全球信息安全風險評估發(fā)展及現(xiàn)狀
信息安全數(shù)據(jù)分析
根據(jù)卡巴斯基實驗室安全網(wǎng)絡(KSN)收集和處理到的數(shù)據(jù), 卡巴斯基發(fā)布了《2010年第一季度信息安全威脅報告》。該報告給出了幾個有意思的數(shù)據(jù)。 首先是全球安全態(tài)勢, 在全球不同國家,共計發(fā)生327,598,028次惡意程序試圖感染用戶計算機的行為,同上一季度相比,總體增長26.8%, 網(wǎng)絡罪犯所采取的攻擊策略有所改變:目前,針對中國地區(qū)用戶的網(wǎng)絡攻擊同比下降了13%。
其次是哪些國家的用戶最容易遭受網(wǎng)絡攻擊的侵害, 根據(jù)卡巴斯基的報告,前三甲是中國、俄羅斯和印度,分別占18.05%、13.18%和8.52%。而一直叫嚷受到中國大陸黑客攻擊的美國只能屈居第四, 占總比的5.25%, 不到中國的三分之一。中國依然是“最易遭受網(wǎng)絡攻擊的國家”。
最后來了解一下來自互聯(lián)網(wǎng)的威脅, 卡巴斯基給出了互聯(lián)網(wǎng)上排名前十的最常見惡意軟件家族, 排名前三的分別是Iframe、Generic和Hexzone。 另一個威脅是漏洞, 在2010年第一季度,卡巴斯基實驗室在用戶計算機上共檢測到12,111,862個未修補的漏洞。同上一季度相比,增長了6.9%。排名前十位的漏洞中,有六種來自微軟的軟件產(chǎn)品,有九種可以被網(wǎng)絡罪犯用來獲取系統(tǒng)的安全控制權。可見, 保護計算的最好的辦法是及時安裝漏洞補丁。
全球信息安全風險評估發(fā)展及現(xiàn)狀
美國人發(fā)明了計算機, 并在此后一直引領著計算機技術發(fā)展的方向。同樣,美國最早開展計算機安全研究, 一直主導著信息安全技術和理論的發(fā)展。 因此, 美國在信息安全評估理論和方法上的研究, 代表該領域國際上的最新發(fā)展。
美國從1967年開始研究計算機安全問題, 從1967年11月至1970年2月, 美國美國國防科學委員會委托蘭德公司、邁特公司(MITIE)及其它和國防工業(yè)有關的一些公司,經(jīng)過將近兩年半的工作,主要對當時的大型機、遠程終端進行了研究和分析,完成了第一次比較大規(guī)模的風險評估。在此基礎上, 經(jīng)過近10年的研究, NBS(美國國家標準局)1979年頒布了一個風險評估的標準:《自動數(shù)據(jù)處理系統(tǒng)(ADP)風險分析標準》(FIPS 65)。
從此拉開了信息安全風險評估理論和方法研究的序幕, 包括美國80年代的彩虹系列(即橘皮書, 美國早期的一套比較完整的從理論到方法的有關信息安全評估的準則, 形成于1981-1985), 1992年美國聯(lián)邦政府制定的《聯(lián)邦信息技術安全評估準則》(FC), 以及1993年發(fā)布的《信息技術安全通用評估準則》, 最終演化為1999年的國際標準ISO/IEC 15408。
跨入21世紀, 隨著網(wǎng)絡和信息技術的發(fā)展, 互聯(lián)網(wǎng)及其應用高速發(fā)展, 同時國際范圍內(nèi)出現(xiàn)了大規(guī)模黑客攻擊,信息戰(zhàn)的理論逐步發(fā)展,并且美國的軍事、政治、經(jīng)濟和社會活動對信息基礎設施的依賴程度達到了空前的高度, 在此環(huán)境下, 美國又開始了對信息系統(tǒng)新一輪的評估和研究,產(chǎn)生了一些新的概念、法規(guī)和標準。從2002年1月開始, NIST先發(fā)布了《IT系統(tǒng)風險管理指南》(SP 800-30)、《聯(lián)邦IT系統(tǒng)安全認證和認可指南》(SP 800-37)、《聯(lián)邦信息和信息系統(tǒng)的安全分類標準》(FIPS 199)、《聯(lián)邦IT系統(tǒng)最小安全控制》(SP 800-53)、《將各種信息和信息系統(tǒng)映射到安全類別的指南》(SP 800-60)等多個文檔。
雖然美國引領了網(wǎng)絡和信息技術的發(fā)展,但是目前影響最廣泛的 網(wǎng)絡和信息安全方面的標準ISO/IEC 17799:2005 (其前身是BS7799 Part 1, 全稱是Code of Practice for Information Security,也即為信息安全的實施細則)卻來自英國,并被大多數(shù)國家認可和使用。目前我們常講的ISO 27001 和ISO 27002 , 其前身分別是BS7799 part 2 和BS7799 part 1。
信息安全評估涉及到方方面面,安全標準也十分龐雜,各種評估標準的側(cè)重點也不一樣,比如《信息技術安全性評估準則(CC) 》和《美國國防部可信計算機評估準則(TCSEC) 》等更側(cè)重于對系統(tǒng)和產(chǎn)品的技術指標的評估;《系統(tǒng)安全工程能力成熟模型(SSE-CMM) 》更側(cè)重于對安全產(chǎn)品開發(fā)、安全系統(tǒng)集成等安全工程過程的管理。ISO/IEC 17799 (也就是ISO 27001 和ISO 27002)在對信息系統(tǒng)日常安全管理方面具有無法取代的地位,因此,目前國外很多企業(yè)接受ISO 27001:2005(BS7799-2)的認證,即信息安全管理體系認證證書。
國內(nèi)情況比較簡單,由于關于安全風險評估研究起步的較晚,目前國內(nèi)整體處于起步和借鑒階段,在安全風險評估的標準研究上還處于跟蹤國際標準的初級探索階段。國家質(zhì)量技術監(jiān)督局于2001年依據(jù)國際標準CC頒布了GB/T 18336《信息技術 安全技術 信息技術安全性評估準則》,相關的標準還有依據(jù)美國的TCSEC及紅皮書于1999年發(fā)布的GB17859《計算機信息系統(tǒng)安全保護等級劃分準則》,以及我國專門針對信息系統(tǒng)安全風險評估制定標準《信息安全技術 信息安全風險評估規(guī)范》(GB20984-2007)和《信息安全風險管理指南》。
當前我國正在進行的“信息系統(tǒng)安全等級保護”也是進行信息安全評估的一種重要形式, 其重要性不亞于60年代初, 美國通過兩年半的時間進行的第一次全美國范圍內(nèi)的大規(guī)模的風險評估。
信息系統(tǒng)安全等級保護工作在國內(nèi)的狀況, 與美國2002年頒布的《聯(lián)邦信息安全管理法案》(FISMA)有相似之處。該法案試圖通過采取適當?shù)陌踩刂拼胧﹣肀WC聯(lián)邦機構的信息系統(tǒng)安全性,是當前美國信息安全領域的一個重要發(fā)展計劃。
【編輯推薦】
