淺析信息安全方法中的測(cè)、評(píng)、估、審、查、量

王飛 中國(guó)移動(dòng)通信集團(tuán)山西有限公司工程師

淺析信息安全方法中的測(cè)、評(píng)、估、審、查、量

王飛 中國(guó)移動(dòng)通信集團(tuán)山西有限公司工程師

通過(guò)對(duì)國(guó)內(nèi)、外流行的信息安全方法進(jìn)行研究與分析，從不同角度對(duì)信息系統(tǒng)的安全測(cè)試、產(chǎn)品與系統(tǒng)的安全性測(cè)評(píng)、信息安全風(fēng)險(xiǎn)評(píng)估、安全審計(jì)、安全檢查與信息安全度量等概念進(jìn)行對(duì)比，進(jìn)一步解析信息安全相關(guān)的最佳實(shí)踐類(lèi)、基本要求類(lèi)、通用準(zhǔn)則類(lèi)和合規(guī)審計(jì)類(lèi)方法，闡明了信息安全的觀念與發(fā)展方向。

安全測(cè)評(píng) 風(fēng)險(xiǎn)評(píng)估 信息安全 安全度量

1 引言

就短短幾十年信息安全方法發(fā)展的歷史來(lái)研究，對(duì)以下幾個(gè)詞匯的理解運(yùn)用貫穿于信息安全實(shí)踐當(dāng)中，對(duì)這些方法的深入解析可以使我們更好地把握信息安全方法的變化趨勢(shì)與發(fā)展態(tài)勢(shì)，本文就筆者的認(rèn)識(shí)淺析在信息安全實(shí)踐中安全方法的認(rèn)知與運(yùn)用。

●測(cè)：試驗(yàn)、測(cè)試（Test）。

●評(píng)：評(píng)價(jià)、比選（Evaluate）。

●估：估計(jì)、估算（Assess）。

●審：審核、審計(jì)（Audit）。

●查：檢查、查驗(yàn)（Check、Inspect）。

●量：測(cè)量、度量（Metric）。

2 信息安全的測(cè)與評(píng)

最初階段面對(duì)信息安全問(wèn)題，憑直觀的思路歸納起來(lái)總是沿著兩個(gè)方向：“驗(yàn)對(duì)”與“識(shí)錯(cuò)”。

（1）驗(yàn)對(duì)：檢驗(yàn)與證明信息安全對(duì)象是否正確，所有方面都對(duì)了就是安全了。

（2）識(shí)錯(cuò)：測(cè)試發(fā)現(xiàn)信息安全對(duì)象中的錯(cuò)誤，并通過(guò)各種手段修復(fù)錯(cuò)誤，以達(dá)到安全的狀態(tài)。

測(cè)的思想來(lái)源于識(shí)錯(cuò)的部分，因?yàn)檫\(yùn)營(yíng)的信息系統(tǒng)中的錯(cuò)誤、問(wèn)題與漏洞總是難以完全避免主要?dú)w因于技術(shù)的局限、能力的缺失、偶然的因素。所以，盡可能地發(fā)現(xiàn)問(wèn)題并加以改進(jìn)是一個(gè)非常有效的解決安全問(wèn)題的方法。典型的測(cè)的方法包括：

滲透測(cè)試（Penetration Test）：一般認(rèn)為滲透測(cè)試是通過(guò)模擬惡意黑客的攻擊方法，來(lái)評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)與應(yīng)用系統(tǒng)安全的一種技術(shù)測(cè)試方法。

因?yàn)闆](méi)有100%安全的系統(tǒng)，所以識(shí)錯(cuò)的方法理論上是一種發(fā)散的方法，它的結(jié)果總是不會(huì)收斂，這類(lèi)方法并不具有完備性。一個(gè)信息系統(tǒng)，即使只是一個(gè)操作系統(tǒng)軟件也不可能窮盡所有缺陷。以微軟為例，它的任何一款Windows軟件在其整個(gè)生命周期中從沒(méi)有停止過(guò)發(fā)行軟件的安全補(bǔ)丁，即使像Windows XP這樣已經(jīng)下市的軟件，安全補(bǔ)丁仍然是大問(wèn)題，而這是一個(gè)普遍的規(guī)律?？傊踩囧e(cuò)的工作通常會(huì)貫穿信息系統(tǒng)的整個(gè)生命周期。

引入評(píng)的方法是彌補(bǔ)測(cè)的方法的不完全性，所以我國(guó)很早就建立起以安全測(cè)評(píng)方法為核心工作的中國(guó)信息安全測(cè)評(píng)中心（China Information Technology Security Evaluation Center），它被認(rèn)為是我國(guó)第一個(gè)以CC為核心方法建立的信息安全測(cè)評(píng)機(jī)構(gòu)，而CC的基本思路是驗(yàn)證信息產(chǎn)品與系統(tǒng)自身的安全性的通用準(zhǔn)則，CC（Common Criteria）也即國(guó)際標(biāo)準(zhǔn)ISO15408 Information Technology-Security Techniques-Evaluation Criteria for IT Security，它的本質(zhì)是對(duì)保護(hù)對(duì)象（TOE）定義一組通用的安全要求與控制全集，從而形成一個(gè)廣泛認(rèn)可的通用集合；評(píng)就是要針對(duì)某一類(lèi)產(chǎn)品（如防火墻、服務(wù)器、操作系統(tǒng)等）生成一個(gè)適用性的指標(biāo)子集即指標(biāo)體系，稱(chēng)為保護(hù)輪廓（Protection Profile，PP），PP通常適用于作為產(chǎn)品或系統(tǒng)的安全標(biāo)準(zhǔn)；對(duì)一個(gè)特定對(duì)象如一臺(tái)防火墻評(píng)的時(shí)候是要依據(jù)安全指標(biāo)生成一組實(shí)際安全目標(biāo)（Security Target，ST），ST是可以生成實(shí)際的安全測(cè)試項(xiàng)目的。信息安全的通用準(zhǔn)則類(lèi)方法如圖1所示。

評(píng)的方法是用于對(duì)信息產(chǎn)品或系統(tǒng)進(jìn)行驗(yàn)對(duì)的，而關(guān)于評(píng)的內(nèi)容，CC中分為3類(lèi)：安全功能要求、安全保證要求和安全評(píng)價(jià)要求，評(píng)價(jià)的結(jié)果分為7個(gè)評(píng)估保證等級(jí)（EvaluationAssurance Level，EAL1-7）。

評(píng)的方法不論在國(guó)外還是國(guó)內(nèi)都有非常普遍的應(yīng)用，可以說(shuō)是一種主流的安全方法論。它解決了通用的集合定義，實(shí)現(xiàn)了統(tǒng)一的評(píng)價(jià)方法，通過(guò)一層層指標(biāo)要求的解析，對(duì)保護(hù)對(duì)象進(jìn)行評(píng)價(jià)保障定級(jí)。

但是，CC主要面向系統(tǒng)的技術(shù)方面，至于系統(tǒng)的安全管理，雖有一些安全保證要求但很不全面、系統(tǒng)。而且，CC在實(shí)踐中對(duì)產(chǎn)品相關(guān)的測(cè)評(píng)的應(yīng)用多，對(duì)系統(tǒng)相關(guān)的測(cè)評(píng)實(shí)踐一直沒(méi)有特別好的應(yīng)用。

3 信息安全風(fēng)險(xiǎn)評(píng)估與管理體系

大家都比較認(rèn)可用CC做的技術(shù)方面的指標(biāo)體系，卻基本沒(méi)見(jiàn)有用CC做管理體系的，甚至連管理指標(biāo)都不多，這是什么原因呢？筆者認(rèn)為既然CC是從評(píng)價(jià)的角度生成指標(biāo)的思路，在體系形成時(shí)單純的對(duì)比指標(biāo)就變成了缺什么補(bǔ)什么的機(jī)械方法，而信息安全管理的范疇是更復(fù)雜的方面，如果從縱向分析管理方面的要素，基本可以簡(jiǎn)單劃分為標(biāo)準(zhǔn)、理論、基礎(chǔ)、控制和表現(xiàn)5個(gè)層面（見(jiàn)圖2）。

安全管理體系方面的思想主要是引入了風(fēng)險(xiǎn)的方法形成的，一個(gè)很好的講法是說(shuō)風(fēng)險(xiǎn)的方法主要是運(yùn)用于解決現(xiàn)實(shí)世界中的不確定性的問(wèn)題，信息安全中引入風(fēng)險(xiǎn)的概念也是用于不確定性的問(wèn)題分析的方法，這里的確定性和不確定性可以理解為兩種狀態(tài)：

●確定性：系統(tǒng)資產(chǎn)的價(jià)值大小、安全漏洞的客觀存在、安全威脅與現(xiàn)實(shí)的安全攻擊行為這些都在現(xiàn)實(shí)中有確定性的事與物、域與值。

●不確定性：外部的威脅會(huì)不會(huì)實(shí)際發(fā)生、漏洞會(huì)不會(huì)正好被利用了、安全事件即將造成影響的大小程度這些問(wèn)題會(huì)不會(huì)發(fā)生存在于不確定性的因素當(dāng)中。

另一方面，信息安全管理方面的安全措施又可分為兩類(lèi)，一類(lèi)是面向趨于客觀性的努力；另一類(lèi)是面向趨于主觀性的努力?？陀^性努力是客觀存在，實(shí)實(shí)在在的努力，如添加一個(gè)防護(hù)設(shè)備、修補(bǔ)安全漏洞；主觀性努力如提升安全意識(shí)、操作與審計(jì)職責(zé)分離等。

到目前為止，國(guó)際上最成功與認(rèn)可度最高的安全管理的實(shí)踐最早是由英國(guó)標(biāo)準(zhǔn)化組織建立的被稱(chēng)為ISO27001（Information Technology-Security Techniques-Information Security Management Systems—Requirements）的一套信息安全管理的體系，它實(shí)際上又是一組信息安全管理的最佳實(shí)踐，實(shí)踐內(nèi)容被放在ISO27002（InformationTechnology-SecurityTechniques-Code of Practice for Information Security Management）標(biāo)準(zhǔn)中，包括11大類(lèi)、39個(gè)控制目標(biāo)和133項(xiàng)控制（見(jiàn)圖3）。但最佳實(shí)踐的問(wèn)題是它并不是萬(wàn)能靈藥，不能照搬照抄，一旦有了最佳實(shí)踐，就產(chǎn)生了如何使用最佳實(shí)踐的問(wèn)題，就是如何選用最佳實(shí)踐中的這些控制措施。而選擇的控制措施是否適用系統(tǒng)，有沒(méi)有必要使用？就有必要引入一類(lèi)方法評(píng)估各自狀況，選擇基于個(gè)性化所要的安全控制措施，由此就產(chǎn)生了估的方法。這種安全管理體系建立的思路方法大致如圖3所示。

圖1 信息安全的通用準(zhǔn)則類(lèi)方法

圖2 信息安全管理的范疇

由于信息系統(tǒng)風(fēng)險(xiǎn)是由來(lái)自外部的威脅利用系統(tǒng)自身的脆弱性對(duì)系統(tǒng)資產(chǎn)造成破壞后產(chǎn)生損失而形成的，所以風(fēng)險(xiǎn)評(píng)估（Risk Assessment）基本上是基于對(duì)系統(tǒng)資產(chǎn)的現(xiàn)狀、面臨的安全威脅與系統(tǒng)自身的脆弱性3方面的因素進(jìn)行分析與計(jì)算，風(fēng)險(xiǎn)評(píng)估既可以使用定量方法也可以使用定性方法，而且由于有不確定性的因素存在，純定量的評(píng)估方法幾乎沒(méi)有人使用，業(yè)界通常用定性與定量相結(jié)合的方法進(jìn)行評(píng)估。

風(fēng)險(xiǎn)評(píng)估的結(jié)果就是專(zhuān)家的觀點(diǎn)，它只有相對(duì)的意義而并沒(méi)有絕對(duì)意義，對(duì)于系統(tǒng)而言，評(píng)估的結(jié)果意義在于它表明了針對(duì)某個(gè)資產(chǎn)的一種風(fēng)險(xiǎn)可能大于另一種風(fēng)險(xiǎn)，或某個(gè)資產(chǎn)面臨的風(fēng)險(xiǎn)比其他資產(chǎn)高。而風(fēng)險(xiǎn)管理的思路是用于控制相關(guān)風(fēng)險(xiǎn)的，手段就是合理選擇對(duì)抗風(fēng)險(xiǎn)的控制措施，當(dāng)然也可能考慮轉(zhuǎn)移風(fēng)險(xiǎn)或接受一些較低的風(fēng)險(xiǎn)從而表明系統(tǒng)可承受一些損失。

估的方法推廣了一套最佳實(shí)踐的安全管理體系建設(shè)理論，也引入了PDCA這種循環(huán)改進(jìn)的方法論。特別是為解決體系認(rèn)證的技術(shù)性問(wèn)題，還引入了對(duì)體系的認(rèn)證審核機(jī)制，這就是審計(jì)（Audit）的方法。

圖3 信息安全的最佳實(shí)踐類(lèi)方法

4 信息安全審計(jì)

估的方法在實(shí)質(zhì)上是在識(shí)重點(diǎn)的資產(chǎn)、抓緊急的安全威脅和找薄弱環(huán)節(jié)的脆弱性的過(guò)程，理論容易被接受，但實(shí)踐起來(lái)依據(jù)專(zhuān)業(yè)化的知識(shí)與能力，特別是一些主觀性的結(jié)論并沒(méi)有絕對(duì)的說(shuō)服力；那么，有沒(méi)有一種方法不是從參照其他成果出發(fā)找出自身安全發(fā)展道路的呢？下面說(shuō)說(shuō)審這種方法，詳情見(jiàn)圖4。

審的原理是從系統(tǒng)最終要達(dá)到什么結(jié)果出發(fā)，倒推出需要完成什么樣的安全指標(biāo)和實(shí)施什么樣的安全控制的，這樣每一個(gè)努力都有明確目的，反而不象風(fēng)險(xiǎn)評(píng)估那樣要依靠別人的實(shí)踐經(jīng)驗(yàn)成果。審的思路最清晰地可以借鑒IT治理相關(guān)控制目標(biāo)的形成，其中COBIT（Control Objectives for Information and Related Technology）從業(yè)務(wù)目標(biāo)出發(fā)定義了IT相關(guān)控制目標(biāo)，而信息安全的控制可以看作是一個(gè)目標(biāo)子集。

圖4 信息安全合規(guī)審計(jì)類(lèi)方法

審的方法是查結(jié)果、看記錄、驗(yàn)證據(jù)，信息安全審計(jì)大致要形成一個(gè)安全控制框架，梳理出一組安全控制目標(biāo)，針對(duì)達(dá)成安全控制目標(biāo)的活動(dòng)進(jìn)行分析，其內(nèi)在的邏輯是：如果IT過(guò)程中所有活動(dòng)的關(guān)鍵績(jī)效指標(biāo)可執(zhí)行，則可以保證安全過(guò)程目標(biāo)的達(dá)成；如果組織IT業(yè)務(wù)中所有IT過(guò)程的關(guān)鍵目標(biāo)指標(biāo)可完成，則可以保證IT目標(biāo)的達(dá)成；如果業(yè)務(wù)目標(biāo)中IT目標(biāo)中的關(guān)鍵成功因素可滿(mǎn)足，則對(duì)業(yè)務(wù)目標(biāo)的最終達(dá)成具有保障意義。

審的方法國(guó)內(nèi)、外都很流行，所以出現(xiàn)了很多審核機(jī)構(gòu)、控制手冊(cè)、審核員LA（Leader Auditor），審核的意義對(duì)一個(gè)組織的確非常重要。

5 信息安全檢查

解決單個(gè)系統(tǒng)的信息安全問(wèn)題的方法與解決一個(gè)群體的信息安全問(wèn)題的方法是有區(qū)別的，單個(gè)系統(tǒng)可以測(cè)、評(píng)，也可以估，但如果有成千上萬(wàn)個(gè)系統(tǒng)，運(yùn)用什么方法保護(hù)其信息安全呢？這正是政府所面對(duì)的信息系統(tǒng)安全問(wèn)題，一旦中國(guó)要對(duì)十幾萬(wàn)在冊(cè)的重要信息系統(tǒng)進(jìn)行保護(hù)時(shí)，方法就變得非常重要了，這就促使產(chǎn)生了一類(lèi)基線防護(hù)的方法，基本上可以總結(jié)為分區(qū)域、按等級(jí)、分層次、沿威脅路徑的縱深防御的思想方法。這種方法體現(xiàn)為建立基線、劃分等級(jí)、實(shí)施保護(hù)、評(píng)估檢查4個(gè)階段，如圖5所示。

圖5 信息安全的基本要求類(lèi)方法

檢查是一類(lèi)信息安全工作的方法，目前信息安全實(shí)踐中通常以設(shè)定信息安全的基線要求開(kāi)始，檢查的目的是讓安全工作符合相關(guān)要求，并且運(yùn)用各種手段，依據(jù)不同的評(píng)價(jià)指標(biāo)進(jìn)行評(píng)判，檢查一般由主管單位發(fā)起，是一種監(jiān)督管理工作的體現(xiàn)。國(guó)家的等級(jí)保護(hù)建設(shè)類(lèi)的安全工作就體現(xiàn)了檢查的重要思想。

6 信息安全度量

一直以來(lái)，信息安全工作的績(jī)效問(wèn)題也很受關(guān)注，其中關(guān)鍵還是解決如何度量與評(píng)價(jià)的問(wèn)題，這里可以參考一個(gè)其他方面的例子。

企業(yè)管理中開(kāi)會(huì)如果過(guò)多、沒(méi)有控制會(huì)損失工作效率，可解決的方法卻不是很多，而比較有名的韓國(guó)三星公司對(duì)開(kāi)會(huì)這件事就開(kāi)始使用度量的原理做事，作為商業(yè)公司所有企業(yè)行為都是為提升績(jī)效為目標(biāo)的，但如何提高是有講究的，西方有句名言：你不能改進(jìn)你不能測(cè)量的東西。所以，三星的想法就是量化——按準(zhǔn)備、主題、紀(jì)律、議程、結(jié)果、訓(xùn)練、時(shí)間、記錄、追蹤一系列可以進(jìn)行量化的維度展開(kāi)。這已經(jīng)被認(rèn)為是三星管理的一個(gè)成功實(shí)踐。

三星這種想法對(duì)企業(yè)管理是有意義的，美國(guó)研究績(jī)效的大牌專(zhuān)家詹姆斯·哈林頓曾說(shuō)：量化管理是第一步，它導(dǎo)致控制，并最終實(shí)現(xiàn)改進(jìn)。對(duì)于某些事情，如果不能量化就不能理解；如果不能理解，就不能控制；如果不能控制，就不能改進(jìn)。

這種方法也可以在其他領(lǐng)域推廣使用，比如信息安全，美國(guó)從事軟件工作的工程師Bill Curtis的思路是：不能理解，就無(wú)法管理；不能度量，就無(wú)法理解；不能建模，就無(wú)法度量；不能設(shè)想，就無(wú)法建模。

可見(jiàn)，信息安全度量是為了更好地評(píng)價(jià)與改進(jìn)信息安全，應(yīng)該被放在信息安全的相對(duì)成熟階段考慮，認(rèn)清態(tài)勢(shì)、把握尺度、持續(xù)改進(jìn)是其重要目標(biāo)。

安全度量MIT是很多年的研究項(xiàng)目，從MIT相關(guān)研究網(wǎng)站路線來(lái)看，度量做起來(lái)并不簡(jiǎn)單，需要定義對(duì)系統(tǒng)各方面的描述語(yǔ)言與格式定義（如OVAL、MAEC等），需要各方面的知識(shí)庫(kù)（如CVE、CWE、CCE等），需要用例，還需要標(biāo)準(zhǔn)化的度量過(guò)程（如SP800-51、SP800-53a、CC等）。要做到對(duì)系統(tǒng)軟硬件、資產(chǎn)、事件、互聯(lián)網(wǎng)威脅等完整的安全度量，還有很長(zhǎng)的路要走。

7 信息安全方法總結(jié)

用最樸素的方式總結(jié)這幾類(lèi)信息安全方法，可得如下結(jié)論與思考：

●測(cè)——解決有沒(méi)有的問(wèn)題，信息安全的方法先測(cè)試有沒(méi)有安全問(wèn)題、安全漏洞、軟件缺陷，這是一類(lèi)最為直觀并且有效的信息安全工作方法。

●評(píng)——評(píng)價(jià)好不好的程度，安全措施好不好，安全防護(hù)程度高不高，安全管理制度全不全面、系不系統(tǒng)。

●估——考慮適不適合使用、風(fēng)險(xiǎn)大小，適合的安全措施與安全防護(hù)，選擇適當(dāng)?shù)陌踩芾砜刂啤?/p>

●審——查驗(yàn)用沒(méi)用的結(jié)果，安全保護(hù)的結(jié)果如何，安全防護(hù)有沒(méi)有作用，安全措施有沒(méi)有效果，企業(yè)整體的安全目標(biāo)有沒(méi)有最終達(dá)成。

●查——檢查安全工作做沒(méi)做，安全要求是否落實(shí)，安全組織、安全技術(shù)、安全管理工作是否開(kāi)展，是否按上級(jí)要求開(kāi)展。

●量——測(cè)度能不能可持續(xù)地提升，能不能不斷地改進(jìn)組織的信息安全，使信息安全隨需應(yīng)變，步入良性發(fā)展的軌道。

這6類(lèi)基本方法刻畫(huà)了信息安全發(fā)展的一個(gè)簡(jiǎn)單路線圖：發(fā)現(xiàn)系統(tǒng)中信息安全漏洞與問(wèn)題、對(duì)當(dāng)前系統(tǒng)現(xiàn)狀的客觀評(píng)價(jià)、通過(guò)風(fēng)險(xiǎn)方法選擇適用的安全管理與控制、審核各種措施的效果與作用、檢查各項(xiàng)安全工作落實(shí)情況、最后通過(guò)度量方式使當(dāng)前安全狀態(tài)可持續(xù)地不斷提升與發(fā)展，這就是當(dāng)前可以看到的信息安全解決之道。

簡(jiǎn)而言之，測(cè)解決技術(shù)手段問(wèn)題，評(píng)面向技術(shù)控制措施，估對(duì)管理控制進(jìn)行風(fēng)險(xiǎn)分析判斷，審實(shí)施IT安全治理，查體現(xiàn)工作監(jiān)督管控，量感知把握態(tài)勢(shì)。而且，隨著信息化的發(fā)展，信息安全方法也不是一成不變的，實(shí)踐中又通常會(huì)運(yùn)用評(píng)審、估量等不同的信息安全方法保障信息系統(tǒng)的安全。

1 中國(guó)移動(dòng)業(yè)務(wù)安全通用評(píng)估規(guī)范

2 中國(guó)移動(dòng)互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評(píng)估實(shí)施管理辦法

ABriefAnalysis on Testing,Measurement,Evaluation,Assessment, Examination and Measurement for Information Security Methods

This paper summarizes and analyzes the popular information security methods from the point of domestic and foreign respectively,and makes a brief analysis for information security from different views.Security testing of the information systems,safety evaluation for product and systems,information security risk assessment,security auditing, security check as well as information security measure and so on are compared in this paper,some relevant best practice methods,fundamental requirement methods,common criterion class methods and compliance audit class methods are further parsed in the article.Concept and development direction on information security are also presented in the paper.

security testing,risk assessment,information security,security measurement

2015-01-05）