购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

1.1 信息安全测评相关业务概念

信息安全测评不是简单的某个信息安全特性的分析与测试,而是通过综合测评获得具有系统性和权威性的结论。即通过信息安全风险评估、信息安全等级保护测评、商用密码应用与安全性评估、渗透测试等信息安全测评业务来系统客观地检测、评价信息安全产品和信息系统安全及其安全程度。

1.1.1 信息安全测评综述

信息安全测评是实现信息安全保障的有效措施,对信息安全保障体系、信息产品/系统安全工程设计以及各类信息安全技术的发展演进有着重要的引导规范作用,很多国家和地区的政府与信息安全行业均已经认识到它的重要性。

美国国防部于1979年颁布了编号为5200.28M的军标,它为计算机安全定义了4种模式,规定在各种模式下计算机安全的保护要求和控制手段。在美国的带动下,1990年前后,英国、德国、法国、荷兰、加拿大等国也陆续建立了计算机安全的测评制度并制定相关的标准或规范。当前,很多国家和地区均建立了信息安全测评机构,为信息安全厂商和用户提供测评服务。

我国于20世纪90年代也开始了信息安全的测评工作。1994年2月,国务院发布了《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)。为了落实国务院第147号令,1997年6月和12月,公安部分别发布了《计算机信息系统安全专用产品检测和销售许可证管理办法》(公安部第32号令)和《计算机信息网络国际联网安全保护管理办法》(公安部第33号令)。1998年7月,成立了公安部计算机信息系统安全产品质量监督检验中心,并通过国家质量技术监督局的计量认证[(98)量认(国)字(L1800)号]和公安部审查认可,成为国家法定的测评机构。1999年,我国发布了国家标准《计算机信息系统安全保护等级划分准则》(GB 17859—1999)。1999年2月,国家质量技术监督局正式批准了国家信息安全测评认证管理委员会章程及测评认证管理办法。2001年5月,成立了中国信息安全产品测评认证中心(现已更名为中国信息安全测评中心),该中心是专门从事信息技术安全测试和风险评估的权威职能机构。2003年7月,成立了公安部信息安全等级保护评估中心,它是国家信息安全主管部门为建立信息安全等级保护制度、构建国家信息安全保障体系而专门批准成立的专业技术支撑机构,负责全国信息安全等级测评体系和技术支撑体系建设的技术管理及技术指导。2001年,我国根据CC(信息技术安全性评估通用准则)颁布了国家标准《信息技术 安全技术 信息技术安全性评估准则》(GB/T 18336—2001),并于2008年和2015年对其进行了版本更新,当前版本为《信息技术 安全技术 信息技术安全评估准则》(GB/T 18336—2015)。当前,已经有大量信息安全产品/系统通过了以上机构的检验认证,信息安全测评已经逐渐成为一项专门的技术领域。

1.1.2 信息安全风险评估

1.概述

“风险”是一种不确定性对目标的影响。信息安全风险则是反映人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致信息安全事件发生以及对组织造成的影响。

信息安全风险评估(简称“风险评估”)就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地保障信息安全提供科学依据。

信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段,是信息安全等级保护制度建设的重要科学方法之一。

2.发展历程

对于信息安全问题的风险评估服务,是伴随着对计算机信息处理系统的信息安全问题认识的变化而不断发展和逐步深化的。早期的计算机信息处理系统的安全工作注重的是信息的机密性,通过保密检测找出计算机信息系统存在的问题,进而改进和提高计算机系统的安全性,进而发展成为针对运行在计算机网络系统上的信息系统安全情况进行评估的信息系统安全风险评估服务。在其发展历程中,比较典型的案例是1967年11月—1970年2月,美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其他和国防工业有关的一些公司,经过两年半的时间,对当时运行的大型机、远程接入终端进行了研究和分析,完成了第一次比较大规模的风险评估。在此基础上,经过近10年的研究,NBS(美国国家标准局)1979年颁布了一个风险评估标准《自动数据处理系统(ADP)风险分析标准》(FIPS65),从此拉开了信息安全风险评估理论和方法研究的序幕,包括美国20世纪80年代的彩虹系列(即橘皮书,美国早期的一套比较完整的从理论到方法的有关信息安全评估的准则,形成于1981—1985年),1992年美国联邦政府制定了《联邦信息技术安全评估准则》(FC),1993年发布了《信息技术安全性通用评估准则》,以上的相关标准和技术,最终演化为1999年的国际标准ISO/IEC 15408。

进入21世纪后,随着互联网及其应用的高速发展和信息战理论的进步,美国从2002年开始先后发布了《IT系统风险管理指南》(SP800-30)、《联邦IT系统安全认证和认可指南》(SP800-37)、《联邦信息和信息系统的安全分类标准》(FIPS 199)等一系列文档。虽然美国引领了网络和信息技术的发展,但目前影响最广泛的网络和信息安全方面的标准ISO/IEC 17799:2005《信息安全管理实施细则》(其前身是BS 7799第一部分)却来自英国,并被大多数国家认可和使用。目前常提到的ISO 27001《信息安全管理体系认证》和ISO 27002《信息安全管理系统(ISMS)》,其前身分别是BS 7799第二部分和BS 7799第一部分。信息安全评估涉及方方面面,安全标准也十分庞杂,各种评估标准的侧重点也不一样,用于满足不同用户针对不同要求的信息安全评估。目前国外的很多企业接受ISO/IEC 17799:2005认证,即信息安全管理体系认证的证书。

相对于国外针对信息系统的信息安全风险评估行业,我国起步较晚,但发展比较快,先后颁布了GB 17859—1999《计算机信息系统 安全保护等级划分准则》、GB/T 20984—2007《信息安全技术 信息安全风险评估规范》、GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》等一系列相关的国家标准,目前已经形成了以信息安全等级保护测评、涉密信息系统分级保护为标志的,具有中国特色的信息安全评价与测评体系。相比于国外以信息安全风险评估为主的信息安全测试与评估体系,国内针对非涉密的信息系统安全评估以信息安全等级保护测评为主,涉密信息系统以分级保护测评为主,信息安全风险评估属于辅助性安全服务,用于从风险等不同角度分析组织信息安全情况,为组织的信息安全建设提供建设依据。

1.1.3 信息安全等级保护测评

1.概述

网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、机密性和可用性的能力。安全保护能力是指能够抵御威胁,发现安全事件以及在遭到损害后能够恢复先前状态等的能力。为了对网络进行规范的安全保护,国家先后出台了多项相关的国家标准,形成了具有中国特色的信息安全等级保护制度体系。

信息安全等级保护制度是国家信息安全保障工作的基本制度。开展信息安全等级保护工作不仅是加强国家信息安全保障工作的重要内容,也是一项事关国家安全、社会稳定与经济发展的政治任务。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及信息系统遭到破坏后对国家安全、社会秩序、公共利益,公民、法人和其他组织的合法权益的危害程度等因素确定,整体的保护层级共分5级。

2.发展历程

信息安全等级保护制度发展的历程,大致如下。

1994年,国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行信息系统安全等级保护。

1999年,国家发布GB 17859—1999《计算机信息系统 安全保护等级划分准则》。

2004年,公安部等四部委颁布的《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)指出:“信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度”。

以上述文件和标准为基础,公安部联合国家标准化管理委员会又先后在2008年发布了GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》、2010年发布了GB/T 25058—2010《信息安全技术 信息系统安全等级保护实施指南》、2012年发布了GB/T 28448—2012《信息安全技术 信息系统安全等级保护测评要求》等多项信息安全等级保护测评的相关国家标准,才最终使信息安全等级保护制度得以完善,并在2012年以后大规模推广,进行相关的信息系统等级保护测评工作。

网络安全等级保护是在2017年6月1日《中华人民共和国网络安全法》(以下简称《网络安全法》)生效后,由公安部第三研究所(公安部信息安全等级保护评估中心)联合国内多家单位,在原《信息安全等级保护制度》的基础上升级,形成《网络安全等级保护2.0》体系,即等保2.0体系。《网络安全等级保护2.0》系列的标准在2019年5月发布,2019年12月开始实施。

1.1.4 商用密码应用与安全性评估

1.概述

当今世界,网络空间已成为与陆、海、空、天同等重要的人类“第五空间”。网络空间正在加速演变为各国争相抢夺的新疆域、战略威慑与控制的新领域、国家安全的新战场。密码作为网络空间安全保障和信任机制构建的核心技术与基础支撑,是国家安全的重要战略资源,也是国家实现安全可控信息技术体系弯道超车的重要突破口。

近年来,国内外大规模数据泄露事件频发,尤其是国际国内安全形势的变化,使国家、企业和个人层面做好网络与信息安全的必要性更加突出,对网络与信息安全的要求日趋严格,对使用密码技术来保护网络安全也提出了更高要求。但是国内密码应用形势并不乐观。一是应用不广泛,密码行业尚处于产业规模化发展的初期阶段,许多企业、开发人员的密码应用意识相对薄弱。2018年,商用密码应用安全性评估联合委员会对一万余个等保三级及以上的信息系统进行普查,结果显示,超过75%的系统没有使用密码。二是应用不规范,普查中对第一批118个重要领域的信息系统进行安全性测评发现,不符合规范的比例高达85%。三是密码应用不安全,目前仍存在大量使用已被证明不安全的加密算法(如RSA 1024、MD5)的情况。

为解决当前密码应用存在的突出问题,国家颁布实施了《网络安全法》《密码法》《网络安全审查办法》《国家政务信息化项目建设管理办法》等一系列法律法规,对密码应用安全性评估提出了要求,希望通过密码应用安全性评估来促进商用密码的使用和管理规范。

商用密码应用与安全性评估(简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络与信息系统密码应用的合规性、正确性和有效性进行评估,包括规划阶段的方案评审和建设、运行阶段的安全评估。

密码是国家重要战略资源,是保障网络与信息安全的核心技术和基础支撑。密码工作是党和国家的一项特殊工作,直接关系到国家政治安全、经济安全、国防安全和信息安全。新时代密码工作面临着许多新的机遇和挑战,担负着更加繁重的保障和管理任务。

密评的对象是采用商用密码技术、产品和服务集成建设的网络与信息系统。密评的目标是通过对商用密码产品的正确、有效应用,确保网络信息系统的数据安全,而通过密码技术确保网络信息系统中各用户的身份安全,则是确保网络信息系统安全和数据安全的重要抓手。密评结果是项目规划立项、申报财政性资金、建设验收的必备材料。

2.发展历程

2015年3月,中共中央办公厅、国务院办公厅提出要求:“建立健全密码应用安全性评估审查制度,重点提升密码检测能力,建立分类分级评估审查机制,做好安全性审查工作”。

2018年2月,GM/T 0054—2018《信息系统密码应用基本要求》发布,作为密评核心标准,对于三级系统的要求如下。

●实施阶段,方案需组织专家评审。

●运行前,经密评机构评估,方可投入运行。

●投产后,每年密评。

●国家密码管理局开始公开受理密评机构申请。

2018年8月,中共中央办公厅、国务院办公厅再次明确要求。

●2022年全国范围内测评认证体系基本搭建。

●提出47项重点任务,第40项为“完善密码应用安全性评估审查制度”。

2018年年底,国家密码管理局组织的118家机构完成密评。

2019年年初,各地密码管理部门制订本省密评计划,原则上测评不少于10个系统,密码局专项统一招标;同时上报台账。

2019年5月,网络安全等级保护(等保2.0)正式发布,在GB/T 22239—2019中明确要求:设计内容应包含密码技术相关内容,并形成配套文件。

2019年10月,国密协调小组对专项建设提出指示,要求加强密码应用安全评估能力建设;第二批试点开始,62家申请机构600余人参与。

2019年10月,《中华人民共和国密码法》发布。

2020年,第一批密评机构名单公布。

2021年,第二批密评机构名单公布。

培育原则:“总量控制、科学布局、择优选取、培育辅导、行政许可”。为提高评测机构“含金量”,坚持“严进”,设置较高准入要求,引入竞争和评审机制。其流程为:申报遴选、考察认定、发布目录、开展试点测评、提升机构能力、总结试点经验、完善规定、扩大试点。

1.1.5 渗透测试

1.概述

渗透测试(Penetration Test)是指在已授权的情况下对计算机系统进行模拟网络攻击,以评估计算机系统的安全性。在渗透测试过程中,评估者会使用多种接近真实攻击者的手段或方法,尽可能多地发掘系统中存在的漏洞,最终输出为渗透测试报告,作为系统脆弱程度的评判标准。

进行渗透测试时,一般会确定目标系统的范围,并规定测试的目标,如获取服务器的最高权限。

根据客户提供的信息级别,可以将渗透测试分为三类。

●白盒。渗透测试人员可以访问目标应用系统的源代码等,目标客户需保证渗透测试人员能够深入了解目标系统,以便于发现隐藏漏洞。

●黑盒。渗透测试人员对目标系统的内部结构一无所知,需要根据公开的相关信息寻找进入目标系统的方法。

●灰盒。渗透测试人员对目标系统的内部情况有一定了解,可能包括架构、技术体系、人员构成等。灰盒测试是白盒和黑盒相结合的测试方法。

渗透测试是全面性安全审计的一个重要组成部分,许多行业会定期进行渗透测试以保证系统安全性,如支付卡行业数据安全标准。

根据目标系统的不同,渗透测试可以分类为不同类型,如Web应用程序、App应用、社会工程等。

2.发展历程

“渗透”一词最早出现在1967年的春季联合国际计算机会议上,被用来描述对计算机系统的攻击,由RAND公司的计算机安全专家和美国国家安全局的相关专家提出。在这次会议上,计算机渗透被正式确定为在线计算机系统的主要威胁。

美国政府逐渐意识到计算机系统所面临的安全状况,为此组建了“tiger teams”,使用渗透测试的方式来评估计算机系统的安全性。

最早的渗透测试方法论是James P.Anderson提出的,他曾与美国国家安全局、RAND公司以及其他政府机构合作研究计算机系统安全,一次渗透测试应该至少包含以下步骤。

●寻找一个可被利用的漏洞。

●围绕此漏洞设计一次攻击。

●测试该攻击方案。

●获取一条正在使用的线路。

●进入攻击行动。

●利用入口点来还原信息。

目前,业界比较流行的渗透测试标准是PTES(Penetration Testing Execution Standard),该标准将渗透测试过程分为7个阶段,涵盖了与渗透测试有关的所有内容,包括最初的沟通和测试背后的原因;到情报收集和威胁建模阶段,测试人员在幕后工作,以便更好地了解被测组织;再到漏洞研究、利用和利用后阶段,测试人员的技术安全专业知识发挥作用,并与业务理解相结合;最后到报告阶段,以对客户有意义的方式演示还原整个过程,并为其提供最大价值。以下是该标准定义的7个阶段。

1)前期交互阶段。与客户进行讨论,确定渗透测试的范围与目标。

2)情报搜集阶段。采用各种可能的方法来收集将要攻击的客户系统的所有信息,包括它的行为模式、运行机理、实施了哪些安全防御机制、如何被攻击等。

3)威胁建模阶段。使用在情报搜集阶段所获取的信息来识别目标系统上可能存在的安全漏洞与弱点。

4)漏洞分析阶段。分析前面几个环节获取的信息,找出哪些攻击途径是可行的。

5)渗透攻击阶段。针对目标系统实施已经过深入研究和测试的渗透攻击。

6)后渗透攻击阶段。从已经攻陷了客户的一些系统或取得域管理员权限之后开始,以特定业务系统为目标,标识出关键的基础设施,寻找客户最具价值和尝试进行安全保护的信息与资产,给出能够对客户造成最重要业务影响的攻击途径。

7)报告阶段。报告是渗透测试过程中最为重要的因素,通过报告文档可以说明在渗透测试过程中做了哪些、如何做的以及如何修复所发现的安全漏洞与弱点。 sOCd5gynFClr6ANoIsi9D0c9+vstXIkEnrIozpo+Jlht9VgXywM0k7eD/3mJsrhg

点击中间区域
呼出菜单
上一章
目录
下一章
×