信息安全管理測評研究的論文

　　摘要：文章在簡(jiǎn)要介紹信息安全的基礎上,結合實(shí)際安全管理測評工作經(jīng)驗,簡(jiǎn)單探討了信息安全測評活動(dòng)中安全管理測評的方法,說(shuō)明了證據在測評活動(dòng)中的作用,對測評結果的影響,討論了如何在測評活動(dòng)中合理利用證據。文章的研究分析成果為信息安全的安全管理測評提供了新的思路,豐富了安全管理測評的方法,具有一定的現實(shí)意義。

　　1 信息安全管理測評發(fā)展綜述與需求

　　關(guān)于信息安全測評，美國早在2002年通過(guò)的《聯(lián)邦信息安全管理法案》中就要求各機構每年必須對其信息安全實(shí)踐進(jìn)行獨立測評，以確認其有效性。這種測評主要包括對管理、運行和技術(shù)三要素的控制和測試，其頻率視風(fēng)險情況而定，但不能少于每年一次。在獨立評價(jià)的基礎上，聯(lián)邦管理與預算局應向國會(huì )上報評價(jià)匯總結果;而聯(lián)邦審計署則需要周期性地評價(jià)并向國會(huì )匯報各機構信息安全策略和實(shí)踐的有效性以及相關(guān)要求的執行情況。

　　2003年7月，美國國家標準與技術(shù)研究所(National Institute of Standards and Technology，NIST)發(fā)布了NIST SP 800-55《信息技術(shù)系統安全測量指南》，其包括以下內容[3]：

　　1) 角色和職責：介紹發(fā)展和執行信息安全測量的主要任務(wù)和職責。

　　2) 信息安全測量背景：介紹測量定義、進(jìn)行信息安全測量的好處、測量類(lèi)型、幾種可以進(jìn)行信息安全測量的控制、成功測量的重要因素、測量對管理、報告和決策的作用。

　　3) 測量發(fā)展和執行過(guò)程：介紹用于信息安全測量發(fā)展的方法。

　　4) 測量項目執行：討論可以影響安全測量項目的技術(shù)執行的各種因素。

　　5) 以附件的形式給出的16種測量的模板。

　　2004年11月17日，美國的企業(yè)信息安全工作組(Corporate Information Security Working Group，CISWG)發(fā)布了CISWG CS1/05-0079《帶有支撐管理測量的信息安全計劃要素》[4]，2005年國際標準化組織(ISO/IEC SC27)提出了信息安全管理體系(Information Security Management Systems，ISMS)的系列標準——ISO27000系列。2005年1月10日又發(fā)布了修訂版，并作為針對ISO/IEC 2nd WD27004 的貢獻文檔提交給ISO/IEC JTC1 SC27，該文檔是根據CISWG的最佳實(shí)踐和測量小組的報告改編。

　　2005年8月31日，美國國際系統安全工程協(xié)會(huì )(International System Security Engineering Association，ISSEA)針對ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了題為“ISSEA Contribution Background”[5](ISSEA測量的貢獻背景)和“ISSEA Metrics”[6](ISSEA測量)兩個(gè)貢獻文檔。

　　2009年國際標準化組織(ISO)發(fā)布了ISO/IEC 27004：2009(信息技術(shù)一安全技術(shù)一信息安全管理測量)標準，為如何建立及測量ISMS及其控制措施提供了指導性建議[7]。

　　信息安全管理體系是信息安全保障體系的重要組成部分。近年來(lái)，隨著(zhù)組織對信息安全保障工作重視程度的日益增強，不少組織都依據標準GB/T 22081-2008建立了一套比較完善的ISMS來(lái)保護組織的重要信息資產(chǎn)，但是體系建立起來(lái)了，不少管理者都對ISMS的運行效果極其控制措施的有效性，持懷疑的態(tài)度。故此組織很有必要建立一套相應的測評方法來(lái)全面的對ISMS的運行情況進(jìn)行科學(xué)的評價(jià)，進(jìn)一步提升ISMS的執行力。該文研究的信息安全管理測評將為確定ISMS的實(shí)現目標，衡量ISMS執行的效力和效率提供一些思想、方法，其結果具有客觀(guān)的可比性，還可以作為信息安全風(fēng)險管理、安全投入優(yōu)化和安全實(shí)現變更的客觀(guān)依據，有助于降低安全風(fēng)險，減少安全事件的概率和影響，改進(jìn)安全控制和管理過(guò)程的效率或降低其成本。

　　2 信息安全管理測評研究?jì)热?/strong>

　　信息安全管理測評是信息安全管理體系的重要部分，是信息安全管理測量與評價(jià)的綜合。信息安全管理測量的結果是信息安全績(jì)效評價(jià)的依據。信息安全管理測量比較具體，信息安全管理評價(jià)則通過(guò)具體來(lái)反映宏觀(guān)。   2.1 信息安全管理測評要素及其框架

　　信息安全管理測評要素包括：測評實(shí)體及其屬性、基礎測評方式、基礎測評變量、導出測評制式、導出測評變量、測評方法、測評基線(xiàn)、測評函數、分析模型、指示器、決策準則、測評需求和可測評概念等，其框架如圖3.1信息安全測評框架所示，包括：基于什么樣的需求來(lái)測評(即測評需求)，對什么進(jìn)行測評(即實(shí)體及其屬性)，用什么指標體系來(lái)測評(包括測評制式、測評變量和測評尺度)，用什么方法來(lái)測評(即測評方法)，用什么函數來(lái)計算測評結果(即測評函數)，用什么模型來(lái)分析測評結果(即分析模型)，用什么方式來(lái)使分析結果能夠輔助決策(即指示器)等問(wèn)題。

　　信息需求是測評需求方提出的對測評結果信息的需求。信息需求源自于組織的使命和業(yè)務(wù)目標，與相關(guān)利益者的利益訴求密切相關(guān)。指示器的生成和分析模型的選擇是以信息需求為導向的。

　　決策準則是一種決定下一步行為的閾值。他有助于解釋測評的結果。決策準則可能出自或基于對預期行為在概念上的理解和判斷。決策準則可以從歷史數據、計劃和探索中導出，或作為統計控制限度或統計信心限度計算出來(lái)。

　　可測評概念是實(shí)體屬性與信息需求之間的抽象關(guān)系，體現將可測評屬性關(guān)聯(lián)到信息需求以及如何關(guān)聯(lián)的思想�？蓽y評概念的例子有生產(chǎn)力、質(zhì)量、風(fēng)險、績(jì)效、能力、成熟度和客戶(hù)價(jià)值等。實(shí)體是能通過(guò)測評屬性描述的對象。一個(gè)實(shí)體是測評其屬性的一個(gè)對象，例如，過(guò)程、產(chǎn)品、系統、項目或資源。一個(gè)實(shí)體可能有一個(gè)或多個(gè)滿(mǎn)足信息需求的屬性。實(shí)踐中，一個(gè)實(shí)體可被歸類(lèi)于多個(gè)上述類(lèi)別。他可以是有形的也可是無(wú)形的。信息安全管理測評的實(shí)體包括信息安全管理體系建立過(guò)程中所有的控制項(信息安全管理測評要素)。屬性是實(shí)體可測評的、物理的或抽象的性質(zhì)。一個(gè)屬性是能被人或自動(dòng)手段定量或定性區分的一個(gè)實(shí)體的某一特性或特征。一個(gè)實(shí)體可能有多個(gè)屬性，其中只有一些可能對測評有價(jià)值。測評模型實(shí)例化的第一步是選擇與信息需求最相關(guān)的屬性。一個(gè)給定屬性可能被結合到支持不同信息需求的多個(gè)測評構造中。信息安全管理測評主要測評的是每一項控制措施的屬性(信息安全管理測評指標)。

　　測評是以確定量值為目的的一組操作。信息安全管理測評是確定控制項的每一個(gè)具體指標的一組操作，可以有多種測評方法�；�礎測評是依照屬性和定量方法而定義的測評方法，是用來(lái)直接測評某一屬性的，是根據屬性和量化他的方法來(lái)定義，他捕獲單獨屬性的信息，其功能獨立于其他測評。信息安全管理基礎測評是對于控制項的指標可以直接測評出來(lái)的量。導出測評是通過(guò)測評其他屬性來(lái)間接地測評某一屬性的測評，是根據屬性之間的關(guān)系來(lái)定義，他捕獲多個(gè)屬性或多個(gè)實(shí)體的相同屬性的信息，其功能依賴(lài)于基礎測評的，是兩個(gè)或更多基礎測評值得函數。

　　測評尺度是一組連續或離散的數字量值(如小數/百分比/自然數等)或離散的可數量值(如高/中/低/等)。測評尺度是規范測評變量取值的類(lèi)型和范圍。測評方法將所測評屬性的量級影射到一個(gè)測評尺度上的量值后賦給測評變量。

　　測評尺度根據尺度上量值之間關(guān)系的性質(zhì)分為四種類(lèi)型：

　　名義(Nominal) ：測評值是直呼其名。

　　序數(Ordinal) ：測評值是有等級的。

　　間隔(Interval) ：測評值是等距離的，對應于屬性的等量，不可能是零值。

　　比率(Ratio) ：測評值是等距離的，對應于屬性的等量，無(wú)該屬性為零值。

　　測評單位是作為慣例定義和被廣泛接受的一個(gè)特定量。他被用作比較相同種類(lèi)量值的基準，以表達他們相對于此量的量級。只有用相同測評單位表達的量值才能直接比較。測評單位的例子有公尺、公斤和小時(shí)等。

　　測評函數是將兩個(gè)或更多測評變量結合成導出測評變量的算法。導出測評變量的尺度和單位依賴(lài)于作為函數輸入的測評變量的尺度和單位以及他們通過(guò)函數結合的運算方式。分析模型是將一個(gè)或多個(gè)測評變量轉化為指示器的算法。他是基于對測評變量和/或他們經(jīng)過(guò)一段時(shí)間的表現之間的預期關(guān)系的理解或假設。分析模型產(chǎn)生與信息需求相關(guān)的評估或評價(jià)。測評方法和測評尺度影響分析模型的選擇。

　　測評計劃定義了測評實(shí)施的目標、方法、步驟和資源。測評頻率是測評計劃的執行頻率。測評計劃應按規定的頻度定期地或在必要的時(shí)候不定期地執行。定期執行的規定頻度應建立在信息效益的需求與獲得他的成本之間的折中，可以是每周、每月、每季度或每年等。不定期執行的必要時(shí)候包括ISMS初始規劃和實(shí)施以及ISMS本身或運行環(huán)境發(fā)生重大變化。

　　2.2 信息安全管理測評量表體系

　　任何測評都必須具備參照點(diǎn)、單位和量表三個(gè)要素。信息安全測評指標體系是信息安全測評的基礎，是對指定屬性的評價(jià)，這些屬性與測評需求方的信息保障需求相關(guān)聯(lián)，對他們進(jìn)行評價(jià)為測評需求方提供有意義的信息。其總是以滿(mǎn)足其信息保障需求和方便易理解的方式呈現給測評需求方的。標準GB/T 22081-2008是進(jìn)行信息安全管理所參照的標準，其從信息安全方針、信息安全組織、法律法規符合性等11個(gè)方面，提出了133個(gè)控制措施供使用者在信息安全管理過(guò)程中選擇適當的控制措施來(lái)加強信息安全管理。該標準所提供的控制措施基本能覆蓋信息安全管理的各個(gè)方面。在建立信息安全管理測評指標體系的實(shí)踐中，通常以控制措施的實(shí)施情況作為指標，建立預選指標集，通過(guò)對預選指標集的分析，采用專(zhuān)家咨詢(xún)的方式篩選出能全面反映信息安全管理有效性的具體指標。

　　3 信息安全管理測評方法探討

　　測評方法通常影響到用于給定屬性的測評尺度類(lèi)型。例如，主觀(guān)測評方法通常只支持序數或名義類(lèi)型的測評尺度。測評方法是使用指定的測評制式量化屬性的操作邏輯序列。操作可能包括計算發(fā)生次數或觀(guān)察經(jīng)過(guò)時(shí)間等。同樣的測評方法可能適用于多個(gè)屬性。然而，每一個(gè)屬性和測評方法的獨特結合產(chǎn)生一個(gè)不同的基礎測評。測評方法可能采用多種方式實(shí)現。測評規程描述給定機構背景下測評方法的特定實(shí)現。   測評方法根據量化屬性的操作性質(zhì)分為兩種類(lèi)型：

　　主觀(guān)：含有人為判斷的量化。

　　客觀(guān)：基于數字規則(如計數)的量化。這些規則可能通過(guò)人或自動(dòng)手段來(lái)實(shí)現。

　　測評方法的可能例子有：調查觀(guān)察、問(wèn)卷、知識評估、視察、再執行、系統咨詢(xún)、測試(相關(guān)技術(shù)有設計測試和操作有效性測試等)、統計(相關(guān)技術(shù)有描述統計、假設檢驗、測評分析、過(guò)程能力分析、回歸分析、可靠性分析、取樣、模擬、統計過(guò)程控制(SPC， statistical Process control) 圖和時(shí)序分析等)。

　　4 結束語(yǔ)

　　當前，信息安全領(lǐng)域的測評研究多側重于對技術(shù)產(chǎn)品、系統性能等方面的測評，其中信息安全風(fēng)險評估可通過(guò)對重要信息資產(chǎn)面臨的風(fēng)險、脆弱性的評價(jià)掌握組織的信息安全狀況;信息安全審計則只是對信息安全相關(guān)行為和活動(dòng)提供相關(guān)證據;而信息安全管理評審則是符合性審核，他們都不能對信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出評價(jià)。因此，非常有必要對信息安全管理的有效性進(jìn)行測評，這將有助于了解信息安全管理過(guò)程中所采取的控制措施的有效性以及控制措施的執行情況，為管理者決策提供依據，也能為組織信息安全管理過(guò)程的持續改進(jìn)提供足夠的幫助，達到更好地管理信息安全的最終目的。