为这3种典型安全防御技术的有效补充,评估结果还可用于针对攻击行为的关联分析及预测、安全策略制定等方面。
(3)安全态势评估技术
安全态势评估技术能够从整体上动态反映网络信息系统的安全状况,并对安全状况的发展趋势进行预测和预警,为增强系统安全性提供可靠的参照依据。
安全态势评估指通过技术手段从时间和空间纬度来感知获取安全相关元素,通过数据信息的整合分析来判断安全状况并预测其未来的发展趋势。安全态势评估最初出现在航空领域和军事领域,后来逐渐推广到各个技术领域,包括交通管理、生产控制、物流管理、医学研究和人类工程学等。近年来,安全态势评估技术开始在计算机网络领域得到应用,对于保障网络信息系统的安全具有重要意义。首先,安全态势评估技术能够综合分析各个方面的安全元素,既包括黑客攻击等安全事件,又包括系统自身的脆弱性和服务等信息;其次,安全态势评估可以从整体上动态反映网络信息系统的安全状况,评估结果具有综合性、多角度性、多粒度性等特点,并且实时性较好,可以看出一段时间内安全状况的动态变化情况;再次,安全态势评估可以根据一段时间内的评估结果,利用时间序列分析等方法对未来的安全状况及发展趋势进行预测,从而对可能发生的安全威胁进行提前防护;最后,安全态势评估可以对不同层次和规模的网络或信息系统进行分析,适应性强,应用范围广。
因此,安全态势评估技术已逐渐成为构筑信息安全体系的关键环节,有着不可替代的重要作用和意义,国内外学者已纷纷致力于研究针对网络信息系统的安全态势评估模型、技术和方法。
(4)安全绩效评估技术
信息系统承载着组织的重要业务功能,为保障信息系统安全性,往往会在系统中应用各种安全措施。但如何验证所实施的安全措施是否依据要求正确地执行了其保护功能,如何评估所实施的安全措施抵御各种攻击的效果,这些都是评估系统安全性时需要解决的重要问题,也是影响安全绩效和决策的重要因素。因此,如何评估信息安全措施的效用(即安全绩效)已引起国内外研究人员的关注,成为网络安全领域的研究热点。
安全绩效评估的重点是评估系统安全措施抵御攻击的安全功能强度,需要确定在已知或发现的脆弱性条件下,分析系统是否能被诱发产生或利用安全脆弱性的行为,以评估系统安全措施在攻击状态下有效保障系统安全的能力。
建模是开展信息安全绩效评估的重要途径,但信息系统本身的复杂性和动态性难以全面抽象描述,而且模型层次与实际应用的矛盾使安全绩效评估建模的难度增加。抽象层次越高,建模越简单,但模型分析结果与实际应用差距越大;反之则建模越复杂。目前,根据模型的不同抽象层次和粒度,可以通过分析系统安全策略、设计部署机制和管理应用措施等方面的信息来评估安全绩效。现有的安全绩效评估技术大多还处于研究阶段,由于在数据分析、参数设置、规则分析和结果应用等方面对评估人员主动经验的依赖性较高,影响了评估过程的规范性和结果一致性,因此该项技术尚未进入实用阶段。
(三)信息安全测评方法
1、黑盒测试
在黑盒测试中,把测试对象看作一个不能打开的黑盒子,在完全不考虑测试对象内部结构和内部特性的情况下,在测试对象接口进行测试,它只检查测试对象功能是否按照需求规格说明书的规定正常使用,程序是否能适当地接收输入数据而产生正确的输出信息。黑盒测试着眼于测试对象外部结构,不考虑内部逻辑结构,主要针对软件界面和软件功能进行测试。
黑盒测试是以用户的角度,从输入数据与输出数据的对应关系出发进行测试的。很明显,如果外部特性本身设计有问题或规格说明的规定有误,用黑盒测试方法是发现不了的。
从理论上讲,黑盒测试只有采用穷举输入测试,把所有可能的输入都作为测试情况考虑,才能查出程序中所有的错误。实际上测试情况有无穷多个,人们不仅要测试所有合法的输入,而且还要对那些不合法但可能的输入进行测试。这样,完全测试是不可能的,所以要进行有针对性的测试,通过制定测试案例指导测试的实施,保证软件测试有组织、按步骤以及有计划的进行。黑盒测试行为必须能够加以量化,才能真正保证测评质量,而测试用例就是将测试行为具体量化的方法之一。具体的黑盒测试用例设计方法包括等价类划分法、边界值分析法、错误推测法、因果图法、判定表驱动法、正交试验设计法、功能图法、场景法等。
2、白盒测试
白盒测试又称结构测试、透明盒测试、逻辑驱动测试或基于代码的测试。白盒测试是一种测试用例设计方法,盒子指的是被测对象,白盒指的是盒子,是可视的,测试人员清楚盒子内部的东西以及里面是如何运作的。白盒测试全面了解程序内部逻辑结构、对所有逻辑路径进行测试。白盒测试是穷举路径测试,在使用这一方案时,测试者必须检查测试对象的内部结构,从检查测试对象的逻辑着手,得出测试数据,从而贯穿测试对象的独立路径数是天文数字。
白盒测试的测试方法有代码检查法、静态结构分析法、静态质量度量法、逻辑
覆盖法、基本路径测试法、域测试、符号测试、路径覆盖和程序变异等。
白盒测试法的覆盖标准有逻辑覆盖、循环覆盖和基本路径测试。其中,逻辑覆盖包括语句覆盖、判定覆盖、条件覆盖、判定/条件覆盖、条件组合覆盖和路径覆盖。6种覆盖标准发现错误的能力呈由弱到强的变化:
(1)语句覆盖每条语句至少执行一次;
(2)判定覆盖每个判定的每个分支至少执行一次;
(3)条件覆盖每个判定的每个条件应取各种可能的值;
(4)判定/条件覆盖同时满足判定覆盖条件覆盖;
(5)条件组合覆盖每个判定中各条件的每一种组合至少出现一次;
(6)路径覆盖使程序中每一条可能的路径至少执行一次。
3、灰盒测试
灰盒测试是介于白盒测试与黑盒测试之间的一种测试,灰盒测试多用于集成测试阶段,不仅关注输出、输入的正确性,同时也关注测试对象内部的情况。灰盒测试不像白盒那样详细、完整,但又比黑盒测试更关注测试对象的内部逻辑,常常是通过一些表征性的现象、事件、标志来判断内部的运行状态。灰盒测试由一些方法和工具组成,这些方法和工具取决于应用测试对象的内部知识和与之交互的环境,能够用于黑盒测试以增强测试效率、错误发现和错误分析的效率。
灰盒是一种测试对象上的工作过程被局部认知的装置。灰盒测试是基于对测试对象内部细节有限认知上的测评方法。测试者可能知道系统组件之间是如何互相作用的,但缺乏对内部测试对象功能和运作的详细了解。对于内部过程,灰盒测试把测试对象看作一个必须从外进行分析的黑盒。
灰盒测试通常与Web服务应用一起使用,因为尽管应用测试对象复杂多变,并不断发展进步,因特网仍可以提供相对稳定的接口。由于不需要测试者接触源代码,因此灰盒测试不存在侵略性和偏见。开发者和测试者间有明显的区别,人事冲突的风险减到最小。然而,灰盒测试相对白盒测试更加难以发现并解决潜在问题,尤其在一个单一的应用中,白盒测试的内部细节可以完全掌握。灰盒测试结合了白盒测试和黑盒测试的要素,它考虑了用户端、特定的系统知识和操作环境,在系统组件的协同性环境中评价应用软件的设计。灰盒测试涉及输入和输出,但使用关于代码和测试对象操作等通常在测试人员视野之外的信息设计测试。
4、静态测试
静态方法是指不运行测试对象本身,仅通过分析或检查源测试对象的语法、结构、过程、接口等来检查测试对象的正确性。对需求规格说明书、软件设计说明书、测试对象做结构分析、流程图分析、符号执行来寻找错误。静态方法通过测试对象静态特性的分析,找出欠缺和可疑之处,如不匹配的参数、不适当的循环嵌套和分支嵌套、不允许的递归、未使用过的变量、空指针的引用和可疑的计算等。静态测试结果可用于进一步的查错,并为测试用例选取提供指导。
静态测试包括代码检查、静态结构分析、代码质量度量等。它可以由人工进行,充分发挥人的逻辑思维优势,也可以借助软件工具自动进行。代码检查包括代码走查、桌面检查、代码审查等,主要检查代码和设计的一致性,代码对标准的遵循、可读性,代码逻辑表达的正确性,代码结构的合理性等方面。可以发现违背测试对象编写标准的问题,测试对象中不安全、不明确和模糊的部分,找出测试对象中不可移植部分、违背测试对象编程风格的问题,包括变量检查、命名和类型审查、测试对象逻辑审查、测试对象语法检查和测试对象结构检查等内容。
在实际使用中,代码检查比动态测试更有效率,能快速找到缺陷,发现30%~70%的逻辑设计和编码缺陷;代码检查看到的是问题本身而非征兆。但是代码检查非常耗费时间,而且代码检查需要知识和经验的积累。代码检查应在编译和动态测试之前进行,在检查前,应准备好需求描述文档、测试对象设计文档、测试对象的源代码清单、代码编码标准和代码缺陷检查表等。静态测试具有发现缺陷早、降低返工成本、覆盖重点和发现缺陷概率高的优点以及耗时长、测试依赖技术能力要求高的缺点。
5、动态测试
动态测试方法是指通过运行测试对象,检查运行结果与预期结果的差异,并分析运行效率、正确性和健壮性等性能。这种方法由三部分组成:构造测试用例、执行测试对象、分析测试对象的输出结果。根据动态测试在软件开发过程中所处的阶段和作用,动态测试可分为如下4个步骤。
(1)单元测试
单元测试是对测试对象中的基本组成单位进行测试,其目的是检验测试对象基本组成单位的正确性。单元测试是白盒测试。
(2)集成测试
集成测试是在测试对象系统集成过程中所进行的测试,其主要目的是检查测试对象单位之间的接口是否正确。在实际工作中,集成测试分为若干次的组装测试和确认测试。组装测试是单元测试的延伸,除对软件基本组成单位的测试外,还需增加对相互联系模块之间接口的测试;确认测试是对组装测试结果的检验,主要目的是尽可能地排除单元测试、组装测试中发现的错误。
(3)系统测试
系统测试是对已经集成好的测试对象进行彻底的测试,以验证其正确性和性能等满足其规约所指定的要求。系统测试应该按照测试计划进行,其输入、输出和其他动态运行行为应该与规约进行对比,同时测试其健壮性。如果规约(即设计说明书、需求说明书等文档)不完备,系统测试更多的是依赖测试人员的工作经验和判断,这样的测试是不充分的。系统测试是黑盒测试。
(4)验收测试
这是测试对象在投入使用之前的最后测试。验收测试是黑盒测试。
6、渗透测试
渗透测试是为了证明网络防御按照预期计划正常运行而提供的一种测试机制。渗透测试并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。即渗透测试是指渗透人员在不同(如从内网、从外网等)的位置利用各种手段对某个特定网络进行测试,以发现和挖掘系统中存在的漏洞,然后输出渗透测试报告,并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告,可以清晰知晓系统中存在的安全隐患和问题。渗透测试还具有2个显著特点:渗透测试是一个渐进的并且逐步深入的过程;渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。
渗透测试有时是作为外部审查的一部分而进行的。这种测试需要探查系统,以发现操作系统和任何网络服务,并检查这些网络服务有无漏洞。渗透测试更重要的作用在于解释所用工具在探查过程中所得到的结果。
作为网络安全防范的一种新技术,渗透测试对于信息安全测评具有实际应用价值。
7、模糊测试
模糊测试是一种通过向目标系统提供非预期的输入并监视异常结果来发现测评对象漏洞的方法。在模糊测试中,用随机破坏数据(也称作Fuzz)攻击一个测评对象,然后观察哪里遭到了破坏。模糊测试的特点在于它是不符合逻辑的。自动模糊测试不去猜测哪个数据会导致破坏,而是将尽可能多的杂乱数据投入程序中。
模糊测试是一项简单的技术,但它却能揭示出测试对象中的重要Bug。它能够验证现实世界中的错误模式,并在信息产品或系统上线前提示潜在的攻击渠道。模糊测试只能够说明Bug在测试对象中的出现,并不能证明不存在这样的Bug,而且,通过模糊测试能极大地提高测试对象的健壮性及抵御意外输入的安全性。如果模糊测试揭示出测试对象中的Bug,就应该进行及时修正,而不是当Bug随机出现时再应对它们。模糊测试通过明智地使用校验和XML、垃圾收集和/或基于语法的文件格式,更有效地从根本上加固了测试对象。因此,模糊测试是一项用于验证测试对象中真实错误的重要工具。
(四)信息安全测评要求
1、客观性和公正性原则
测评工作虽然不能完全摆脱个人主张或判断,但测评人员应当在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。
2、经济性和可重用性原则
基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业产品测评结果和信息系统先前的安全测评结果。所有重用的结果,都应基于这些结果还能适用于目前的系统,能反映目前系统的安全状态。
3、可重复性和可再现性原则
无论谁执行测评,依照同样的要求,使用同样的方法,对每个测评实施过程的重复执行都应该得到同样的测评结果。可再现性体现在不同测评者执行相同测评结果的一致性。可重复性体现在同一测评者重复执行相同测评结果的一致性。
4、符合性原则
测评所产生的结果应当是在对测评指标的正确理解下所取得良好的判断。测评实施过程应当使用正确的方法以确保其满足测评指标的要求。
(五)信息安全测评流程
信息安全测评流程是保障测评工作健康有序进行的重要措施,各种测评工作的流程各有特点,下面分别以信息系统安全等级测评流程和信息安全专用产品销售许可测评流程来说明信息系统安全测评和信息产品安全测评的流程。
1、信息系统安全等级测评流程
对于初次进行等级测评的信息系统,测评机构进行的等级测评过程分为4个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动,具体流程详见下图。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
信息系统安全等级保护测评工作流程
(1)测评准备活动
本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。
(2)方案编制活动
本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书,形成测评方案。
(3)现场测评活动
本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书,分步实施所有测评项目,包括单元测评和整体测评2个方面,以了解系统的真实保护情况,获取足够证据、发现系统存在的安全问题。
(4)分析与报告编制活动
本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和《信息安全技术信息系统安全等级保护基本要求》的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。
2、信息安全专用产品销售许可测评流程
信息安全专用产品销售许可测评工作中建立了完善的测评流程,对测评任务的各个环节实施监控,每个环节的工作由专人负责,做到实时的质量控制,以确保检验报告的及时完成和数据及报告的准确性。相关的服务流程为送检准备阶段、受理阶段、在检阶段、报告审核阶段、报告/样品发送阶段,具体流程如下图所示。各阶段的具体措施如下。
(1)送检准备阶段
该阶段主要由送检客户参照测评机构网站www.mctc.org.cn上的“服务指南→检验流程”准备送检资料,填写委托合同并准备送检资料和样品。
(2)受理阶段
依据客户送检的合同、资质证明、技术文档和样品等全套资料,测评机构管理部将对送检资料进行初步的文审,一旦发现有不符合要求的、准备不齐全的,在该阶段即要求送检单位补充齐全。
送检资料通过初审后,管理部对送检产品进行正式的登记受理,将产生新的检验任务,任务状态为“管理部接受”状态。依据客户送检时声明的送检样品与代销产品一致,由样品管理员接收样品入库。跟随每一个检验任务有一套完整的检验流程单、样品编码单和样品接收/取回凭证单等,将伴随每个检验任务的整个生命周期,并和所有任务资料一并归档。
(3)在检阶段
测评机构将在承诺的测评周期内,由指定的检验人员从样品库领取样品进行检验;按照合同约定的检验依据,对送检样品进行测试和记录原始数据,该阶段由检测部完成;主检和复检的检验员完成测试后,由主检进行结果汇总,依据检测结果,分别编制合格/不合格的检验报告初稿。
(4)报告审核阶段
检验员将检验报告初稿提交,由检测部审核、管理部审核和技术负责人批准等三级审核,最终形成正式的检验报告。
(5)报告/样品发送阶段
检验报告完成后,测评机构通知客户领取或快递报告和样品。为方便送检单位,目前,多数检验报告都采用快递的方式邮寄。
信息安全专用产品销售许可测评流程
三、结语
信息安全测评是指对信息安全产品或信息系统的安全性等进行验证、测试、评价和定级,规范它们的安全特性。信息安全测评对信息安全产品的研发与采购、信息系统的规划设计和建设运营等具有指导意义,是实现信息安全保障的有效措施。信息安全测评技术就是能够系统地、客观地验证、测试和评估信息安全产品、信息系统安全性质和程度的技术,主要包括验证技术、测试技术及评估方法3个方面。发达国家和地区的政府高度重视信息安全测评工作,先后研发了大量的信息安全测评技术,制定了一系列的评估准则,主要包括可信计算机系统评估准则(TCSEC)、信息技术安全评估准则 (ITSEC)、信息安全评估通用准则(CC)等;我国也制定了相应的评估标准,并建立了信息安全评估制度。
信息安全评估是技术含量较高的工作,当前的标准大多仅给出了指导性的检测与评估原则或框架。为了保证评估结果的公正、合理,需要不断建立新的检测和评估手段,保证测试结果的一致性和评估过程的客观性,加强对高安全等级产品或系统形式化分析的能力。当前,各发达国家和我国的信息安全评估制度都已经基本形成,但在建立先进的检测和评估手段方面都面临着挑战。
微信公众号:计算机与网络安全
ID:Computer-network