研究报告二 网络安全评估标准研究报告 一、研究现状 随着网络技术的发展，计算机病毒、网络入侵与攻击等各种网络安全事件给网络带来的威胁和危害越来越大，需对网络数据流进行特征分析，得出网络入侵、攻击和病毒的行为模式，以采取相应的预防措施。宏观网络的数据流日趋增大，其特征在多方面都有体现。为了系统效率，只需对能体现网络安全事件发生程度与危害的重点特征进行分析，并得出反映网络安全事件的重点特征，形成安全评估指标。

随着信息技术与网络技术的迅猛发展, 信息安全已经成为全球共同关注的话题, 信息安全管理体系逐渐成为确保组织信息安全的基本要求, 同时网络与信息安全标准化工作是信息安全保障体系建设的重要组成部分。网络与信息安全标准研究与制定为管理信息安全设备提供了有效的技术依据, 这对于保证安全设备的正常运行和网络信息系统的运行安全和信息安全具有非常重要的意义。本文将介绍当前网络信息安全标准研究的现状, 并着重介绍几个现阶段国内外较流行的安全标准。

近年来，面对日益严峻的网络安全形式，网络安全技术成为国内外网络安全专家研究的焦点。长期以来，防火墙、入侵检测技术和病毒检测技术被作为网络安全防护的主要手段，但随着安全事件的日益增多，被动防御已经不能满足我们的需要。这种情况下，系统化、自动化的网络安全管理需求逐渐升温，其中，如何实现网络安全信息融合，如何真实、准确的评估对网络系统的安全态势已经成为网络安全领域的一个研究热点。

对网络安全评估主要集中在漏洞的探测和发现上，而对发现的漏洞如何进行安全级别的评估分析还十分有限，大多采用基于专家经验的评估方法，定性地对漏洞的严重性等级进行划分，其评估结果并不随着时间、地点的变化而变化，不能真实地反映系统实际存在的安全隐患状况。再加上现在的漏洞评估产品存在误报、漏报现象，使得安全管理员很难确定到底哪个漏洞对系统的危害性比较大，以便采取措施降低系统的风险水平。因此，我们认为：漏洞的评估应该充分考虑漏洞本身的有关参数及系统的实际运行数据两方面信息，在此基础上，建立一个基于信息融合的网络安全评估分析模型，得到准确的评估结果

2 相关工作 现有的安全评估方式可以大致归结为4类:安全审计、风险分析、安全测评和系统安全工程能力成熟度模型SSE-CMM ( Systems Security Engineering Capability MaturityModel)等。大部分通用的信息安全标准,如ISO 17799,ISO13335等,其核心思想都是基于风险的安全理念[4-6]。信息技术先进的国家,例如美国、俄罗斯和日本等在信息安全保障评价指标体系方面已经率先开展了研究工作。特别是美国,利用卡内基梅隆大学系统安全工程能力成熟度模型SSE-CMM[4]较早地建立了信息安全保障评价指标体系[5,6]。Rayford B.Vaughn[7]和Nabil Seddigh[8]等人研究了信息安全保障评价的概念和范畴,给出了信息安全保障评价的框架。在国内,国家信息中心[9,10]研究了网络信息系统的信息安全保障理论和评价指标体系;更多的研究针对网络安全的评价指标体系[11]。在评估方面,魏忠[12]提出了从定性到定量的系统性信息安全综合集成评估体系;肖道举等[13]进行了网络安全评估模型的研究;黄丽民等[14]提出了网络安全多级模糊综合评价方法;李雄伟等[15]在采用模糊层次分析法Fuzzy-AHP评估网络攻击效果方面取得了一定的成果。有些研究已经应用到具体的行业中[16-18]。最近,中国工业与信息产业部推出了“中国信息安全产品评测指标体系”[19]。目前,有关网络信息系统的安全评价虽然存在着多种多样的具体实践方式,但在世界上还没有形成系统化和形式化的评价理论和方法。评价模型基本是基于灰色理论(GrayTheory)或者模糊(Fuzzy)数学,而评价方法基本上用层次分析法AHP(Analytic Hierarchy Process)或模糊层次分析法Fuzzy-AHP,将定性因素与定量参数结合,建立了安全评价体系,并运用隶属函数和隶属度确定待评对象的安全状况。

上述各种安全评估思想都是从信息系统安全的某一个方面出发,如技术、管理、过程、人员等,着重于评估网络系统安全某一方面的实践规范,在操作上主观随意性较强,其评估过程主要依靠测试者的技术水平和对网络系统的了解程度,缺乏统一的、系统化的安全评估框架,很多评估准则和指标没有与被评价对象的实际运行情况和信息安全保障的效果结合起来。在目前的评估方法中,基础指标(技术、管理、工程和战略)是相互独立的,技术、管理、工程和战略措施是并行的,评价指标之间相互独立,从而导致评价精度下降和评价准确性出现偏差。

二、指标体系详细 3.3 信息安全保障评价指标体系 由信息安全保障评价框架和流程可以得知,信息安全保障评价指标的核心为静态(功能)指标、动态(运行)指标和状态(属性)指标。信息安全保障评价指标体系如图3所示[20] 由图3可得信息安全保障评价指标体系分为4级: (1)总体指标 总体指标为信息安全保障评价指标,表示信息安全保障整体的安全态势、保障效果、经济和社会效益。

(2)Ⅰ级指标 分别采用静态评估、动态评估和状态评估3种手段对信息安全保障系统进行评价,得到3个Ⅰ级指标,即静态、动态和状态指标。

(2)Ⅱ级指标 由3个Ⅰ级指标延伸出如下11个Ⅱ级指标: a)静态指标包括战略完备性、管理先进性、工程成熟性和 技术有效性; b)过程指标包括预警、检测和防御; c)效果指标包括状态监控、安全基线、保障效果和保障效 益。 (3)Ⅲ级指标 Ⅲ级指标为基础指标,它是在信息系统上通过技术手段和管理手段可以直接或者间接采集或者统计得到的数据和信息,即为底层的信息安全保障运行数据。基础指标的组成如下:

a) 静态指标包括安全政策、安全条例、安全实施和安全措施; b)过程指标包括预警、检测和防御; c)效果指标包括整体安全性、安全运行最小要求、信息和信息系统的安全属性以及社会效益和经济效益。

3 网络与信息系统安全性评估指标体系 初步拟定,整个指标体系,包括5个大项, 35个条款。 3.1 纲 目如表1所示。表1 指标体系纲目 类 别地 位分 值 实体与环境安全基础30分30% 组织管理与安全制度关键30分30% 安全技术措施保障20分20% 网络通信安全重点10分10% 软件与信息安全重点10分10% 3.2 细 则 3.2.1 实体与环境安全(30分) (1)机房周围100 m内无危险建筑。(2分) 危险建筑:指易燃、易爆、有害气体等存在的场所,如加油站、煤气站、煤气管道等。 (2)有监控系统。(3分) 监控系统:指对系统运行的外围环境、操作环境实施监控(视)的设施。 (3)有放火、防水措施。(2分) 防火:指机房内安装有火灾自动报警系统,或有适用于计算机机房的灭火器材、应急计划及相关制度。 防水:指机房内无渗水、漏水现象,如机房上层有用水设施需加防水层。 (4)机房有环境测控设施(温度、湿度和洁净度)。(5分) 温度控制:指机房有空调设备,机房温度保持在18～24℃。 湿度控制:指相对湿度保持在40%～60%。 洁净度控制:机房和设备应保持清洁、卫生,进 出机房换鞋,机房门窗具有封闭性能。 (5)有防雷措施(具有防雷装置,接地良好)。 防雷装置:指机器设备有接地措施,电器设备(包括通信设备和电源设备)有防雷设施。 (6)备用电源和自备发电机。(2分) (7)使用UPS。(2分) (8)防静电措施(采用防静电地板,设备接地良好)。(2分) (9)专线供电(与空调、照明用电分开)。(5分) (10)防盗措施。(5分) 中心有人值班,出入口安装防盗安全门,窗户安装金属防护装置,机房装有无线电遥控防盗联网设施。

3.2.2 组织管理与安全制度(30分) (11)有专门的信息安全组织机构和专职的信息安全人员。(4分) 信息安全组织机构的成立与信息安全人员的任命必须有有关单位的正式文件。 (12)有健全的信息安全管理的规章制度。(4分) 有规章制度的得2分,上墙的得2分。 (13)信息安全人员的配备,调离有严格的管理制 度。(4分) (14)设备与数据管理制度完备,并且上墙。(4分) (15)有详尽的工作手册和完整的工作纪录。 (4分) (16)有紧急事故处理预案。(3分) (17)有完整的信息安全培训计划和培训制度。 (4分) (18)各类人员的安全职责明确,安全管理制度严 格。(4分) 3.2.3 安全技术措施(20分) (19)有灾难恢复的技术对策。(3分) (20)采取开发工作与业务工作分离措施。(2分) (21)具有应用业务。系统安全审计功能。(3分) (22)有系统操作日志。(3分) 系统操作日志:指每天开、关机,设备运行状况等文字记录。 (23)有服务器备份措施。(4分) (24)有防黑客入侵设施。(3分) 防黑客入侵设施:设置防火墙,有入侵检测等设施。 (25)有计算机病毒防范措施。(2分) 计算机病毒防范措施:备有病毒预防及消除的软、硬件产品,并能定期升级。 3.2.4 网络与通信安全(10分) (26)放置通信设施的场所设有醒目标志。(2分) (27)重要通信线路及通信控制装置均有备份。 (28)采取加密措施。(2分) (29)系统运行状态有安全审计跟踪措施。(2分) (30)网络与信息系统加有访问控制措施。(2分) 访问控制措施:指能根据工作性质和级别高低,划分系统用户的访问权限。