浅析信息安全方法中的测、评、估、审、查、量

王飞 中国移动通信集团山西有限公司工程师

浅析信息安全方法中的测、评、估、审、查、量

王飞 中国移动通信集团山西有限公司工程师

通过对国内、外流行的信息安全方法进行研究与分析，从不同角度对信息系统的安全测试、产品与系统的安全性测评、信息安全风险评估、安全审计、安全检查与信息安全度量等概念进行对比，进一步解析信息安全相关的最佳实践类、基本要求类、通用准则类和合规审计类方法，阐明了信息安全的观念与发展方向。

安全测评 风险评估 信息安全 安全度量

1 引言

就短短几十年信息安全方法发展的历史来研究，对以下几个词汇的理解运用贯穿于信息安全实践当中，对这些方法的深入解析可以使我们更好地把握信息安全方法的变化趋势与发展态势，本文就笔者的认识浅析在信息安全实践中安全方法的认知与运用。

●测：试验、测试（Test）。

●评：评价、比选（Evaluate）。

●估：估计、估算（Assess）。

●审：审核、审计（Audit）。

●查：检查、查验（Check、Inspect）。

●量：测量、度量（Metric）。

2 信息安全的测与评

最初阶段面对信息安全问题，凭直观的思路归纳起来总是沿着两个方向：“验对”与“识错”。

（1）验对：检验与证明信息安全对象是否正确，所有方面都对了就是安全了。

（2）识错：测试发现信息安全对象中的错误，并通过各种手段修复错误，以达到安全的状态。

测的思想来源于识错的部分，因为运营的信息系统中的错误、问题与漏洞总是难以完全避免主要归因于技术的局限、能力的缺失、偶然的因素。所以，尽可能地发现问题并加以改进是一个非常有效的解决安全问题的方法。典型的测的方法包括：

渗透测试（Penetration Test）：一般认为渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络与应用系统安全的一种技术测试方法。

因为没有100%安全的系统，所以识错的方法理论上是一种发散的方法，它的结果总是不会收敛，这类方法并不具有完备性。一个信息系统，即使只是一个操作系统软件也不可能穷尽所有缺陷。以微软为例，它的任何一款Windows软件在其整个生命周期中从没有停止过发行软件的安全补丁，即使像Windows XP这样已经下市的软件，安全补丁仍然是大问题，而这是一个普遍的规律。总之，安全试错的工作通常会贯穿信息系统的整个生命周期。

引入评的方法是弥补测的方法的不完全性，所以我国很早就建立起以安全测评方法为核心工作的中国信息安全测评中心（China Information Technology Security Evaluation Center），它被认为是我国第一个以CC为核心方法建立的信息安全测评机构，而CC的基本思路是验证信息产品与系统自身的安全性的通用准则，CC（Common Criteria）也即国际标准ISO15408 Information Technology-Security Techniques-Evaluation Criteria for IT Security，它的本质是对保护对象（TOE）定义一组通用的安全要求与控制全集，从而形成一个广泛认可的通用集合；评就是要针对某一类产品（如防火墙、服务器、操作系统等）生成一个适用性的指标子集即指标体系，称为保护轮廓（Protection Profile，PP），PP通常适用于作为产品或系统的安全标准；对一个特定对象如一台防火墙评的时候是要依据安全指标生成一组实际安全目标（Security Target，ST），ST是可以生成实际的安全测试项目的。信息安全的通用准则类方法如图1所示。

评的方法是用于对信息产品或系统进行验对的，而关于评的内容，CC中分为3类：安全功能要求、安全保证要求和安全评价要求，评价的结果分为7个评估保证等级（EvaluationAssurance Level，EAL1-7）。

评的方法不论在国外还是国内都有非常普遍的应用，可以说是一种主流的安全方法论。它解决了通用的集合定义，实现了统一的评价方法，通过一层层指标要求的解析，对保护对象进行评价保障定级。

但是，CC主要面向系统的技术方面，至于系统的安全管理，虽有一些安全保证要求但很不全面、系统。而且，CC在实践中对产品相关的测评的应用多，对系统相关的测评实践一直没有特别好的应用。

3 信息安全风险评估与管理体系

大家都比较认可用CC做的技术方面的指标体系，却基本没见有用CC做管理体系的，甚至连管理指标都不多，这是什么原因呢？笔者认为既然CC是从评价的角度生成指标的思路，在体系形成时单纯的对比指标就变成了缺什么补什么的机械方法，而信息安全管理的范畴是更复杂的方面，如果从纵向分析管理方面的要素，基本可以简单划分为标准、理论、基础、控制和表现5个层面（见图2）。

安全管理体系方面的思想主要是引入了风险的方法形成的，一个很好的讲法是说风险的方法主要是运用于解决现实世界中的不确定性的问题，信息安全中引入风险的概念也是用于不确定性的问题分析的方法，这里的确定性和不确定性可以理解为两种状态：

●确定性：系统资产的价值大小、安全漏洞的客观存在、安全威胁与现实的安全攻击行为这些都在现实中有确定性的事与物、域与值。

●不确定性：外部的威胁会不会实际发生、漏洞会不会正好被利用了、安全事件即将造成影响的大小程度这些问题会不会发生存在于不确定性的因素当中。

另一方面，信息安全管理方面的安全措施又可分为两类，一类是面向趋于客观性的努力；另一类是面向趋于主观性的努力。客观性努力是客观存在，实实在在的努力，如添加一个防护设备、修补安全漏洞；主观性努力如提升安全意识、操作与审计职责分离等。

到目前为止，国际上最成功与认可度最高的安全管理的实践最早是由英国标准化组织建立的被称为ISO27001（Information Technology-Security Techniques-Information Security Management Systems—Requirements）的一套信息安全管理的体系，它实际上又是一组信息安全管理的最佳实践，实践内容被放在ISO27002（InformationTechnology-SecurityTechniques-Code of Practice for Information Security Management）标准中，包括11大类、39个控制目标和133项控制（见图3）。但最佳实践的问题是它并不是万能灵药，不能照搬照抄，一旦有了最佳实践，就产生了如何使用最佳实践的问题，就是如何选用最佳实践中的这些控制措施。而选择的控制措施是否适用系统，有没有必要使用？就有必要引入一类方法评估各自状况，选择基于个性化所要的安全控制措施，由此就产生了估的方法。这种安全管理体系建立的思路方法大致如图3所示。

图1 信息安全的通用准则类方法

图2 信息安全管理的范畴

由于信息系统风险是由来自外部的威胁利用系统自身的脆弱性对系统资产造成破坏后产生损失而形成的，所以风险评估（Risk Assessment）基本上是基于对系统资产的现状、面临的安全威胁与系统自身的脆弱性3方面的因素进行分析与计算，风险评估既可以使用定量方法也可以使用定性方法，而且由于有不确定性的因素存在，纯定量的评估方法几乎没有人使用，业界通常用定性与定量相结合的方法进行评估。

风险评估的结果就是专家的观点，它只有相对的意义而并没有绝对意义，对于系统而言，评估的结果意义在于它表明了针对某个资产的一种风险可能大于另一种风险，或某个资产面临的风险比其他资产高。而风险管理的思路是用于控制相关风险的，手段就是合理选择对抗风险的控制措施，当然也可能考虑转移风险或接受一些较低的风险从而表明系统可承受一些损失。

估的方法推广了一套最佳实践的安全管理体系建设理论，也引入了PDCA这种循环改进的方法论。特别是为解决体系认证的技术性问题，还引入了对体系的认证审核机制，这就是审计（Audit）的方法。

图3 信息安全的最佳实践类方法

4 信息安全审计

估的方法在实质上是在识重点的资产、抓紧急的安全威胁和找薄弱环节的脆弱性的过程，理论容易被接受，但实践起来依据专业化的知识与能力，特别是一些主观性的结论并没有绝对的说服力；那么，有没有一种方法不是从参照其他成果出发找出自身安全发展道路的呢？下面说说审这种方法，详情见图4。

审的原理是从系统最终要达到什么结果出发，倒推出需要完成什么样的安全指标和实施什么样的安全控制的，这样每一个努力都有明确目的，反而不象风险评估那样要依靠别人的实践经验成果。审的思路最清晰地可以借鉴IT治理相关控制目标的形成，其中COBIT（Control Objectives for Information and Related Technology）从业务目标出发定义了IT相关控制目标，而信息安全的控制可以看作是一个目标子集。

图4 信息安全合规审计类方法

审的方法是查结果、看记录、验证据，信息安全审计大致要形成一个安全控制框架，梳理出一组安全控制目标，针对达成安全控制目标的活动进行分析，其内在的逻辑是：如果IT过程中所有活动的关键绩效指标可执行，则可以保证安全过程目标的达成；如果组织IT业务中所有IT过程的关键目标指标可完成，则可以保证IT目标的达成；如果业务目标中IT目标中的关键成功因素可满足，则对业务目标的最终达成具有保障意义。

审的方法国内、外都很流行，所以出现了很多审核机构、控制手册、审核员LA（Leader Auditor），审核的意义对一个组织的确非常重要。

5 信息安全检查

解决单个系统的信息安全问题的方法与解决一个群体的信息安全问题的方法是有区别的，单个系统可以测、评，也可以估，但如果有成千上万个系统，运用什么方法保护其信息安全呢？这正是政府所面对的信息系统安全问题，一旦中国要对十几万在册的重要信息系统进行保护时，方法就变得非常重要了，这就促使产生了一类基线防护的方法，基本上可以总结为分区域、按等级、分层次、沿威胁路径的纵深防御的思想方法。这种方法体现为建立基线、划分等级、实施保护、评估检查4个阶段，如图5所示。

图5 信息安全的基本要求类方法

检查是一类信息安全工作的方法，目前信息安全实践中通常以设定信息安全的基线要求开始，检查的目的是让安全工作符合相关要求，并且运用各种手段，依据不同的评价指标进行评判，检查一般由主管单位发起，是一种监督管理工作的体现。国家的等级保护建设类的安全工作就体现了检查的重要思想。

6 信息安全度量

一直以来，信息安全工作的绩效问题也很受关注，其中关键还是解决如何度量与评价的问题，这里可以参考一个其他方面的例子。

企业管理中开会如果过多、没有控制会损失工作效率，可解决的方法却不是很多，而比较有名的韩国三星公司对开会这件事就开始使用度量的原理做事，作为商业公司所有企业行为都是为提升绩效为目标的，但如何提高是有讲究的，西方有句名言：你不能改进你不能测量的东西。所以，三星的想法就是量化——按准备、主题、纪律、议程、结果、训练、时间、记录、追踪一系列可以进行量化的维度展开。这已经被认为是三星管理的一个成功实践。

三星这种想法对企业管理是有意义的，美国研究绩效的大牌专家詹姆斯·哈林顿曾说：量化管理是第一步，它导致控制，并最终实现改进。对于某些事情，如果不能量化就不能理解；如果不能理解，就不能控制；如果不能控制，就不能改进。

这种方法也可以在其他领域推广使用，比如信息安全，美国从事软件工作的工程师Bill Curtis的思路是：不能理解，就无法管理；不能度量，就无法理解；不能建模，就无法度量；不能设想，就无法建模。

可见，信息安全度量是为了更好地评价与改进信息安全，应该被放在信息安全的相对成熟阶段考虑，认清态势、把握尺度、持续改进是其重要目标。

安全度量MIT是很多年的研究项目，从MIT相关研究网站路线来看，度量做起来并不简单，需要定义对系统各方面的描述语言与格式定义（如OVAL、MAEC等），需要各方面的知识库（如CVE、CWE、CCE等），需要用例，还需要标准化的度量过程（如SP800-51、SP800-53a、CC等）。要做到对系统软硬件、资产、事件、互联网威胁等完整的安全度量，还有很长的路要走。

7 信息安全方法总结

用最朴素的方式总结这几类信息安全方法，可得如下结论与思考：

●测——解决有没有的问题，信息安全的方法先测试有没有安全问题、安全漏洞、软件缺陷，这是一类最为直观并且有效的信息安全工作方法。

●评——评价好不好的程度，安全措施好不好，安全防护程度高不高，安全管理制度全不全面、系不系统。

●估——考虑适不适合使用、风险大小，适合的安全措施与安全防护，选择适当的安全管理控制。

●审——查验用没用的结果，安全保护的结果如何，安全防护有没有作用，安全措施有没有效果，企业整体的安全目标有没有最终达成。

●查——检查安全工作做没做，安全要求是否落实，安全组织、安全技术、安全管理工作是否开展，是否按上级要求开展。

●量——测度能不能可持续地提升，能不能不断地改进组织的信息安全，使信息安全随需应变，步入良性发展的轨道。

这6类基本方法刻画了信息安全发展的一个简单路线图：发现系统中信息安全漏洞与问题、对当前系统现状的客观评价、通过风险方法选择适用的安全管理与控制、审核各种措施的效果与作用、检查各项安全工作落实情况、最后通过度量方式使当前安全状态可持续地不断提升与发展，这就是当前可以看到的信息安全解决之道。

简而言之，测解决技术手段问题，评面向技术控制措施，估对管理控制进行风险分析判断，审实施IT安全治理，查体现工作监督管控，量感知把握态势。而且，随着信息化的发展，信息安全方法也不是一成不变的，实践中又通常会运用评审、估量等不同的信息安全方法保障信息系统的安全。

1 中国移动业务安全通用评估规范

2 中国移动互联网新技术新业务信息安全评估实施管理办法

ABriefAnalysis on Testing,Measurement,Evaluation,Assessment, Examination and Measurement for Information Security Methods

This paper summarizes and analyzes the popular information security methods from the point of domestic and foreign respectively,and makes a brief analysis for information security from different views.Security testing of the information systems,safety evaluation for product and systems,information security risk assessment,security auditing, security check as well as information security measure and so on are compared in this paper,some relevant best practice methods,fundamental requirement methods,common criterion class methods and compliance audit class methods are further parsed in the article.Concept and development direction on information security are also presented in the paper.

security testing,risk assessment,information security,security measurement

2015-01-05）