計算機信息系統評估標準與安全管理方法研究

熊婉迪 劉新輝

（廣州城建職業學院 廣東省廣州市 510925）

對計算機進行風險評估的目的是確定外力環境下，不可控因素及其可能造成損失的概率及程度，以便選擇針對性的控制措施。不同領域條件下，考慮到目標、影響以及行為主體的不同，風險評估的內容和方法也存在一定差異。對不同領域的重要活動和項目進行風險評估是必要的過程。隨著互聯網技術的廣泛應用，用戶逐漸認識到計算機內部信息安全的重要性。在計算機信息系統安全領域，風險已在內涵中進行了重新定義，指的是安全事件的可能性以及由于系統漏洞而人為或自然威脅所造成的影響。計算機信息系統風險評估主要針對信息和信息處理系統，是從內部原因和外部原因中綜合判斷其面臨的風險。本文主要分析了我國風險評估的相關標準和方法，以致于風險評估的實施過程更加高效可靠。

1 計算機信息系統安全風險評估的必要性

計算機信息系統風險評估能夠判斷系統的安全環境與狀況，還能夠明確信息化過程中各級的責任，它為評估機構的高層管理人員提供了更加經濟有效的安全管理措施，以確保整套安全管理策略的一致性。因此，在信息技術快速發展的今天，深入計算機信息系統風險評估標準與安全管理的研究具有現實意義[1]。

（1）計算機信息系統風險評估與安全管理符合當前信息化建設的根本需求。當前，計算機信息系統安全已經成為影響和限制信息建設的突出問題。通過科學的方法來預測并規避風險是信息建設的現實任務，也是計算機信息系統完善與發展的必然要求。盡管近年來計算機信息系統安全問題備受關注，但如何識別、評估以及規避信息安全風險的研究工作仍未達成理想預期。

（2）計算機信息系統風險評估與安全管理是為了加強信息安全的客觀需要，以確保信息系統安全貫穿并作用于信息化系統建設過程中的各個階段，必須按照風險管理標準對信息進行風險評估，以便正確響應信息系統可能會出現的各種安全問題。

（3）計算機信息系統風險評估與安全管理是信息系統規劃建設的科學手段與重要依據。計算機信息系統與安全管理風險評估需要基于國家標準和規范展開實施，對計算機系統的各種風險因素展開定性與定量分析，獲得評估結果，并結合結果提出針對性的改進措施。在整合各種現行標準、方法、管理規定以及運用先進性科學方法的基礎上，提高計算機信息系統安全管理效率。

2 計算機信息安全系統管理模型與標準

2.1 安全體系模型

目前，世界上普遍認為計算機信息系統處于動態且不斷改進的過程中，并且已經進行了大量研究工作，產生了各種動態安全系統模型。例如，基于時間的PDR 模型、P2DR 模型、 APPDRR 模型、PADIMEE ?模型和WPDRRC 模型。技術含量高的P2DR 模型和管理水平高的PADIMEE ?模型產生影響范圍最廣，而PADIMEE ?模型能夠提供對系統安全性的全面描述。

該模型通過分析用戶技術、業務需求以及用戶計算機信息系統生命周期，從七個核心方面反映了計算機系統安全管理的連續周期，它們分別是：戰略、評估、設計、實施、管理、應急響應以及教育，并將其業務與PADIMEE ?周期的所有環節緊密聯系在一起，為用戶打造該切實有效的管理方案，方案的核心思想是以工程方式展開計算機信息系統評估與安全管理工作。同時，更加重視管理與安全管理過程中的人為因素[2]。

信息安全評估要素主要包括信息資產自身內容、信息資產脆弱性、威脅信息資產安全因素、可能存在的信息風險、信息安全保護措施等。信息安全評估主要根據以上要素展開，基于對信息系統的脆弱性評估來判斷會對系統產生破壞的威脅風險。針對上述要素的評估，應結合安全需求、殘余風險、資產價值等屬性進行分析。信息安全評估要素關系模型如圖1 所示。

圖1 中方框部分為信息系統安全評估基本要素，橢圓部分為基本要素相關屬性。信息系統安全評估主要根據基本要素展開。

2.2 風險評估標準

隨著網絡的發展趨勢呈現出一定的復雜性，使計算機信息風險評估逐漸向標準化靠攏。目前，國外已經對某些特定信息系統提出了相關評估標準，其中包括CC/ISO15408《信息技術安全性認證通用標準》、BS-7799/ISO17799《信息安全管理體系標準》以及ISO13335《信息安全管理標準》等。從整體層面出發，國際信息安全評估經歷了一個發展過程，從僅側重于技術到技術和管理，從獨立計算機到網絡再到信息系統基礎架構，以及從單個安全屬性到多個安全屬性的不斷完善的過程。國內在采用一些國際標準的基礎上，提出了GB/T20984-2007《信息安全技術信息安全風險評估規范》，但在實施過程中仍存在以下不足。

2.2.1 安全功能較欠缺

國標僅對未授權主體的控制進行了一定的考慮，包括機密性、可靠性以及完整性，但沒有充分考慮對未授權主體的不當行為的控制。計算機信息系統的可控制性和不可否認性是對授權主體的控制，屬于系統機密性、可靠性以及完整性的充分補充。它主要對授權用戶在授權范圍內的合法訪問權限進行調整，并對用戶訪問記錄進行監督與審查。

2.2.2 評價不具備針對性

不同行業的計算機信息系統對安全功能的重視程度明顯不同。以智能化計算機信息系統為例，國家標準沒有在工程意義層面上區分不同安全指標重要性的差異化特征，更沒有平等對待計算機系統評估標準與安全管理的機密性、可靠性以及完整性，從而使評估結果不準確。

2.2.3 評估計算不完整

在對風險價值和風險等級進行分析計算后，該標準不再對所有評估結果進行合并，以形成整個系統的風險價值和風險等級。不同的系統結構和計算方法的組合可能有所不同，這也導致最終評估結論大相徑庭。另外，缺乏相關數據來支持不同安全管理措施下，同一系統風險水平效果的對比。

3 計算機信息系統安全管理方法

3.1 威脅分析

盡管計算機信息系統評估標準定義了測量信息，但采用科學有效的安全管理方法對計算機信息系統的安全性仍然具備重要意義。

目前，尚無統一的方法對各種威脅進行分類。用戶會在不同的場合下使用不同的分類方法。分類依據包括：內部威脅和外部威脅；主動威脅和被動威脅；偶然威脅和故意威脅等。通過對系統潛在威脅的判斷與分析，能夠及時制定相應的系統安全策略，并根據相應的安全管理機制進行實施，這一方法也有助于對計算機信息系統安全進行針對性地檢查與管理[3]。

3.2 安全要求與組織安全策略

組織化常規安全策略是指計算機信息系統中的管理者和用戶為正常運行所制定的安全規則、程序、做法以及準則。組織安全策略的分析是判斷計算機信息系統安全管理級別和保證正常運行能力的重要體現。安全要求代表組織對計算機信息系統安全管理的策略、職責以及技術服務的要求。評估防應結合安全要求，保證安全要求、組織制定、安全保護級別、應用程序之間具有一致性。

3.3 安全功能檢測

檢測功能包括肯定和驗證兩種方式：在肯定檢測中，主要觀察的是計算機信息系統安全管理功能規劃的合理性和可行性。首先，在計算機信息系統中的信息以機器可讀語言評估標準在生成的測試向量和測試驅動器的基礎上，通過評估信息系統安全功能進行描述，并在實際的測試驅動操作下，獲得檢測指標，建立計算機信息系統安全關系評價信息數據庫；驗證方式主要是利用掃描和模擬攻擊，對計算機信息系統中的安全漏洞進行查找，從而明確為評估提供指標信息。安全功能檢測作為安全評估中最直觀的評估方法，它能夠直接在被評估對象中發現隱藏的安全風險，并在被評估對象受到攻擊時測試其生存能力。在計算機信息系統安全功能檢測中，首先分析系統的整體結構，分別評估信息系統的邊界、計算環境以及保護能力，以檢測各部分是否具備應對威脅攻擊的能力。

3.4 信息庫和知識庫評估推理

評估信息庫收集了上述分析和測試形成的指標，這是計算機信息系統安全評估的客觀基礎。評估知識庫包括典型信息系統安全評估模型，其能夠直接反映出安全要素與安全指標的映射關系。根據計算機信息庫和知識庫的推論，提供客觀全面的安全評估報告和安全管理優化策略。計算機信息系統安全管理實施框架如圖2 所示。

計算機信息系統安全管理實施過程是：分析計算機信息系統的組成，分別對計算環境、系統邊界、網絡設施等進行分析、測試與確認，將評估結果存放在監控器中驗證信息數據庫中。根據計算機信息系統安全管理策略、要求以及威脅，在評估標準、模型以及知識庫的基礎上進行綜合評估，給出最終評估結論，構成評估報告，為安全改進措施提供決策支持[4]。

4 結語

綜上所述，作為計算機信息系統工程的重要組成部分，評估標準與安全管理不僅是單個企業需要面對的問題，更是與國民經濟各個方面均有緊密關聯的重大問題，它將逐漸向標準化和法制化層面遞進，使安全標準和管理辦法更加健全，發展更加活躍。