系统化的信息安全评估方法

金融、电信、证券、保险、民航、铁路、税收和海关8个系统，以及电信网络、广电网络和互联网络3个基础网络是我国信息安全保障的重中之重。目前，中国信息化水平与国际先进水平还有较大差距，信息安全保障尚存在很多问题亟待解决。我国信息安全保障的发展经历了3个阶段：第一阶段为单机版的杀病毒和防病毒软件；第二个阶段为从单一的防火墙产品逐渐向信息安全系列产品发展；第三个阶段为信息安全保障体系的建设。信息安全保障的内容和深度不断得到扩展和加深．但依然存在着“头痛医头，脚痛医脚”的片面性，没有从系统工程的角度来考虑和对待信息安全保障问题。

信息安全保障问题的解决既不能只依靠纯粹的技术，也不能靠简单的安全产品的堆砌。它要依赖于复杂的系统工程——信息安全工程SSE(System Security Engineering)。信息安全工程是采用工程的概念、原理、技术和方法，来研究、开发、实施与维护信息系统安全的过程，是将经过时间考验证明是正确的工程实施流程、管理技术和当前能够得到的最好的技术方法相结合的过程。

由于国家8个重点信息系统和3个重点基础网络本身均为复杂的大型信息系统，因此必须采用系统化方法对其信息安全保障的效果和长效性进行评估。

2相关工作

目前，国际上系统的信息安全评价方法主要是美国国家安全局提出的系统安全工程能力成熟模型ssE-CMM(SystemSecurity Engineering-Capability Maturity Model)和《信息保障技术框架》LATF(Information Assurance TechnicalFramework)。

系统安全工程能力成熟模型(SSE-CMM)的开发源于1993年5月美国国家安全局发起的研究工作。SSE-CMM确定了一个评价安全工程实施的综合框架，提供了度量与改善安全工程学科应用情况的方法。也就是说，对合格的安全工程实施者的可信性，是建立在对一个工程组的安全实施与过程的成熟性评估之上的。SSE-CMM项目的目标是将安全工程发展为一整套有定义的、成熟的、可度量的学科。目前，SsE．CMM已经成为西方发达国家政府、军队和要害部门组织和实施安全工程的通用方法，是系统安全工程领域里成熟的方法体系，在理论研究和实际应用方面具有举足轻重的作用。

美国国家安全局LATF(《信息保障技术框架》)对信息安全工程进行了深入研究，以为保护美国政府和工业界的信息与信息技术设施提供技术指南。IATF从整体、过程的角度看待信息安全问题，其代表理论为“深度防护战略(Defensein-Depth)。IATF强调人、技术、操作这3个核心原则，关注4个信息安全保障领域：保护网络和基础设施、保护边界、保护计算环境、支撑基础设施。最终将信息安全工程的重点放在了发掘信息保护的需求上，即“保护需求的导出PNE”，详细说明了信息安全系统工程ISSE(Information Security Systern Engineering)中第一个、也是最重要的一个活动。

在国内学术研究方面，北京邮电大学信息安全中心的杨义先教授及其课题组在采用模糊层次分析法Fuzzy-AHP进行网络攻击效果评估方面取得了一定的成果；清华大学的段海新教授提出了一种实体安全体系结构；国防科技大学的黄遵国研究员在网络可生存技术及其实现框架方面取得了成果；国家信息中心的吕欣研究了网络信息系统的信息安全保障；在信息安全评价框架、模型和算法研究方面，北京大学计算机科学技术研究所信息安全实验室的徐辉等研究了基于动态贝叶斯规划图的状态安全报警关联；海军工程大学的吴晓平教授等提出了基于贝叶斯网络的信息安全风险评估方法；成都三零盛安信息技术有限公司的魏忠研究了从定性到定量的系统性信息安全综合集成评估体系；山东大学的黄丽民和王华教授提出了网络安全多级模糊综合评价方法；华中科技大学的肖道举和杨素娟教授进行了网络安全评估模型研究；还有很多其他研究人员在人为因素和管理等方面都做了大量的工作，提出了许多很好的安全评估方法。

目前，有关信息系统的安全评价虽然存在着多种多样的具体实践方式，但在世界上还没有形成系统化和形式化的评价理论和方法。评价模型基本是基于灰色理论(Gray Theory)或者模糊(Fuzzy)数学，而评价方法基本上用层次分析法AHP(Analytic Hierarchy Process)或模糊层次分析法Fuzzy AHP将定性因素与定量参数结合，建立了安全评价体系，并运用隶属函数和隶属度确定待评对象的安全状况。上述各种安全评估思想都是从信息系统安全的某一个方面出发，如技术、管理、过程、人员等。着重于评估网络系统安全某一方面的实践规范。在操作上主观随意性较强，其评估过程主要依靠测试者的技术水平和对网络系统的了解程度，缺乏统一的、系统化的安全评估框架，很多评估准则和指标没有与被评价对象的实际运行情况和信息安全保障的效果结合起来。

3系统化信息安全评估模型

系统化信息安全评估是为确保实施长效机制的信息安全保障工程，对信息安全保障建设过程进行监督和指导。其内容包括：(1)涉及分布于整个信息安全保障工程生命周期中各个环节的工程活动，包括概念定义、需求分析、设计、开发、集成、安装、运行、维护及更新；(2)为信息安全产品开发者、安全系统开发者和集成者提供信息安全保障指导，以及提供信息安全服务和信息安全工程的组织；(3)适用于各种类型和规模的信息安全保障工程组织，例如行业、商业、政府和研究机构。

3．1信息安全保障框架模型

信息保障系统在结构上具有分布式、层次化的特点，在功能上具有动态、多样化的特点。现代信息保障体系包含战略、管理、技术和工程体系3大要素；拥有预警、保护、检测、反应、恢复和反击6大能力。信息保障评价过程跨越了信息和信息系统的规划、设计、实施、运维和废弃5个基本阶段。因此，评价一个信息保障系统保障能力的大小，需要从不同的维度进行度量，既要考虑现有的安全措施是否满足抵御威胁的要求，又要考虑实际的运行效果是否满足设计要求。

3．2基于状态观测器的信息安全综合评价模型

本文根据现代控制理论和状态控制理论，在信息安全保障框架模型(见图1)的基础上，建立了一个基于状态观测器的信息保障综合评价模型，如图2所示。

该模型具有2个反馈环路。通过状态变量的计算。安全属性值按照一定的反馈控制律反馈输入端，也就是调整安全保障措施，使信息保障的保障能力动态调整，不断地适应安全需求。具体到模型中，反馈控制的变量为保障措施，例如入侵检测、传输加密和防火墙等。保障措施设置不当，体现在某个保障措施的某个具体参数不适当，例如加密算法的密钥长度、防火墙的过滤规则等。假如在整体保障能力中有某项安全属性要求的情况下，依据子系统权重递减的顺序。先分析重要性最高的子系统。如果该子系统能满足属性需求，则考虑次重要子系统。否则，分析该子系统中的基础指标集合，同样依据基础指标的权重，从最重要的基础指标的安全措施调整，调整力度为提高一个序化等级，然后再次进行整体属性计算，直到能够满足所有的安全属性保障需求为止。

图2所示的信息保障评价模型，主要包含保障措施集合、保障效果集合、状态观测器、状态反馈控制律、实际效果反馈等组成要素。

在控制理论中，状态观测又叫状态重构，其实质就是对物理上无法直接观测的状态变量进行估计的过程。在本文所设计的基于状态观测器的信息保障评价模型中，状态变量选取的是信息安全属性指标，显然这些指标不具备物理可观测性。因此必须构造适当的状态观测器，对信息安全属性进行测算。

在信息保障评价模型中，状态观测的过程就是通过对目标保障系统建立适当的指标体系，采集指标，然后进行信息安全属性量化计算的过程。目前，对信息安全属性的定义往往是叙述性的描述。若要对其进行量化计算，就需要首先解决两个问题：一个是信息安全属性的量化定义；一个是信息安全属性的量化算法。在现代控制论中，状态变量能够完全反映系统的运动状态。在信息保障评价模型中，状态变量——信息安全属性的计算结果，全面反映着信息保障体系的保障能力，是进行信息保障评价的最终目标之一。因此，状态变量的计算或者说状态观测器的设计就显得尤为重要。

如系统控制理论所说，状态反馈是将系统的每一个状态变量乘以相应的反馈系数，然后反馈到输入端，参考输入相加，形成控制律，作为受控系统的控制输入。因此，反馈控制律的设计是反馈控制的核心。在本文设计的评价模型中，状态反馈发生在信息安全按属性计算之后，通过比较每一个信息安全属性的计算结果和安全需求的差值来判断反馈过程。如果发现某一个安全属性的计算结果大于安全需求区间，则判定为该属性过度保障，需要降低保障措施的保障级别。反之，如果小于安全需求区间，则判定为该属性保障不足，需要提高保障措施的保障级别。

信息安全是一个全面的概念，包含信息系统安全、信息安全和运行安全3大层次的内容。信息保障措施依据其保障对象也可以分为信息系统保障措施、信息安全保障措施和运行安全保障措施3大类。

(1)信息系统保障措施保障的是信息系统的抗毁性、生存性和有效性，属于物理安全。面临的主要威胁是人为的或自然的物理破坏，例如地震、火灾、施工破坏、设备自然老化等。保障的目的是信息系统抵御物理破坏的能力或者物理破坏发生后的生存能力。主要的保障措施有重要设备访问控制、机房建筑防火抗震、通信线路合理布置和可靠供电系统等。

(2)信息安全保障措施保障的是信息自身的机密性、完整性、真实性、可鉴别性和不可抵赖性。面临的主要威胁是信息窃取、篡改、仿冒和抵赖等。威胁的表现形式有黑客攻击、病毒、蠕虫和诈骗等。技术保障措施有身份认证、防病毒体系、访问控制、加密技术、安全协议和安全操作系统等。

(3)运行保障措施保障的是系统运行的可控性、可用性、可确认性，保证系统在满足服务需求的水平上稳定运行。主要面临的威胁有非法控制系统、拒绝服务攻击等。主要的技术保障措施有防火墙、入侵检测系统、安全审计技术等。

随着信息保障技术的不断发展，有一些保障技术设备拥有了多种保障能力。例如。有些防火墙设备集中了包过滤、防病毒、入侵检测和加密传输等多种功能。因此，难以从物理形态上对这些保障措施进行区分。所以，本文提出的信息保障评价模型输入量的保障措施为逻辑上的概念，是一定的保障功能和技术参数的集合，并非指的是物理设备。例如，定义防火墙就是一种执行网络过滤功能的保障措施，其技术参数有并发连接数、网络数据包处理速度、最大规则数、时延和包过滤算法等。

为了实现对保障措施自适应的反馈调整，需要对保障措施的保障能力进行度量。度量参考的指标就是每个保障措施自身的技术参数。度量方法可以采用序化度量的方式。

序化度量的思想就是采用一系列值，这些值表明由大到小或由小到大的顺序，并不是反映实际的大小或者实际的大小没有意义。例如，加密技术中按照密钥长度进行序化度量，可以分为128位、256位、1024位等几个级别。这样，当保障措施需要调整时，可以按照需要按升序或降序调整保障措施的具体参数。

就国家而言，保障的核心信息系统的重要性是有层次性和差异性的；就企事业单位而言，支撑其业务正常流转的各类信息、信息系统重要性也有差异。因此，构建信息安全保障体系需要针对信息和信息系统面临的威胁、信息的重要性、信息系统的重要性和系统遭到攻击破坏后造成的危害程度等。依据国家制定的等级保护标准设定其保护等级，细化安全需求。只有通过科学分析，合理确定安全需求，才能真正实现科学合理的适度保障，既能避免保障不足造成的损失，又不会由于过度保障引起不必要的浪费。安全需求的量化描述就是依据信息安全属性的量化定义，各组织机构依据实际需求，给出所有信息安全属性的量化的需求底线。假设以概率方法定义信息安全属性，以机密性为例是：信息在操作过程中不会被捕获或捕获不被解密的概率，此时某组织对信息保障机密性的要求为95％，其含义就是信息保障系统要保障重要信息不被捕获或者捕获之后不被破解的概率不能低于95％。

在图2所示的评价模型中，实际保障效果作为评价模型的输出量而存在，说明了保障措施和实际保障效果之间存在正相关性。简单来说，就是保障措施设置越到位，在一定时期内安全事件发生的次数就越少，安全事件造成的损失也越小。反之，如果实际保障效果不能满足组织对信息保障的要求，也就说明保障措施的设置存在缺陷，需要有针对性地调整。通过状态观测器测量的属性结果是一种带有预计性的保障能力评价，与实际的保障效果可能有偏差。因此，需要依据一定时期内统计的实际保障效果，有针对性地调整保障措施。实际效果反馈的是一种“亡羊补牢”的思想，信息保障体系在实际运行一定时期后，由于安全形势发生了改变，或者出现新的安全威胁等原因，需要对保障体系进行重新规划和设计。

4系统化评估方法

系统化的评估方法就是从战略、管理、工程和技术4个方面对信息系统的信息安全进行全面的评估。信息安全评价包括3个过程：静态评估、动态检测和状态监控。本文提出的信息系统信息安全评价方法如图3所示。

运用图3所示的评价方法进行信息保障评价的具体流程如图5所示。

信息保障评价模型工作流程需要经过系统划分、保障需求分析、保障措施识别、指标体系建立、基础指标采集整理、信息安全属性运算和状态反馈等几个主要环节。其中，系统划分、保障需求分析、保障措施识别是评价准备阶段，为信息安全属性的计算提供基础数据。

结束语系统化信息安全评价的思想是为确定一个评价信息安全工程实施的综合框架，提供评价度量与改善信息安全工程学科应用情况的方法。系统化评价模型及其评价方法可达到的目的:(1)确定信息安全保障工程的保障能力和目标，(2)完成信息安全保障工程的设计和建设;(2)决定信息安全保障工程的投资决策;(3)建立信息安全保障工程的长效机制。系统化信息安全评价的方法适用于所有形式的信息安全保障工程，涵盖信息安全保障工程的3个方面:安全状态改善、防护能力评估和保障效果评价。

建立健全的信息系统的信息安全保障评估方法体系，是实施中国信息安全战略的重要保证。借助信息安全保障评价体系对我国的重点信息系统和核心业务系统进行统一分析和纵横比较，将有助于对我国信息安全防御态势做出量化的结论，为国家提供决策支持，对我国重点信息安全建设的规划、信息安全建设的投人，乃至信息安全管理政策的制定、信息安全技术的研究与发展都具有重要意义。因此，建立健全的国家信息安全保障评价体系是一项带有战略意义的任务。