摘要:21世纪是信息社会, 随着信息技术的发展, 信息系统在政府部门中得到越来越广泛的应用, 为了保障政府职能的正常运转, 政府对自己的信息系统的保护能力就变得至关重要, 而做好保护工作的第一步就是需要对政府的信息和信息系统进行安全评估。本文分析了美国国家安全局专门为美国政府机构开发的信息安全评估方法论 (INFOSEC Assessment. Methodology,简称IAM) , 描述了完整的评估过程, 并论述了这种方法论的优缺点。
0 引言
1998年5月克林顿总统签署了第63号总统令《克林顿政府对美国关键基础设施保护的政策》 (PDD63) , 在它定义的国家关键基础设施保障的框架里, 要求国家安全局 (NSA) 负责对美国政府所有的信息系统进行安全评估工作。按照公共法案100-235的要求, 国家安全局 (NSA) 有责任为联邦政府所有的机密计算机系统提供安全指南。第63号总统令又将对NSA的工作要求扩展到了包括为联邦政府所有的机密计算机系统提供直接的技术支持。
为了满足工作要求, 国家安全局开发出了这套信息安全评估方法论 (IAM) , 以使得经它培训和许可后的一些组织可以使用这套方法论以跟NSA相同的工作方法对政府机构客户提供同样的评估服务。
1 信息安全评估方法论 (IAM) 概述
1.1什么是信息安全评估方法论 (IAM)
国家安全局 (NSA) 将信息安全评估定义为“对在一个特定操作环境下的信息系统安全状态的回顾, 目的是为了识别潜在的脆弱性。脆弱性一旦得到确认, 就必须提供相应的解决方案来对这些脆弱性因素进行消除或缓解。”
信息安全评估方法论 (IAM) 就是用来评估组织的关键信息技术资产和业务信息的一种标准化的方法。它是国家安全局从实际经验、情况和环境中开发出来的用于评估政府机构各种各样信息技术环境的一个过程。IAM并不是一个安全标准, 因为它并不像ISO17799和SAS70那样仅仅是由一系列定义和要求组成, 尽管这些标准在安全领域的重要性地位毋庸置疑。
IAM的一些特性使得它在对组织进行信息安全评估时非常有价值。这是因为除了对信息类型和定义进行描述外, 它还描述了怎样去为评估工作做准备、实施评估的整个工作过程以及如何为整个评估项目做文档记录等。
1.2 IAM评估的三个组成部分
NSA将传统的评估拆开分为三个部分:评估、评价和红队。从顶往下如图1所示。
(1) 评估
评估就是在组织内以组织级别针对非技术安全功能方面的一个工作过程。在评估过程中, 需要检查安全策略、安全程序、安全体系和组织的结构内容。尽管在评估过程没有手工操作技术测试 (如扫描等) , 但它依然是一个高度手工化的过程。在这个过程中, 评估方通过和客户一起协同工作和沟通来识别用户的关键信息、关键系统并了解用户未来的安全需求。
图1 NSA评估的三元组示意图
(2) 评价
评价通过从系统网络级的手工操作技术过程来识别组织系统中存在的可以通过技术、管理或操作手段来消减的安全漏洞。评价和评估经常容易被人们弄混淆, 因此NSA干脆有时就叫评价为“1+级评估”。评价过程通常包括下面这些工作:
对防火墙、入侵检测系统、入侵保护系统、路由器和交换机等设备进行技术分析;对用户的网络进行一些基本的漏洞扫描;为下一次评价提供有价值的信息。
(3) 红队
红队经常又被叫作攻击和渗透测试, 它是由一些人通过模拟敌方, 从敌方的角度来寻找安全漏洞从而攻入用户系统和网络的过程。利用这些存在的漏洞往往是攻入用户网络的最容易的方法。表1是这三个部分的区别和比较:
表1 IAM评估组成部分区别表
2 IAM评估过程
IAM过程是一个评估过程, 而不是一个审计过程, 这一点是这个方法论的最关键的一个特性。审计的目的通常是检查对一些标准的遵从性。而IAM评估的目的是帮助被评估组织改善它的信息安全情况。如果组织需要审计的话, IAM评估的结果可以为审计的准备工作打下良好的基础。一个完整的IAM评估过程可以分为三个阶段:
(1) 预评估;
(2) 现场评估;
(3) 后评估。
尽管字面上是这样定义, 但实际上大量的评估工作却是贯穿于所有这三个阶段之中。
在评估工作发起前首先要弄清楚被评估组织的需求, 比如被评估组织对评估内容的具体要求;其他的一些附带要求;对评估人员的资质要求, 即评估人员必须接受过NSA的信息安全评估培训和分级程序 (INFOSEC Assessment Training and Rating Program, or IATRP) 并持有IAM认证证书;被评估组织对评估时间周期的要求;被评估组织签订相关协议的过程;被评估组织评估预算的限制等。
2.1预评估
预评估阶段的目的是了解被评估组织实际环境情况。主要工作包括:了解评估任务声明、重点要求和限制条件, 认识被评估组织的关键职员, 了解被评估组织当前的关键信息资产和信息系统, 确定评估工作的范围, 相关的文档处理, 计划和准备后续工作所需要的后勤资源等。在进行现场评估之前, 评估团队要对所有与被评估组织相关的文档进行阅读和初步分析, 整个IAM评估的正式文档处理过程也是从这时开始的。
2.1.1预评估现场访问
预评估现场访问 (PASV) 一般是通过1到2天的会议 (对大型组织可能需要3到5天) 来进行。通过与被评估组织人员的面谈和会议来搜集信息, 真正理解被评估组织的使命和业务目标, 为客户量身定做一个客户化的IAM;组建一个合适的评估团队;制定初始的评估计划。因此, 预评估现场访问的主要目的就是确定评估的关键内容和制定详细的评估计划以建立一个框架, 从而为评估团队完成安全评估工作打下良好的基础。
需要对客户进行了解的信息中很大部分是关于客户组织的信息技术架构的情况。尽管在将来随着工作的深入才能了解到许多具体的技术细节, 但在刚开始的时候, 对整体架构有个很好的理解是非常必要的。下面举出几个相关的问题示例:组织使用了哪些操作系统?组织使用了哪些网络协议, 具体是什么?组织部署了什么类型的广域网?广域网中有多少个节点?
需要确定被评估站点具有哪些安全控制措施, 这些信息是我们在提出安全解决方案时需要考虑的重要参考。例如:是否安装了防火墙?如果有的话, 是那种型号?是否使用了访问控制列表?用什么来保护远端连接?是否部署了基本的物理安全控制措施 (警卫、徽章、门禁卡等) ?是否使用了入侵检测系统?是否使用了WEB安全应用防火墙?是否部署了数据防泄漏系统?
其他的一些准备工作还包括:需要做好时间安排, 了解客户特别关注的地方, 确定评估与审计的区别, 确定评估结果、解决方案和报告的格式, 尽可能减少对客户正常工作的打扰, 了解客户信息安全相关角色和责任的定义, 为下一步的评估活动做好计划等。
2.1.2识别组织的关键信息
为了便于分析, 需要将被评估组织的信息进行分类归纳, 例如可以归纳为客户信息、网络和通讯信息、人力资源数据、合同和后勤信息、银行财务信息等几大类, 网络和通讯信息大类里又可以包括服务器配置、用户账号信息、防火墙配置、第三方连接、租线信息和WEB服务器等。然后把这些类型的信息分别与其支持的组织业务相关联起来。
在确定影响的特性的时候, 由于被评估组织可能分别属于不同的行业, 因此各自相对应的法律、法规和隐私安全要求等也都各不相同, 因此我们首先要考虑这些细致的差别。下面是一个军事组织的法规要求例表 (表2) 。
表2 一个军事组织法规要求例表
常见的影响特性包括机密性、一致性、可用性、可记账、不可否认性、可授权、可审计性和访问控制等。
建立影响特性的定义, 一般可按照对业务影响的重要性分为高、中、低或者从低到高由数字0, 1, 2, 3, 4, 5分为6级来表示, 其中0为最低, 5为最高。最后建立被评估组织关键信息矩阵 (Organizational Information Criticality Matrix, 即OICM) 。下面是某组织的关键信息矩阵例表 (表3) 。
表3 某组织的关键信息矩阵例表
2.1.3识别组织的关键信息系统
在识别组织的关键信息之后, 下一步就是识别组织的关键信息系统。这是因为, 组织的关键信息总是由特定的系统来进行处理、传输和存储的。关键的系统对客户的业务具有很大的影响。从组织的角度看, 有一些系统需要最高的安全性, 因为如果这些特定系统被泄漏或破坏就最可能给组织造成无法承受的影响。识别这些系统同样也离不开客户的参与, 因为最了解客户系统的就是客户本人。下面是一些常见的系统示例:人力资源系统、网络监控系统、内部工单系统、客户信息系统、安全和审计系统、财务追踪系统、指挥和控制系统等。
确定系统的边界, 因为边界划分了系统的范围, 而评估所关注的就是在物理边界内信息的流动情况。物理边界一般包括交换机端口、防火墙接口、边界路由器、子网路由器接口和建筑物入口和出口等。逻辑边界一般是根据组织内数据流的流动情况来划分。
建立关键信息系统矩阵System Criticality Matrix (SCM) 与建立OICM类似, 根据CIA三个属性的丢失对系统的影响来建立。下面是某组织的客户信息系统矩阵例表 (表4) 。
表4 某组织的客户信息系统矩阵例表
在和客户一起建立关键信息矩阵 (OICM) 时, 我们主要关注的是各种类型的数据对组织的影响, 而在建立关键信息系统矩阵 (SCM) 时, 需要进一步考虑的是信息对系统的影响。
2.1.4了解组织的安全环境
了解组织的文化和安全环境不仅需要了解那些处理、存储和传输组织关键信息的部件所处的房间的具体位置, 还需要了解这些关键信息相关的操作文化和安全环境。文化环境是由工作在那个环境下的人们和他们对事情是怎样做的和应该怎样做的理解和感觉组成的。组织的文化随着环境里的人的不同而不同。
安全环境是由文档化的对操作的要求组成, 这些要求既可以是法律要求的形式, 也可以是正式或非正式的安全策略。这些文档包括策略、指南/要求、计划、标准操作程序 (Standard Operating Procedures, SOP) 以及用户文档等。
2.1.5制定技术评估计划
技术评估计划 (the Technical Assessment Plan, TAP) 是IAM的关键管理工具之一, 它是预评估现场访问的核心输出结果。TAP把所有在预评估阶段生成的或发现的信息归纳汇总为下一步将要评估的内容概要。事实上, TAP已经成为预评估现场访问结束后的IAM指南, 它不仅是理解被评估组织情况的一个概要, 也讨论了在评估过程中客户所关注的主要行动项目。
TAP文档是被用在客户和评估小组之间将IAM的各个方面连接在一起, 对安全评估来说是至关重要的, 因为它是满足客户评估需求的第一线协议。TAP描述了后续要进行的评估过程和在评估项目中被评估组织和评估小组使用的工具。
TAP的格式一般包括9个部分:联系点、任务、组织的关键信息、关键信息系统、客户关注点和强制性要求、系统配置、面谈、文档和评估详细时间点安排。
2.2现场评估
预评估和现场评估的关注点是不同的, 预评估阶段关注于确定组织的业务使命、关键信息和关键系统, 而现场评估阶段则关注于搜集组织信息安全相关状态的信息。预评估阶段帮助评估小组理解客户的业务目标和支持这些业务目标的基础设施, 这些信息对建立评估范围和确定对业务操作的影响是至关重要的。现场评估阶段根据搜集的信息来确定组织是否达到了支持其业务目标所要求的安全程度以及是否需要采取一些行动来改善组织的总体安全状况。
现场评估的工作是非常繁重的, 这个阶段通常会持续几个星期。它包括面谈、小组讨论、研究策略、工作程序和其他信息安全相关的文档。这也是重新回顾关键信息矩阵、影响属性、影响定义和关键信息系统矩阵, 从而和被评估组织达成一致意见的时期。
2.2.1现场评估准备工作
评估小组需要对在预评估现场访问中搜集到的信息进行回顾, 然后确定客户关注的区域和选择必要的工具来进行评估。适当的准备工作是减少下一步评估过程可能会遇到的问题数量的最好方法。
事先的充分准备对评估活动的成功至关重要, 评估小组的准备工作包括申请和发送安全许可证、安排旅行计划、预定旅馆、安排交通工具、确定评估小组成员、与客户协调时间表、为评估小组成员分派各自负责的现场评估工作、确定评估小组应急替补人员、制定相应的管理和技术计划、行李打包等。
同样, 客户也需要做一些准备工作, 这些工作包括为面谈设定优先级、为客户员工和评估小组的交流安排时间表和预定会议室等。
2.2.2双方现场沟通协调
一旦评估小组到达现场开始现场评估后, 评估小组和客户代表需要对整个评估过程进行沟通协调以建立和维持一个积极的工作气氛。这些沟通协调工作从开放式会议开始, 一直到评估小组离开现场为止。
开方式会议的内容包括:介绍评估小组成员, 公布他们的联系方式, 对评估范围做一个回顾, 确定现场评估结束日期, 回顾当前的时间计划表, 对文档进行回顾, 以及讨论一些未确定的其他因素。
评估过程并不是一个由评估小组独自完成的过程, 客户的参与是不可缺少的。客户会希望随时被告知在评估过程中的发现, 同客户经常进行沟通对评估的成功来说非常重要。为了更好地进行沟通, 评估小组需要对客户提供连续性的培训, 这些培训包括正式的客户培训和非正式的客户培训。除了培训之外, 评估小组还需要通过工作报告或以会议的形式随时和客户交换信息。
2.2.3现场评估基线信息安全分类
NSA对现场评估需要进行的项目确定了18项基线信息安全分类, 评估小组需要将工作集中在这些项目上以得到组织信息安全状态的信息。这18项基线信息安全分类可以归纳为管理、技术和操作三个方面。如表5所示。
表5 IAM基线信息安全分类表
IAM方法论是一个灵活的方法论, 除了这些分类外, 如果需要的话, 或者应客户的要求, 可以随时增加其他的分类进入现场评估。
2.3后评估
后评估通常是最长的一个阶段, 因为在这个阶段要花费大量的时间来进行分析和文档工作。在很多情况下, 后评估需要对发现的信息进行进一步的分析、研究和讨论来和被评估组织达成一致意见。在前面阶段的工作中, 评估小组已经搜集了客户系统的信息并确定了可能的漏洞和弱点, 现在需要对这些信息进行确认。确认实际上就是能够展示证物和证据来证明当前组织实际上的信息安全状况。可以通过两种办法来进行确认工作:示范和评价。
示范就是通过观察客户的活动来验证他们是怎样做的, 因为有时通过实际观察客户的行为, 往往就会发现跟通过面谈得到的资料不相符。评价就是提供关于发现的文档证据, 这是通过用一些工具或脚本来手工检查系统来实现的, 例如常见的有网络扫描器和口令破解工具等。
2.3.1离开评估现场前总结会议
离开评估现场前总结会议的主要目的是查遗补漏, 通过会议确认评估小组已从评估现场和客户那里获得评估需要的所有信息, 而且已经通知客户所发现的关键漏洞后, 评估小组才可以准备离开评估现场后回顾和整理所有的信息和文档。
在会议中除了需要对评估计划进行回顾以达成一致意见, 还要讨论关键漏洞和评估过程以及下一步的工作安排。
2.3.2最终评估报告
完成现场评估并不意味着所有评估工作的结束, 评估小组还需要付出大量的努力来确保评估对被评估组织具有最大的价值, 这些努力就是通过对前期评估所获得的大量信息进行分析和做出最终报告来进行的。分析和最终报告除了提供给客户一个文档化的评估结果, 也给出了帮助客户提升安全水平的路线图和建议。
3 结论
随着政府部门对信息系统依赖程度的日益增强, 信息安全问题越来越受到关注。运用风险评估去识别信息安全风险和解决信息安全问题已经得到了广泛的应用。因此, 不断学习和借鉴其他国家的信息安全风险评估方法和技术, 能够更好地促进我们在安全评估领域的研究和发展。
综上所述, IAM有以下几点值得我们借鉴:
(1) 由于政府部门与普通商业公司在业务和使命上有本质的不同, 它们对信息安全评估的具体需求特点也有很大的差异, 而IAM是美国国家安全局专门为美国政府部门量身定做定制的一个信息安全评估方法论, 因而更能满足政府部门对安全评估的特殊需要并且能够达到更好的效果;
(2) 对现场评估确定了18项基线信息安全分类, 分管理、技术和操作三大类对评估的具体内容进行了定义, 避免了一些评估方法仅仅关注于评估流程和计算方法的缺点;
(3) 对评估人员的资质统一由NSA进行背景调查、培训和资质认证工作, 这样能够更好地加强对评估人员的管理, 大大减少由于评估人员因素带来的附加风险问题。
但是也要看到, IAM并没有对评估机构的资质进行限定和管理, 这一点既不合我们的国情, 也不利于对评估人员进行切实有效的组织和管理。
参考文献:略
作者:曾志强
来源:《网络安全技术与应用》2019年06期
声明:本文来自电子政务智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
