计算机信息系统评估标准与安全管理方法研究

2021-06-16熊婉迪刘新辉

电子技术与软件工程 2021年5期

熊婉迪刘新辉

（广州城建职业学院广东省广州市 510925）

对计算机进行风险评估的目的是确定外力环境下，不可控因素及其可能造成损失的概率及程度，以便选择针对性的控制措施。不同领域条件下，考虑到目标、影响以及行为主体的不同，风险评估的内容和方法也存在一定差异。对不同领域的重要活动和项目进行风险评估是必要的过程。随着互联网技术的广泛应用，用户逐渐认识到计算机内部信息安全的重要性。在计算机信息系统安全领域，风险已在内涵中进行了重新定义，指的是安全事件的可能性以及由于系统漏洞而人为或自然威胁所造成的影响。计算机信息系统风险评估主要针对信息和信息处理系统，是从内部原因和外部原因中综合判断其面临的风险。本文主要分析了我国风险评估的相关标准和方法，以致于风险评估的实施过程更加高效可靠。

1 计算机信息系统安全风险评估的必要性

计算机信息系统风险评估能够判断系统的安全环境与状况，还能够明确信息化过程中各级的责任，它为评估机构的高层管理人员提供了更加经济有效的安全管理措施，以确保整套安全管理策略的一致性。因此，在信息技术快速发展的今天，深入计算机信息系统风险评估标准与安全管理的研究具有现实意义[1]。

（1）计算机信息系统风险评估与安全管理符合当前信息化建设的根本需求。当前，计算机信息系统安全已经成为影响和限制信息建设的突出问题。通过科学的方法来预测并规避风险是信息建设的现实任务，也是计算机信息系统完善与发展的必然要求。尽管近年来计算机信息系统安全问题备受关注，但如何识别、评估以及规避信息安全风险的研究工作仍未达成理想预期。

（2）计算机信息系统风险评估与安全管理是为了加强信息安全的客观需要，以确保信息系统安全贯穿并作用于信息化系统建设过程中的各个阶段，必须按照风险管理标准对信息进行风险评估，以便正确响应信息系统可能会出现的各种安全问题。

（3）计算机信息系统风险评估与安全管理是信息系统规划建设的科学手段与重要依据。计算机信息系统与安全管理风险评估需要基于国家标准和规范展开实施，对计算机系统的各种风险因素展开定性与定量分析，获得评估结果，并结合结果提出针对性的改进措施。在整合各种现行标准、方法、管理规定以及运用先进性科学方法的基础上，提高计算机信息系统安全管理效率。

2 计算机信息安全系统管理模型与标准

2.1 安全体系模型

目前，世界上普遍认为计算机信息系统处于动态且不断改进的过程中，并且已经进行了大量研究工作，产生了各种动态安全系统模型。例如，基于时间的PDR 模型、P2DR 模型、 APPDRR 模型、PADIMEE ™模型和WPDRRC 模型。技术含量高的P2DR 模型和管理水平高的PADIMEE ™模型产生影响范围最广，而PADIMEE ™模型能够提供对系统安全性的全面描述。

该模型通过分析用户技术、业务需求以及用户计算机信息系统生命周期，从七个核心方面反映了计算机系统安全管理的连续周期，它们分别是：战略、评估、设计、实施、管理、应急响应以及教育，并将其业务与PADIMEE ™周期的所有环节紧密联系在一起，为用户打造该切实有效的管理方案，方案的核心思想是以工程方式展开计算机信息系统评估与安全管理工作。同时，更加重视管理与安全管理过程中的人为因素[2]。

信息安全评估要素主要包括信息资产自身内容、信息资产脆弱性、威胁信息资产安全因素、可能存在的信息风险、信息安全保护措施等。信息安全评估主要根据以上要素展开，基于对信息系统的脆弱性评估来判断会对系统产生破坏的威胁风险。针对上述要素的评估，应结合安全需求、残余风险、资产价值等属性进行分析。信息安全评估要素关系模型如图1 所示。

图1 中方框部分为信息系统安全评估基本要素，椭圆部分为基本要素相关属性。信息系统安全评估主要根据基本要素展开。

2.2 风险评估标准

随着网络的发展趋势呈现出一定的复杂性，使计算机信息风险评估逐渐向标准化靠拢。目前，国外已经对某些特定信息系统提出了相关评估标准，其中包括CC/ISO15408《信息技术安全性认证通用标准》、BS-7799/ISO17799《信息安全管理体系标准》以及ISO13335《信息安全管理标准》等。从整体层面出发，国际信息安全评估经历了一个发展过程，从仅侧重于技术到技术和管理，从独立计算机到网络再到信息系统基础架构，以及从单个安全属性到多个安全属性的不断完善的过程。国内在采用一些国际标准的基础上，提出了GB/T20984-2007《信息安全技术信息安全风险评估规范》，但在实施过程中仍存在以下不足。

2.2.1 安全功能较欠缺

国标仅对未授权主体的控制进行了一定的考虑，包括机密性、可靠性以及完整性，但没有充分考虑对未授权主体的不当行为的控制。计算机信息系统的可控制性和不可否认性是对授权主体的控制，属于系统机密性、可靠性以及完整性的充分补充。它主要对授权用户在授权范围内的合法访问权限进行调整，并对用户访问记录进行监督与审查。

2.2.2 评价不具备针对性

不同行业的计算机信息系统对安全功能的重视程度明显不同。以智能化计算机信息系统为例，国家标准没有在工程意义层面上区分不同安全指标重要性的差异化特征，更没有平等对待计算机系统评估标准与安全管理的机密性、可靠性以及完整性，从而使评估结果不准确。

2.2.3 评估计算不完整

在对风险价值和风险等级进行分析计算后，该标准不再对所有评估结果进行合并，以形成整个系统的风险价值和风险等级。不同的系统结构和计算方法的组合可能有所不同，这也导致最终评估结论大相径庭。另外，缺乏相关数据来支持不同安全管理措施下，同一系统风险水平效果的对比。

3 计算机信息系统安全管理方法

3.1 威胁分析

尽管计算机信息系统评估标准定义了测量信息，但采用科学有效的安全管理方法对计算机信息系统的安全性仍然具备重要意义。

目前，尚无统一的方法对各种威胁进行分类。用户会在不同的场合下使用不同的分类方法。分类依据包括：内部威胁和外部威胁；主动威胁和被动威胁；偶然威胁和故意威胁等。通过对系统潜在威胁的判断与分析，能够及时制定相应的系统安全策略，并根据相应的安全管理机制进行实施，这一方法也有助于对计算机信息系统安全进行针对性地检查与管理[3]。

3.2 安全要求与组织安全策略

组织化常规安全策略是指计算机信息系统中的管理者和用户为正常运行所制定的安全规则、程序、做法以及准则。组织安全策略的分析是判断计算机信息系统安全管理级别和保证正常运行能力的重要体现。安全要求代表组织对计算机信息系统安全管理的策略、职责以及技术服务的要求。评估防应结合安全要求，保证安全要求、组织制定、安全保护级别、应用程序之间具有一致性。

3.3 安全功能检测

检测功能包括肯定和验证两种方式：在肯定检测中，主要观察的是计算机信息系统安全管理功能规划的合理性和可行性。首先，在计算机信息系统中的信息以机器可读语言评估标准在生成的测试向量和测试驱动器的基础上，通过评估信息系统安全功能进行描述，并在实际的测试驱动操作下，获得检测指标，建立计算机信息系统安全关系评价信息数据库；验证方式主要是利用扫描和模拟攻击，对计算机信息系统中的安全漏洞进行查找，从而明确为评估提供指标信息。安全功能检测作为安全评估中最直观的评估方法，它能够直接在被评估对象中发现隐藏的安全风险，并在被评估对象受到攻击时测试其生存能力。在计算机信息系统安全功能检测中，首先分析系统的整体结构，分别评估信息系统的边界、计算环境以及保护能力，以检测各部分是否具备应对威胁攻击的能力。

3.4 信息库和知识库评估推理

评估信息库收集了上述分析和测试形成的指标，这是计算机信息系统安全评估的客观基础。评估知识库包括典型信息系统安全评估模型，其能够直接反映出安全要素与安全指标的映射关系。根据计算机信息库和知识库的推论，提供客观全面的安全评估报告和安全管理优化策略。计算机信息系统安全管理实施框架如图2 所示。

计算机信息系统安全管理实施过程是：分析计算机信息系统的组成，分别对计算环境、系统边界、网络设施等进行分析、测试与确认，将评估结果存放在监控器中验证信息数据库中。根据计算机信息系统安全管理策略、要求以及威胁，在评估标准、模型以及知识库的基础上进行综合评估，给出最终评估结论，构成评估报告，为安全改进措施提供决策支持[4]。