刍议信息安全评估标准内容和对策.doc

刍议信息安全评估标准内容和对策 　　【摘 要】本文分析了信息安全评估需要解决与注意的问题，并根据安全检测标准对网络安全框架的项目进行了考察，指出安全信息检测办法，主要有调整材料和访问，要进行工具发现并运用渗透评估策略。 【关键词】信息安全；评估；标准；对策 保证信息安全不发生外泄现象，是至关重要的。可是，现在我国信息安全保障和其它先进国家相比，仍难望其项背，还有不少问题迫切需要我们着手解决： 中国保证信息安全工作经历了三个时期。第一时期是不用联网，只作用于单一电脑的查杀和防控病毒软件；第二个时期是独立的防止病毒产品向为保证信息安全采用的成套装备过渡时期；第三个时期是建设保证信息安全的系统时期。 1 需要解决与注意的问题 信息安全保障的内容和深度不断得到扩展和加深，但依然存在着“头痛医头，脚痛医脚”的片面性，没有从系统工程的角度来考虑和对待信息安全保障问题；信息安全保障问题的解决既不能只依靠纯粹的技术，也不能靠简单的安全产品的堆砌，它要依赖于复杂的系统工程、信息安全工程（system security engineering）；信息安全就是人们把利用工程的理论、定义、办法和技术进行信息安全的开发实施与维护的经过，是把通过岁月检验证明没有错误的工程实施步骤管理技术和当前能够得到的最好的技术方法相结合的过程；由于国家8个重点信息系统和3个重点基础网络本身均为复杂的大型信息系统，因此必须采用系统化方法对其信息安全保障的效果和长效性进行评估。 2 安全检测标准 2.1 CC 标准 1993年6月，美国、加拿大及欧洲四国协商共同起草了《信息技术安全评估公共标准CCITSE（commoncriteria of information technical securityevaluation）》，简称 CC，它是国际标准化组织统一现有多种准则的结果。CC标准，一方面可以支持产品（最终已在系统中安装的产品）中安全特征的技术性要求评估，另一方面描述了用户对安全性的技术需求。然而，CC 没有包括对物理安全、行政管理措施、密码机制等方面的评估，且未能体现动态的安全要求。因此，CC标准主要还是一套技术性标准。 2.2 BS 7799标准 BS 7799标准是由英国标准协会（BSI）制定的信息安全管理标准，是国际上具有代表性的信息安全管理体系标准，包括：BS 7799-1∶1999《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则；BS7799-2∶2002 以 BS 7799-1∶1999为指南，详细说明按照 PDCA 模型，建立、实施及文件化信息安全管理体系（ISMS）的要求。 2.3 SSE-CMM 标准 SSE-CMM（System Security EngineeringCapability Maturity Model）模型是 CMM 在系统安全工程这个具体领域应用而产生的一个分支，是美国国家安全局（NSA）领导开发的，它专门用于系统安全工程的能力成熟度模型。 3 网络安全框架考察的项目 对网络安全进行考察的项目包括：限制访问以及网络审核记录：对网络涉及的区域进行有效访问控制；对网络实施入侵检测和漏洞评估；进行网络日志审计并统一日志时间基准线；网络框架：设计适宜的拓扑结构；合乎系统需求的区域分界；对无线网接入方式进行选择方式；对周边网络接入进行安全控制和冗余设计；对网络流量进行监控和管理；对网络设备和链路进行冗余设计；网络安全管理：采用安全的网络管理协议；建立网络安全事件响应体系；对网络设备进行安全管理。网络设备是否进行了安全配置，并且验证设备没有已知的漏洞等。对网络设置密码：在网络运输过程中可以根据其特点对数字设置密码；在认证设备时对比较敏感的信息进行加密。 4 安全信息检测办法 4.1 调整材料和访问 调整材料和访问是对安全信息检测的手段。评估人员首先通过对信息系统的网络拓扑图、安全运作记录、相关的管理制度、规范、技术文档、历史事件、日志等的研究和剖析，从更高的层次上发现网络系统中存在的安全脆弱性。并找准信息资产体现为一个业务流时所流经的网络节点，查看关键网络节点的设备安全策略是否得当，利用技术手段验证安全策略是否有效。评估专家经验在安全顾问咨询服务中处于不可替代的关键地位。通过对客户访谈、技术资料进行分析，分析设备的安全性能，而且注意把自己的实际体会纳入网络安全的检测中。 4.2 工具发现 工具发现是利用扫描器扫描设备上的缺陷，发现危险的地方和错误的配置。利用检测扫描数据库、应用程序和主机，利用已有的安全漏洞知识库，模拟黑客的攻击方法，检测网络协议、网络服务、网络设备、应用系统等各主机设备所存在的安全