1.6 信息安全评估

信息安全评估是指评估机构依据信息安全评估标准，采用一定的方法对信息系统的安全性进行评价。信息安全评估的主要目标是发现信息系统中的潜在风险，找出信息安全建设中的薄弱环节，向信息系统的用户提出预警，为信息系统管理者的决策提供可靠、真实的数据和资料，促进信息系统安全保障工作得到有效、持续的改进。

1.6.1 信息安全评估方式

信息安全评估的方式包括价值评估、风险评估、等级保护测评和渗透测试等。

一、价值评估

信息系统是满足用户所需的业务系统，其安全只是整个信息系统中的一环。此外，信息安全是实用技术，不能一味追求理论上的完美。因此，需要从信息系统自身的价值和提供相应安全服务所需花费的额外代价两方面进行价值评估，即对保护信息及其系统的价值进行评估，包括物理价值、软件价值、网络价值、管理价值和人员成本等。其中，物理价值是指计算机、存储设备（磁盘和内存等）和外围设备的硬件费用。软件价值是指操作系统、应用程序和数据所涉及的费用。网络价值是指网络各部件本身的费用。管理价值是指防护管理所需规定、制度、政策的费用。人员费用是指操作员、维修员、用户、管理员的雇佣费和培训费等方面的支出。要达到保护的重点明确和层次清楚，不花很大代价去保护低价值的信息。

二、风险评估

风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁及利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

价值评估和风险评估紧密相关，在价值和损失的风险之间必须做出权衡。风险评估不能笼统做出，而要一项一项具体分析。风险评估主要包含资产分析、威胁分析、脆弱分析和安全措施建议，并考虑业务战略、资产价值、安全需求、安全事件、残余风险等相关属性。其中，资产分析是对资产进行识别，并对资产的价值进行赋值。威胁分析是对威胁进行识别，描述威胁主体、影响对象、出现频率、动机等属性，并对威胁出现的频率赋值。威胁的种类很多，如火灾、水灾和地震等自然灾害威胁，过失损害或恶意损害等人工威胁等。不同信息系统所关心的威胁类型不同，要求的层次也有差别。只有威胁的种类和层次分析清楚才能采取有效的防范措施。脆弱性分析是对脆弱性（包括物理漏洞、硬件漏洞、软件漏洞、网络漏洞、管理漏洞和人员漏洞等）进行识别，并对具体信息系统的脆弱性严重程度赋值。其中，物理漏洞包括不严格的机房进出控制，不可靠的环境控制（如空调和供水等），不可靠的电源和防火措施等。硬件漏洞包括信号辐射等。软件漏洞包括错误的响应，不能备份和不能升级等。网络漏洞包括缺乏对信息窃听的防范措施，缺乏路由冗余等。管理漏洞包括不完善，前后矛盾，不适当的规定，以及制度和政策等。人员漏洞包括贪欲、欺诈和贿赂等。任何信息系统都有各种漏洞或脆弱性，信息安全的任务就是弥补漏洞，克服原有脆弱性。风险评估是根据威胁及利用脆弱性的难易程度判断安全事件发生的可能性，根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失，根据安全事件发生的可能性及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。最后，根据风险值提出相应的防护措施。

三、等级保护测评

信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种方式。信息安全等级保护包括定级、备案、安全建设和整改、信息安全等级保护测评、信息安全检查5个阶段。其中，信息安全等级保护测评是测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。通过等级保护测评，可以了解目前的信息系统安全保护实际情况，明确安全需求，为后续的信息安全建设和整改提供参考和依据，并切实提升信息系统的安全防护能力。在信息安全等级保护测评中，包括测评活动准备、方案编制、现场测评和分析及报告编制。

信息系统安全等级保护测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同，安全等级的信息系统应具有不同的安全保护能力：一方面，通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；另一方面，分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的结构及安全控制间、层面间和区域间的相互关联关系密切相关。因此，信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评。

四、渗透测试

渗透测试是尽可能完整地模拟攻击者使用的漏洞发现技术和漏洞利用等攻击手段，从攻击者的角度对信息系统中的目标网络、系统、主机应用的安全性作深入的非破坏性的探测，发现系统最脆弱环节的过程。渗透测试通常能以非常明显、直观的结果来反映出信息系统的安全现状，其目的是能够让管理人员直观地知道自己信息系统所面临的安全问题。

在渗透测试中，为了不对测试目标造成破坏、损害或篡改，某些可能会对测试对象造成负面影响的攻击方法和手段，在渗透测试中不予使用，具体包括社会工程学、分布式拒绝服务攻击、恶意代码（包括木马、病毒等），以及对即时通信工具的攻击和网络钓鱼等。

1.6.2 信息安全评估标准

信息安全评估标准是信息安全评估的行动指南，为此，不同国家和组织都提出了不同的信息安全评估标准，如美国国防部制定的可信计算机系统评估准则（Trusted Computer System Evaluation Criteria，TCSEC）。TCSEC准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布，是计算机系统安全评估的第一个正式标准。该标准认为要使系统免受攻击，对应不同的安全级别，硬件、软件和存储的信息应实施不同的安全保护。安全级别对不同类型的物理安全、用户身份验证、操作系统软件的可信任性和用户应用程序进行了安全描述。

TCSEC标准对多用户计算机系统安全级别的划分进行了规定，并将网络安全性由高到低划分为A、B1、B2、B3、C1、C2、D，共4类7个等级，其中，A类安全等级最高，D类安全等级最低，对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求，如表1-2所示。

一、D1级

D类安全等级只包括D1一个级别。D1级是可用的最低安全级别，也称酌情安全保护。D1标准几乎是一个完全没有保护的信息系统。对于硬件来说，没有任何保护作用。对于操作系统来说较容易受到损害。对于用户和他们存储在计算机上的信息来说，没有系统访问限制和数据访问限制，没有身份认证，任何人不需要账户都可以进入系统，不受限制就可以访问他人的数据文件。因此，整个系统都是不可信任的，硬件和软件都易被入侵。

二、C1级

C类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力。C类有两个安全子级别，分别是C1和C2。其中，C1级称为自主安全保护。对硬件来说，存在某种程度的保护，因为它不再容易受到损害，尽管这种可能性存在。用户必须通过用户注册名和口令系统识别自己，用这种方式来确定每个用户对程序和信息拥有什么样的访问权限。C1级信息系统的可信计算基（Trusted Computing Base，TCB）通过将用户和数据分开来达到安全的目的。在C1级信息系统中，所有的用户以同样的灵敏度来处理数据，即用户认为C1级信息系统中的所有文档都具有相同的机密性。

三、C2级

C2级也称受控存取保护，它除了具有C1级中所有的安全性特征外，还包括其他的创建受控访问环境的安全特性，该环境具有进一步限制用户执行某些命令或访问某些文件的能力。这不仅基于许可权限，而且基于身份验证级别。另外，这种安全级别要求对系统加以审核，审核可用来跟踪记录所有与安全有关的事件，如哪些是由系统管理员执行的活动。最后，C2级通过授权分级使系统管理员给用户分组，授予他们访问某些程序和分级目录的权限。

四、B1级

B类也称被标签的安全性保护，它可分为B1、B2和B3三个级别。B类信息系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连，信息系统就不会让用户存取对象。其中，B1级称为标准安全保护，它是支持多级安全的第一个级别，对信息系统上的每个对象都实施保护，并对信息系统中的网络、应用程序工作站实施不同的安全策略。B1级说明了一个处于强制性访问控制之下的对象，不允许文件的拥有者改变其许可权限。

五、B2级

B2级也称结构保护，要求信息系统中的所有对象都加标签，而且给工作站、终端等设备分配单个或多个安全级别。按最小特权原则取消权力无限大的特权用户。这是提出的较高安全级别的对象与另一个较低安全级别的对象相互通信的第一个级别。

六、B3级

B3级也称安全域，使用安装硬件的办法来加强域，例如，内存管理硬件用来保护安全域免遭无授权访问或其他安全域对象的修改。此外，它要求用户工作站或终端必须通过信任的途径连接到网络系统内部的主机上。根据最小特权原则，增加了系统安全员，将系统管理员、系统操作员和系统安全员的职责分离，将人为因素对计算机安全的威胁减至最小。

七、A1级

A类也称验证设计级，是TCSEC标准中的最高级别。目前，A类安全等级只包含A1一个安全级别。A1级包含了一个严格的设计、控制和验证过程。与前面提到的各级别一样，这一级包含了较低级别的所有特性，并附加了一个安全系统的受监视设计。其设计必须是从数学上经过验证的，而且必须进行对秘密通道和可信任分布的分析。所有构成系统部件的来源都必须有安全保证。此外，A1级还规定了将安全计算机系统运送到现场安装所必须遵守的程序。A1级信息系统必须满足下列要求：系统管理员必须从开发者那里接收到一个安全策略的正式模型；所有的安装操作都必须由系统管理员进行；系统管理员进行的每一步安装操作都必须有正式文档。

除了TCSEC标准，欧洲的英国、法国、德国、荷兰四国提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则（Information Technology Security Evaluation Criteria，ITSEC）。美国联合英国、法国、德国、荷兰和加拿大，并会同国际标准化组织共同提出信息技术安全评价的通用准则（CC for ITSEC），成为代替TCSEC的评价安全信息系统的标准（ISO/IEC 15408，也称CC标准）。CC标准是第一个信息技术安全评价的国际标准，它的发布对信息安全具有重要意义，是信息技术安全评价标准及信息安全技术发展的一个重要里程碑。该标准定义了评价信息技术产品和系统安全性的基本准则，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求，以及如何正确有效地实施这些功能的保证要求。我国2001年由中国信息安全产品测评认证中心牵头，将ISO/IEC 15408转化为国家标准，即《信息技术安全性评估准则》（GB/T 18336），并直接应用于我国的信息安全测评认证工作。