信息安全保障评价指标体系的研究
信息安全风险评估指标体系建立和改进建议
信息安全风险评估指标体系建立和改进建议随着信息技术的高速发展和互联网应用的普及,信息安全问题也逐渐引起人们的广泛关注。
信息安全风险评估是保障信息系统安全的重要环节,其目的是在建立合理的指标体系基础上,全面评估信息系统所面临的风险,为决策者提供科学准确的决策依据。
本文将从信息安全风险评估指标体系的建立和改进方面进行探讨。
一、信息安全风险评估指标体系的建立(一)风险评估目标明确:在建立信息安全风险评估指标体系之前,首先需要明确风险评估的目标和范围。
例如,是评估整个信息系统的风险还是某一特定的子系统、应用或业务流程的风险。
只有明确目标,才能有针对性地建立相应的指标体系。
(二)涵盖各方面的指标:信息安全风险评估指标体系应该综合考虑信息系统的操作层面、技术层面和管理层面的安全要求。
操作层面的指标可以包括系统的权限控制、用户认证和访问控制等;技术层面的指标可以包括网络防火墙、入侵检测系统和漏洞扫描等;管理层面的指标可以包括安全策略、培训与教育以及应急响应等。
通过综合考虑各方面的指标,可以全面评估信息系统的安全风险。
(三)指标量化与标准化:要建立科学有效的信息安全风险评估指标体系,需要对指标进行量化和标准化。
指标的量化可以通过给指标设定具体的数量标准,例如风险的等级划分为高、中、低;指标的标准化可以通过制定符合国际标准和行业标准的评估方法和流程,例如ISO 27001和NISTSP800-30等。
只有将指标量化和标准化,才能使评估结果具有可比性和可信度。
(四)风险评估方法的选择:在建立信息安全风险评估指标体系时,需要选择适合的评估方法。
常见的风险评估方法有定性评估和定量评估两种。
定性评估主要通过判断风险的可能性和影响程度,识别风险的潜在来源;定量评估则通过数学统计模型和模拟仿真等方法,对风险进行量化分析。
在实际应用中,可根据具体情况选择合适的评估方法或结合两种方法进行综合评估。
二、信息安全风险评估指标体系的改进建议(一)持续改进与更新:信息安全风险评估指标体系需要与时俱进,根据信息技术的发展和安全威胁的变化进行持续改进和更新。
信息安全风险综合评价指标体系构建和评价方法
信息安全风险综合评价指标体系构建和评价方法随着网络技术和信息化建设的快速发展,信息安全风险面临着越来越严峻的挑战。
针对当前信息安全面临的问题,构建信息安全风险综合评价指标体系非常重要。
本文着重探讨了信息安全风险综合评价指标体系的构建及评价方法。
一、引言信息安全是信息化时代面临的最大挑战之一。
信息安全风险评估是保障信息安全的基础,也是保障整个信息系统的基础。
目前,信息安全评价指标体系的构建及评估方法存在不足,需要进一步完善。
因此,针对信息安全风险评估的需要,构建一个全面的信息安全风险综合评价指标体系变得至关重要。
二、信息安全风险综合评价指标体系的构建1、信息安全维度信息安全维度是指信息安全风险评估的基本构成。
主要包括以下三个方面:(1)机密性维度:机密性是指信息只能被授权访问者使用,以保护信息免受未经授权的访问、使用或披露。
(2)完整性维度:完整性是指对信息和信息处理系统的修改、删除未经授权的防范。
(3)可用性维度:可用性是指保证信息和 IT 资源能够在需要时按照需求进行访问。
2、信息安全评估指标的体系(1)评估目标:评估和量化评估对象的各个方面。
(2)评估维度:主要包括安全策略、数据安全、系统安全、应用安全和运营安全等。
(3)评估对象:主要包括系统、网络设备、应用、数据、人员等,进行分级管理。
(4)评估内容:包括评估输入、评估流程、评估输出、评估标准等。
3、信息安全综合评价指标信息安全综合评价指标体系可以综合考虑信息的机密性、完整性、可用性、安全策略等多个方面,在整个信息安全评估过程中起到重要作用。
信息安全综合评价指标包括以下几个方面:(1)安全策略指标:包括安全管理体系、安全、安全意识等。
(2)数据安全指标:包括数据完整性、数据保密性、数据可用性。
(3)系统安全指标:包括系统可靠性、系统完整性、系统可用性、系统性能等。
(4)应用安全指标:包括应用程序安全、应用数据安全、应用功能安全等。
(5)运营安全指标:包括操作管理安全、设备管理安全、网络安全等。
信息系统安全性能指标的评估方法研究
信息系统安全性能指标的评估方法研究信息系统安全性能一直是各行各业的关注焦点。
对于信息系统而言,安全性能无疑是其最基本的要求之一。
而如何评估信息系统的安全性能,也是一个亟待解决的问题。
本文就信息系统安全性能指标的评估方法进行研究,希望对广大读者有所帮助。
一、信息系统安全性能的指标信息系统安全性能的指标主要包括以下几个方面:1.机密性机密性是信息系统安全性能的一个重要指标,是指系统中的信息仅能被授权人员访问和处理,在未经授权情况下不得泄露或篡改。
2.完整性完整性是指信息系统中的数据无论何时何地都不应被未经授权的人或程序篡改或破坏。
完整性的保障对于信息系统的正常运行和数据稳定性至关重要。
3.可用性可用性是指信息系统能够在需要时可靠地提供服务,即系统应保持高度稳定性和持续性,不应受到人为或自然因素的干扰或威胁,保证用户能够在需要的时候正常使用系统。
4.不可抵赖性不可抵赖性是指系统中的信息在发生交易或其它转移过程中不能否认。
不可抵赖性体现了系统日志的记录和故障的修复等方面,还体现了安全性和可用性的保证。
二、信息系统安全性能评估的方法信息系统安全性能评估的方法多种多样,针对不同的系统和需求,应有不同的评估方法。
下面介绍几种常用的方法:1.策略/过程评估法策略/过程评估法主要针对信息安全管理体系(ISMS),通过对ISMS规程、制度及标准等的检测,评估企业的安全策略以及实现策略的过程。
ISMS主要包括安全管理策略、组织结构与责任、资产管理、人员安全、物理及环境安全、通信与运营管理、应急响应、安全测量及持续改进等方面。
如果企业没有相关规程制度和标准,将导致评估不成立,不能真正反映企业安全实力。
2.技术检测评估法技术检测评估法是一种通过对系统运行、数据存储、口令、补丁更新等多方面技术进行检测的评估方法。
它是评估企业实际操作风险的有效方法,同时也是客观检测企业安全性能的重要参考手段。
技术检测评估法有非授权渗透测试、漏洞扫描、入侵检测、计量、数据恢复等多种方式。
科研机构信息安全评价指标体系研究
科
技 进 步 与 对
策
V_l29N0.7 0_ 1 Se 201 p. 2
Sc e e& Te hno o y r g e sa lc inc c l g P o r s ndPo iy
科 研 机 构 信 息 安 全 评 价 指 标 体 系 研 究
关 键 词 : 研 机 构 ; 研 信 息 化 ; 息 安 全 ;评 价 指 标 体 系 科 科 信 D :0 6 4 / j y c 2 1 0 0 4 OI 1 . 0 9 kj d . 0 1 9 0 4 b
中 图 分 类 号 : 2 . G3 2 2
文献 标识 码 : A
文 章 编 号 :0 17 4 (0 2 1 —1 30 1 0 —3 8 2 1 ) 70 4 —6
的连 接 越 是 紧 密 , 信 息 技 术 及 网 络 可 靠 性 和 安 全 性 对
0 引 言
科 研 信 息 化 ( — ce c ) 的概 念 最 早 由英 国 提 出 , eS in e
经 历 了 十 几 年 的 发 展 , 发 达 国 家 已经 基 本 完 成 了 科 各
的要 求 也 越 高 。 目前 , 随 着 信 息 技 术 的蓬 勃 发 展 , 伴 利
管理 、 建设 保 障和 战略 3个 方 面对科研 活动信 息技 术 应用 环境 的安 全性 与 可靠性进 行 科 学评价 , 出信 息 找
安 全 工 作 中 的 不 足 , 指 导 科 研 活 动 中 的 信 息 安 全 工 作 能 够 科 学合 理 开 展 , 时 为 其 它 相 关 领 域 的信 息 安 以 同 全 评价 工作提供 参 考 。
我 国科 研 信 息 化 虽 然 起 步 较 晚 , 发 展 迅 速 。 我 但
信息安全风险评估与评价体系研究
信息安全风险评估与评价体系研究第一章:引言信息安全已经成为了现代社会中不可或缺的一个部分,它直接关系到个人隐私、企业机密、国家安全等方面。
其中,信息安全风险评估是信息安全管理的一个重要环节,它旨在对信息系统的安全性进行全面的评估,从而提前发现并减少可能带来损失的破坏性风险。
研究信息安全风险评估与评价体系,有助于提高信息安全保障工作的可靠性和有效性。
第二章:信息安全风险评估的概念和方法2.1 信息安全风险评估的概念信息安全风险评估是指对计算机信息系统的安全性进行评估,以确定现有系统安全方案的薄弱环节,发现潜在的安全隐患和风险,并提出相应的安全改进措施的过程。
信息安全风险评估是确定技术措施、管理措施和物理措施的必要性和适当性,以防范和降低信息系统面临的风险的一种方法。
2.2 信息安全风险评估的方法信息安全风险评估通常采用如下方法:(1)评估事项的准备和调查:搜集、整理和审查组织内的 IT资产,明确 IT 资产的范围和所有权,并针对 IT 资产的安全威胁进行整体的调查和分析。
(2)风险分析:对 IT 资产和可能的安全威胁进行潜在危害分析,并确定风险的概率和影响。
然后根据概率和影响的值进行风险评估。
(3)安全成熟度评估:对各项安全措施进行评估,判断现有安全措施的准确性、有效性和完整性,以及未来安全计划的可行性。
第三章:信息安全风险评估的影响因素3.1 外部因素(1)政治老板:包括国家和地方政府领导、决策和批准机构,他们主要通过官方法规和各种政策来影响公司的信息安全风险评估。
(2)产业规范与标准:资料、标准、资讯安全管理规范等各种标准的制定与实施对于信息安全所扮演的角色不断加大,它们可以帮助公司让各部门对于与公司信息安全有关的规定达成一致,也可以让公司对于在安全方面的短板更快地认识到。
3.2 内部因素(1)组织结构:包括公司组织的战略、结构、管理模式、流程等;(2)人员和技术条件:包括员工对于信息安全管理方面的知识能力和 IT 人员的技术水平;(3)管理流程:包括公司的 IT 部门,如安全团队,与 IT 资产的管理流程等。
信息系统安全态势评价指标体系研究与应用
信息系统安全态势评价指标体系是一个多维度多层次的业务安全态势评价指标架构,从IT架构、业务领域、安全态势多个维度,从领导域、业务域、开发域、安全域、运维域等多个层次,构建了安全态势评价指标体系的架构。
1 业务安全态势评价指标架构信息系统安全态势评价指标体系是一个多层次多维度的安全态势评价体系,从安全态势维度上来说,主要为分为领导域安全态势、业务域安全态势、开发域安全态势、安全域安全态势、运维域安全态势;从IT架构层次上来说,主要分为物理层、网络层、主要/基础软件层、应用系统层;从业务领域来说,主要是各信息系统,如办公管理系统、财务管理系统、客户关系管理系统等。
如图1所示。
2 业务安全态势评价指标体系选取原则在信息系统安全态势指标体系的选取方面需要遵循以下原则:2.1 动态化原则信息安全是一个动态的过程,在系统运行过程中信息安全受到外部安全环境变更、内部安全防护措施与能力的变更以及信息资产本身价值变更三个主要因素的影响。
因此安全态势指标体系的选取和建立也是一个动态的过程,管理人员需要根据安全现状及时调整安全指标。
2.2 准确客观性原则安全态势指标体系需使用准确具体、客观公正的数据来形成指标,避免采用参杂人工主观性因素的指标。
2.3 自动化原则安全态势指标体系很大一部分来自信息设备和业务系统,为保障指标的实效性、准确性,减少采集环节,提高采集效率,应尽可能通过平台对采集目标进行自动化数据采集。
2.4 简洁直观原则应尽量避免采用复合指标,而应采用具有典型性和针对性的单项指标。
通过指标能直接反映采集对象的问题所在,协助管理人员迅速做出判断和处理。
3 业务安全态势评价指标体系组成信息系统安全态势评价指标体系主要由领导域安全态势、业务域安全态势、开发域安全态势、安全域安全态势、运维域安全态势五大态势组成。
领导域安全态势主要是从总体态势进行概览,涵盖了业务系统的访问量、可用率、中间件、数据库、主机、网络设备等指标信息,主要包括:(1)互联网出口攻击阻断指标。
信息系统评价指标体系研究
DCWTechnology Study技术研究13数字通信世界2023.121 研究背景信息系统由于其组成和功能的复杂性,一般被分解为一定数量的子系统,在描述系统的指标时,通常以各子系统为基本单位,采用各子系统的指标描述代替系统指标描述。
这种方法具有相对直观、通俗易懂的特点,但也反映出设计者对“自上而下”的设计方法和过程的把握有待提高,对系统的认识和理解水平也有待提高[1]。
本文所研究的信息系统评价指标体系能够以系统的观点完整、准确地描述系统,从系统的功能和系统的组成两个方面对系统进行无缝划分,突出了在系统层面的考量,强化了对系统进行评价的观点。
除此之外,本体系也反映了系统的设计思想和设计师对系统的理解,即系统的定位、功能、系统的实现方式和具体指标要求,是信息系统总体情况的客观反映,具有完整性、可测量性、动态性、层次性等特点。
2 评价体系模型本文提出的评价体系模型将评价指标分为系统整体评价指标和系统质量评价指标。
将系统整体评价指标进一步划分为3个子指标,将系统质量评价指标进一步划分为8个子指标。
如图1所示。
以下是模型中各个评价指标的说明。
2.1 系统整体评价(1)系统整体满意度:用于评价使用部门对信息系统实际使用过程中的满意程度。
(2)规划符合度:用于评价建设完成的信息系统与系统战略规划相符合的程度。
(3)业务支撑效果:用于评价建设完成的信息系统与业务实际应用效果。
2.2 系统质量评价(1)功能性:信息系统在指定使用条件下,能够信息系统评价指标体系研究陈冠军,孙 浩(中通服咨询设计研究院有限公司,江苏 南京 210019)摘要:信息系统评价指标体系的理论与方法研究是一个不断发展和更新的领域。
文章中的信息系统评价指标体系是一个多指标综合评价体系,是指对信息系统的综合评价或判断。
它具有以下特点:一是它的评价包括一些独立的指标;二是这些指标反映了信息系统的不同方面,通常具有不同的维度;三是综合评价的目的是对信息系统做出整体判断,并利用评价值来反映信息系统的总体水平。
信息安全保障评价指标体系的研究
Re e r h o nd c t rf r I o m ato s u a c aua i n s a c fI ia o o nf r i n A s r n eEv l to
d c t r l h l o i r v h fiin n e ss e t o n o ma i n a s r n e a d ma e t e if r to y t m ia o s wi e p t mp o e t e e f e t a d p ri t n fi f r t s u a c , n k h n o ma i n s se l c o
( 北京 邮 电大 学 网络与 交换技 术 国家 重点实验 室信 息安 全 中心 北 京 1 0 7 ) 0 8 6。
摘 要 信息安全保障与信息系统本 身一样是 一个复杂的 系统 。为 了能够很好反映信 息安全保障 系统 的功效 , 需要
用可量化的参数 作为衡 量指标。从 中国信 息安全保 障的国家战略 、 管理策略 、 工程规 范和技 术措施 方面出发 , 出了 提
WU iu YANG - in Zh— n j Yixa 2
( c o l f lcr nc S h o e to is& I f r t n E gn e ig C vl it nUnv r i f hn , a j 0 3 0 C ia 1 oE n o mai n i e r , ii Av i iest o ia Ti i 3 0 0 , hn ) o n ao y C nn
lc n q em e s r me t. e e a u t t o s a d p o e u e t o b ef e b c swe e g v n i h s p p r Th — e h iu a u e n s Th v l a e me h d n r c d r swi d u l e d a k r ie n t i a e . e i h n
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1、前言为了更好地保障我国的信息安全,中央办公厅下发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)。
27号文明确了加强信息安全保障工作的总体要求和主要原则,对加强信息安全保障工作做出了全面部署,提出了5年内建成国家信息安全保障体系IA(Information Assurance)的构想。
目前,关系国家安全、经济命脉和社会稳定等方面的3大基础信息网络(电信网络、广电网络和互联蜘络)和8个重要信息系统行业(金融、电信、证券、保险、民航、铁路、税收和海关)的信息安全保障系统逐渐建成,并投入使用。
信息化是信息技术系统与社会系统相互作用、紧密耦合,且有大量人的行为参与其中的综合发展进程。
然而安全因素和系统因素相互制约,使得信息安全具有很大的综合性、复杂性和不确定性。
同时,信息安全保障会伴随信息化的发展而不断变化。
为了保证国家基础网络设施和重要信息系统等关键部门所建设的信息安全保障体系的长效机制,迫切需要针对不同重要行业、业务系统研究建立科学的、可度量的,可操作的信息安令保障评价指标体系(Indicator),对其信息安全保障的整体状态进行科学的、客观的评价与描述,从而确定所建设的信息安全保障体系的保障水平、保障实效和保障周期等问题。
闪此。
信息安全保障评价指标体系就是用一组科学的、可度量的指标作对信息安全保障系统的保障功能、保障效果和保障周期进行综合的考核和评价。
2、相关工作现有的安全评估方式可以大致归结为4类:安全审计、风险分析、安全测评和系统安全工程能力成熟度模型SSECMM(Systems Security Engineering Capability Maturity Model)等。
大部分通用的信息安全标准,如ISO17799,ISO13335等,其核心思想都是基于风险的安全理念。
信息技术先进的国家,例如美国、俄罗斯和日本等在信息安全保障评价指标体系方面已经率先开展了研究工作。
特别是美国,利用卡内基梅隆大学系统安全工程能力成熟度模型SSECMM较早地建立了信息安全保障评价指标体系。
Rayford B.Vaughn和Nabil Seddigh等人研究了信息安全保障评价的概念和范畴,给出了信息安全保障评价的框架。
在国内,国家信息中心研究了网络信息系统的信息安全保障理论和评价指标体系;更多的研究针对网络安全的评价指标体系。
在评估方面。
魏忠提出了从定性到定量的系统性信息安全综合集成评估体系;肖道举等进行了网络安全评估模型的研究;黄丽民等提出了网络安全多级模糊综合评价方法;李雄伟等在采用模糊层次分析法Fuzzy-AHP评估网络攻击效果方面取得了一定的成果。
有些研究已经应用到具体的行业中。
最近,中国工业与信息产业部推出了“中国信息安全产品评测指标体系”。
目前,有关网络信息系统的安全评价虽然存在着多种多样的具体实践方式,但在世界上还没有形成系统化和形式化的评价理论和方法。
评价模型基本是基于灰色理论(Gray Theory)或者模糊(Fuzzy)数学,而评价方法基本上用层次分析法AHP(Analytic Hierarchy Process)或模糊层次分析法Fuzzy-AHP,将定性因素与定量参数结合,建立了安全评价体系,并运用隶属函数和隶属度确定待评对象的安全状况。
上述各种安全评估思想都是从信息系统安全的某一个方面出发,如技术、管理、过程、人员等,着重于评估网络系统安全某一方面的实践规范,在操作上主观随意性较强,其评估过程主要依靠测试者的技术水平和对网络系统的了解程度,缺乏统一的、系统化的安全评估框架,很多评估准则和指标没有与被评价对象的实际运行情况和信息安全保障的效果结合起来。
在目前的评估方法中,基础指标(技术、管理、工程和战略)是相互独立的,技术、管理、工程和战略措施是并行的,评价指标之间相互独立,从而导致评价精度下降和评价准确性出现偏差。
本文从中国信息安全保障的国家战略、管理策略、工程规范和技术措施方面出发,提出以“安全基线政策”(Security Baseline Policy)为核心的信息安全评价指标体系(Indicator)。
3、基于安全基线政策的信息安全保障评价指标体系研究信息安全保障评价指标体系的主要目的是保证信息安全保障体系的战略完备性、管理先进性、工程成熟性和技术有效性。
如何对这4个方面进行评价,则需要参照相关标准规定,即安全基线政策(Security Baseline Policy)。
3.1 安全基线政策的定义和含义安全基线政策是为了保障互联网的信息安全,国家政府职权部门、行政管理部门和技术支撑单位从宏观、中观和微观3个角度,在国家、企事业和用户3个层次上,根据战略、管理、工程和技术4个方面制定的法律依据、标准规范、实施手段和技术方法的具体内容的统称。
安全基线政策制定了保障和维护国家信息安全的办法。
它实际上规定了信息系统安全的边界,是个封闭的、不可逾越的警示线。
信息系统的信息安全保障系统基线政策核心如图1所示。
国家(宏观)的政策是从上而下贯穿到底的。
它是行业(中观)和企事业单位(微观)必须坚决执行的。
也就是,行业(中观)和企事业单位(微观)制定的发展战略、行政管理、规划工程和实施技术必须以国家(宏观)的相关政策为基础、以此为目标的。
其中,(1)战略保障为信息安全保障提供法律依据,包括法规、政策和标准。
即根据信息社会发展的需要界定法律边界、规划发展蓝图和指明策略方向,例如《全国人大常委会关于维护互联网安全的决定》以及国家和各相关部委的标准和规定等;(2)管理保障为信息安全保障提供制度保证,包括条例和规范。
即根据中国国情制定实施规范,颁布具体条例和说明执行程序。
例如国家公安部、工业和信息部颁发的标准和规范等;(3)工程保障为信息安全保障提供实施方法,包括实施和运行。
即根据具体的保障情况要求实施质量监督和状态监控,例如国家对信息化工程实施指南的细则;(4)技术保障为信息安全保障提供具体措施,包括需求、设计和方法。
即根据美国安全工程能力成熟度模型(SSECMM)分析系统的功能需求,设计系统的整体方案,建立系统的协同机制,进行系统的安全运行管理,完成系统的安全时问审计和实施系统的安全态势监视,例如国家计算机安全管理中心和国家病毒中心推出的具体措施。
由安全基线政策的定义和含义可以得出安全基线(Security Baseline)的定义为:从安全基线政策中抽取具体的量化值,用以具体表示安全基线政策。
安全基线就是在安全基线政策的“圈”上通过抽样选取的具有代表性的点。
3.2信息安全保障评价框架和流程随着信息化的快速发展,面临着许多安全威胁,比如病毒侵入、恶意入侵和蓄意攻击等。
为了保证信息化快速健康地发展,必须建立长效机制的信息安全保障系统。
为了保证和检验信息系统的信息安全保障系统的有效性和长久性,建立信息安全保障评价指标体系,用于对信息安全保障系统进行综合性评价。
信息安全保障系统必须是在达到安全基线政策的要求下,根据中办发[2003]27号文的精神,结合实际信息系统而设计的。
它是在针对安全威胁(病毒、入侵和攻击等)进行风险评估,判断现在的安全形势的基础上,研究安全策略。
制定具体的安全措施,形成系统的安全保障。
达到一定的安全保障效果(安全属性:安全性、机密性和不可抵赖性等)。
因此,可以得出信息安全保障体系由3部分组成:(1)信息安全保障措施,包括战略、管理、工程和技术措施;(2)信息安全保障系统框架,是将信息安全保障措施综合集成为系统的保障体系,应用到实际信息系统的保障中;(3)安全属性。
是信息安全保障效果最终的体现,具体反映出信息安全保障体系在信息和信息系统的安全属性方面的效果。
根据信息安全保障系统的组成,可以得到信息安全保障评价的3个角度。
(1)保障角度:根据具体信息系统的应用功能。
以及面临的安全威胁分析,确定相应的信息安全保障策略和方法;(2)运行角度:根据保证信息系统正常运行的要求.进行必要的数据统计和监控手段;(3)效果角度:根据信息系统安全保障的重点,针对具体的保障内容进行保障效果的检验。
通过以上所述,可以得到信息安全保障评价框架,如图2所示。
从系统的角度来说,信息安全保障的目的就是使整个信息系统保持动态平衡(安全)的状态。
从图2可以看出,完整的信息安全保障评价流程包括3个过程:静态评估、动态评估、状态评估。
(1)静态评估:评价纸面上的东西,即评价信息安全保障设计的方案文档、制定的安全措施档案和安全管理的标准规范等。
主要评价内容为安全方案的合理性、安全措施的正确性和标准规范的科学性。
静态评估的主要手段有两种。
第一种为专家打分:要求一定数目的专家组成员独立针对每项安全方案、措施和规范的设计和内容进行评分,采用层次分析法(AHP)或者模糊层次分析法(RAHP)将评分进行综合,得到评价结果;第二种为问卷调查:专家组成员根据具体信息系统的应用功能。
事先有针对性地准备好一些问题,让被评估单位的专业人员进行回答,然后评估专家根据问卷的得分,对评估对象给出评价结论。
(2)动态评估:是对信息系统和信息安全保障系统的运行情况做出判断。
该过程需要统计信息系统和安全保障系统日常运行的记录数据。
包括信息安全值班的所有记录和安全审计的日志等。
例如网络流量、网络带宽、协议,以及入侵检测、防病毒、防火墙和安全审计等原始记录数据和统计显示数据。
对记录数据进行统计和处理.以得到信息安全的评价结论。
(3)状态评估:是检验信息安全保障的效果。
主要表现在对信息和信息系统的安全属性(保密性、完整性、真实性、可用性、不可抵赖性、抗毁性、生存型和有效性)进行测试和检验。
主要手段包括两种:第一种为渗透测试,模拟黑客攻击的渗透测试技术,有助于查找信息系统的脆弱点和检验信息安全保障系统的效果;第二种为专项测试,针对信息和信息系统的某个安全属性,采用专业技术进行单项测试。
检验信息安全保障在某个功能上的保障效果。
针对上述3个评估过程可以得到3种信息安全评价指标:静态(功能)指标、动态(运行)指标和状态(属性)指标。
图2中的3个评估过程是通过2个反馈关联起来的。
其中,第一个反馈是内反馈,它将静态(功能)指标的评价结果反馈列信息系统的安全方案设计、安全措施实施和安全管理标准规范制定这个环节上,以对相关的文档进行修改,通过调整达到静态(功能)指标的要求;第二个反馈是外反馈,它是将动态(运行)指标和状态(属性)指标的评价结果送入到战略、管理、工程和技术调节单无中。
把相关的调整变化也反馈到安全方案设计、安全措施实施和安全管理标准规范制定这个环节上,以保证从源头开始,满足信息系统的信息安全保障的要求。
通过3个评估过程和2个反馈,从系统化的角度,信息系统和信息安全保障系统形成一个动态平衡的系统,即在一定时间内保持相对安全的系统(安全是相对的,它在某一时段是安全的。