信息系统安全保障评估框架

欢迎大家来到IT世界,在知识的湖畔探索吧!

1. 相关概念和关系

信息系统是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结

构、人员和组件的总和。随着当前社会信息化程度的不断提高，各类信息系统越来越成为

其所从属的组织机构生存和发展的关键因素，信息系统的安全风险也成为组织风险的一部

分。同时，信息系统受来自于组织内部与外部环境的约束，信息系统的安全保障除了要充

分分析信息系统本身的技术、业务、管理等特性，还要考虑这些约束条件所产生的要求。

为了保障组织机构完成使命，系统安全管理人员必须针对信息系统面临的各种各样的风险

制定相应的策略。

信息系统安全风险是具体的风险，产生风险的因素主要有信息系统自身存在的漏洞和

来自系统外部的威胁。信息系统运行环境存在特定威胁动机的威胁源，使用各种攻击方法，

利用信息系统运行环境中的各种漏洞，对信息系统造成相应的风险，由此才会产生信息安

全事件和问题。

信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制

定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出信息安全保障要求，

确保信息系统的保密性、完整性和可用性，把安全风险降到可接受的程度，从而保障系统

能够顺利实现组织机构的使命。

信息系统安全保障工作就是针对信息系统在运行环境中所面临的各种风险，制定信息

安全保障策略体系，在策略指导下，设计并实现信息安全保障架构或模型，采取技术、管

理等安全保障措施，将风险降至预定可接受的程度，从而保障其使命要求。策略体系是组

织机构在对风险、资产和使命综合理解的基础上所做出的指导文件。策略体系的制定，反

映了组织机构对信息系统安全保障及其目标的理解，它的制定和贯彻执行对组织机构信息

系统安全保障起着纲领性的指导作用。

图1-6 说明了信息系统安全保障中的这些高层概念的关系。

欢迎大家来到IT世界,在知识的湖畔探索吧!

信息系统安全保障工作的基础和前提是风险管理。信息安全策略必须以风险管理为基

础，针对可能存在的各种威胁和自身存在的弱点，采取有针对性的防范措施。信息安全不

是追求绝对的安全，不强调面面俱到，但风险必须是能够管理的。

最适宜的信息安全策略就是最优的风险管理对策，这是一个在有限资源前提下的最优

选择问题。防范不足会造成直接的损失;防范过多又会造成间接的损失。也就是说，信息

安全保障的问题就是安全的效用问题，在解决或预防信息安全问题时，要从经济、技术、

管理的可行性和有效性上做出权衡和取舍。

2. 信息系统安全保障评估描述

信息系统安全保障评估，就是在信息系统所处的运行环境中对信息系统安全保障的具

体工作和活动进行客观的评估。通过信息系统安全保障评估所搜集的客观证据，向信息系

统的所有相关方提供信息系统的安全保障工作能够实现其安全保障策略，能够将其所面临

的风险降到其可接受程度的主观信心。信息系统安全保障评估的对象是信息系统，信息系

统不仅包含信息技术系统，还包括与信息系统所处的运行环境相关的人和管理等领域。信

息系统安全保障是一个动态持续的过程，涉及信息系统整个生命周期，因此信息系统安全

保障的评估也应该提供一种动态持续的信心。

评估是信息系统安全保障的一个重要概念，系统所有者可以根据评估所得到的客观结

果建立其主观的信心。图1-7 描述了信息系统安全保障评估的概念和关系。

信息系统安全保障的评估，是从信息系统安全保障的概念出发，在信息系统的生命周

期内，根据组织机构的要求，在信息系统的安全技术、安全管理和安全工程领域内对信息

系统的安全技术控制措施和技术架构能力、安全管理控制和管理能力以及安全工程实施控

制措施和工程实施能力进行评估综合，从而最终得出信息系统安全保障措施在其运行环境

中满足其安全保障要求的符合性以及信息系统安全保障能力的评估。

图1-8 给出了信息系统安全保障评估的描述。

信息系统安全保障评估主要包括以下两方面的评估。

( 1 )在信息系统运行环境中，其具体的安全保障控制相对于安全保障要求(目标)的

符合性的评估

信息系统在其运行环境中的安全保障控制对安全保障要求的符合性(即信息系统的技

术体系、管理控制和工程实施相对于信息系统在其运行环境下的符合性) ，是与信息系统

保护轮廓( Information System Protect Profile , ISPP )和信息系统安全目标( InfOIτnation System

Security Target , ISST) 相关的内容。信息系统保护轮廓是从信息系统的所有者角度来描述

的信息系统安全保障的规范化需求描述。对信息系统保护轮廓的评估就是评估所编制的信

息系统保护轮廓是否符合ISPP 规范化描述的要求，以及评估它是否真正反映了信息系统所

有者的真实的安全保障要求。信息系统安全目标是从信息系统安全保障的建设方角度来描

述的信息系统安全保障方案。信息系统安全目标的评估就是评估所编制的信息系统安全目

标是否符合ISST 规范化描述的要求以及它是否能够真正解决和满足信息系统保护轮廓的

信息系统安全保障要求。

(2 )信息系统安全保障级的评估

信息系统安全保障级( Information Systems Assurance Level , ISAL) 是信息系统所提供

的各项安全技术保障、安全管理保障、安全工程保障的实施、正确性、质量和能力进行保

障(或信心)的强度和程度的特征，是对信息系统安全保障持续改进的能力特征的描述。

信息系统安全保障级(ISAL) 是信息系统在其运行环境中，实施信息系统安全保障方案(即

实施信息系统安全目标)的具体实施情况和实施能力的反应。

3. 信息系统安全保障评估模型

在国家标准GB/T 20274.1 一2006 ~信息安全技术信息系统安全保障评估框架第一部

分:简介和一般模型》中，信息系统安全保障模型包含保障要素、生命周期和安全特征3

方面，如图1-9 所示。

信息安全保障模型的主要特点如下。

1）将风险和策略作为信息系统安全保障的基础和核心。

2）强调信息系统安全保障持续发展的动态安全模型，即强调信息系统安全保障应贯

穿于整个信息系统生命周期的全过程。

3）强调综合保障的观念。信息系统的安全保障是通过综合技术、管理、工程和人员

的安全保障要求来实施和实现信息系统的安全保障目标，通过对信息系统的技术、

管理、工程和人员要求的评估，提供了对信息系统安全保障的信心。

4）通过以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程

和人员保障要素。通过信息系统安全保障实现信息安全的安全特征:信息的保密

性、完整性和可用性特征，从而达到保障组织机构执行其使命的根本目的。

在这个模型中，更强调信息系统所处的运行环境、信息系统的生命周期和信息系统安

全保障的概念。信息系统生命周期有各种各样的模型，本书中的信息系统生命周期模型是

基于这些模型的一个简单、抽象的概念性说明模型。它的主要用途在于对信息系统生命周

期模型进行示例说明。在进行信息系统安全保障具体操作时可根据实际环境和要求，对信

息系统生命周期进行改动和细化。信息系统生命周期的概念是如何在信息系统整个生命周

期中通过对技术、管理、工程和人员建立的信息系统安全保障保证下的覆盖整个生命周期

的动态持续性的长效安全。

( 1 )基于信息系统生命周期的信息安全保障

在信息系统安全保障模型中，信息系统的生命周期层面和保障要素层面不是相互孤立

的，而是相互关联、密不可分的。图1-10 描述了它们之间的关系。

在信息系统生命周期模型中，将信息系统的整个生命周期抽象成计划组织、开发采购、

实施交付、运行维护和废弃5 个阶段，加上在运行维护阶段的变更产生的反馈，形成信息

系统生命周期完整的闭环结构。在信息系统生命周期中的任何时间点上，都需要综合信息

系统安全保障的技术、管理、工程和人员保障要素。

口计划组织阶段:根据组织机构的业务要求、法律法规的要求、系统所存在的风险

等因素，产生了信息系统安全保障需求。在此阶段，信息安全策略应加人信息系

统建设和使用的决策中。从信息系统建设开始，就应该综合考虑系统的安全保障

要求，确保信息系统建设和信息系统安全保障建设同步规划、同步实施。

口开发采购阶段:此阶段是计划组织阶段的细化和具体体现。在此阶段中，进行系

统安全需求分析、系统安全体系设计以及相关预算申请和项目准备等活动。在此

阶段，应克服传统拘泥于具体技术的片面性，要综合考虑系统的风险和安全策略，

将信息系统安全保障作为一个整体，进行系统地设计，建立信息系统安全保障整

体规划和全局视野。组织机构可根据具体要求，对系统整体的技术、管理安全保

障规划或设计进行评估，以保证对信息系统的整体规划满足组织机构的建设要求

和相关国家与行业的要求。

口实施交付阶段:在此阶段， 组织机构可通过对承建方进行信息安全服务资格要求

和人员专业资格要求以确保施工组织的服务能力;组织机构还可通过信息系统安

全保障工程保障对实施施工过程进行监理和评估，最终确保所交付系统的安全性。

口运行维护阶段:信息系统进入运行维护阶段后， 对信息系统的管理、运行维护和

使用人员的能力等方面进行综合保障，是信息系统得以安全正常运行的根本保证。

口变更:信息系统投入运行后并不是一成不变的，它随着业务和需求的变更、外界

环境的变更产生新的要求或增强原有的要求，重新进入信息系统组织计划阶段(即

规划阶段)。

口废弃阶段:当信息系统不再满足业务要求时，信息系统进人废弃阶段，在这个阶

段，需要考虑信息安全销毁等要素。

这样，通过在信息系统生命周期所有阶段融人信息系统安全保障概念，确保了信息系

统的持续动态安全保障。

(2) 信息安全保障要素

①信息安全技术

信息安全技术体系包括以下几个方面。

口密码技术:密码技术及应用涵盖了数据处理过程的各个环节，如数据加密、密码

分析、数字签名、身份识别、秘密分享等。通过以密码学为核心的信息安全理论

与技术保证数据的机密性和完整性等要求。

口访问控制技术:在为用户对系统资源提供最大限度共享的基础上，对用户的访问

权进行管理，防止对信息的非授权篡改和滥用。访问控制对经过身份鉴别后的合

法用户提供所需要的且经过授权的服务，拒绝用户越权的服务请求，保证用户在

系统安全策略下有序工作。

口审计和监控技术:审计是事后认定违反安全规则行为的分析技术，在检测违反安

全规则方面、准确发现系统发生的事件以及对事件发生的事后分析方面，审计都

发挥着巨大的作用。审计技术的发展，来源于对访问的跟踪，这些访问包括对保

存在计算机系统中敏感及重要信息的访问和对计算机系统资源的访问。网络安全

监控包括主动监控和被动监控。它依赖于在任何给定时间内网络组件和检测器记

录下已经发生的事情，接收日志信息，并对它进行分析。

口网络安全技术:这些技术包括网络协议安全、防火墙技术、入侵检测系统/人侵防

御系统( Intrusion Detection SystemlIntrusion Prevention System. IDSIIPS) 、安全管

理平台( Security Operations Center. SOC) 、统一威胁管理(Unified Threat

Manageme时. UTM) 等。网络安全技术主要是保护网络的安全，防止人侵攻击行

为的发生。防火墙是一个位于可信网络和不可信网络之间的边界防护系统。防病

毒网关防止基于HTTPIFTP/SMTPIPOP3IHTTPS 等网络协议侵人网络内部的病毒

进行过滤。入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发

出警报措施的网络安全设备。入侵防御系统是监视网络传输行为的安全技术，它

能够即时地中断、调整或隔离一些异常或是具有伤害性的网络传输行为。

口操作系统与数据库安全技术:操作系统安全技术主要包括身份鉴别、访问控制、

文件系统安全、安全审计等方面。数据库安全技术包括数据库的安全特性和安全

功能，数据库完整性要求和备份恢复，以及数据库安全防护、安全监控和安全审

计等。

口安全漏洞与恶意代码:包括安全漏洞的成因、分类、发掘方法，以及如何修复等;

以及恶意代码的加载、隐藏和自我保护技术，恶意代码的检测原理及清除方法等。

口软件安全开发:包括软件安全开发模型、软件安全开发关键阶段的安全控制措施

等内容。

②信息安全管理

信息安全管理体系的一部分，是组织在整体或特定范围内建立信息安全方针和目标，

以及完成这些目标所用方法的体系。基于对业务风险的认识. ISMS 包括建立、实施、操作、

监视、复查、维护和改进信息安全等一系列的管理活动，并且表现为组织结构、策略方针、

计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。

风险管理是指以风险为主线进行信息安全的管理，它的实施目标就是要依据安全标准

和信息系统的安全需求，对信息、信息载体、信息环境进行安全管理，以达到安全目标。

风险管理贯穿于整个信息系统生命周期，包括对象确立、风险评估、风险控制、审核

批准、监控与审查、沟通与咨询等6 个方面的内容。其中，对象确立、风险评估、风险控

制和审核批准是信息安全风险管理的4 个基本步骤，监控与审查、沟通与咨询则贯穿于这

4 个基本步骤中。

③信息安全工程

信息安全工程涉及系统和应用的开发、集成、操作、管理、维护和进化以及产品的开

发、交付和升级。

系统安全工程能力成熟模型( Systems Security Engineering Capabi1ity Maturity Model ,

SSE-CMM) 描述了一个组织的系统安全工程过程必须包含的基本特征。这些特征是完善的

安全工程保证，也是系统安全工程实施的度量标准，同时还是一个易于理解的评估系统安

全工程实施的框架。

④信息安全人才

信息安全保障诸要素中，人是最关键也是最活跃的要素。网络攻防对抗，最终较量的

是攻防两端的人，而不是设备。对组织机构来说，应建立一个完整的信息安全人才体系。

信息安全人才体系应包括以下方面。

口 所有员工:需要进行信息安全保障意识教育，具体可以采用内部培训、在组织机

构网站上发布相关信息等措施来增强所有员工的安全意识。

口 涉及信息系统的岗位和职责的员工:需要进行相应的信息安全保障的基本技能培训11 。

口 信息安全专业人员:应建立更全面、更专业的信息安全保障知识和经验。

( 3 )信息安全保障解决方案

信息安全保障解决方案是一个动态的风险管理过程，通过信息系统生命周期内的风险

实施控制，来解决在运行环境中信息系统安全建设所面临的各种问题，从而有效保障业务

系统及应用的持续发展。

信息安全保障方案是以安全需求为依据设计的。在设计安全方案时，需要考虑方案是

否贴合实际，是否具有可实施性，包括可接受的成本、合理的进度、技术可实现性，以及

组织管理和文化的可接受性。在工作中，可以根据信息系统安全目标(ISST) 来规范制定

安全方案。ISST 是根据信息系统保护轮廓(ISPP) 编制、从信息系统安全保障的建设方(厂

商)角度制定的信息系统安全保障方案。

根据信息系统安全目标要求，信息系统安全方案的标准格式应包括8 个部分:引言、

信息系统描述、信息系统安全环境、安全保障目的、安全保障要求、信息系统概要规范、

ISPP 声明，以及符合性声明。

其中，引言、信息系统描述、信息系统安全环境、安全保障目的、安全保障要求部分与ISPP 一致。

信息系统概要规范包括信息系统安全功能满足哪一个特定的安全功能需求，其保证措

施满足哪一个特定的安全保障要求，以及相应的解释、证明等支持材料。与ISPP 类似，在

编制这部分内容时，从国标GB/T 20274 ~信息安全技术信息系统安全保障评估框架》的

第二部分选择技术组件，从该标准的第三部分选择具体管理组件，在该标准的第四部分选

择具体的工程组件。

在具体实施信息安全保障方案时，须以方案为依据，覆盖方案所提出的建设目标和建

设内容。另外，在实施过程中，需要注意以下几个方面:规范的实施过程;实施的质量、

进度和成本必须受控;实施过程中出现的变更必须受控;充分考虑实施风险，如资源不足、

组织文化的抵触情绪、对业务正常运行造成的影响、信息泄露或破坏等。

我是木子雨辰，一位信息安全领域从业者，@木子雨辰将一直带给大家信息安全知识，每天两篇安全知识、由浅至深、采用体系化结构逐步分享，大家有什么建议和问题，可以及留言，多谢大家点击关注、转发、评论，谢谢大家。

大家如果有需要了解安全知识内容需求的可以留言，沟通，愿与大家携手前行。