92、新 IT 服务信息安全评估与认证研究

新 IT 服务信息安全评估与认证研究

1. 新 IT 服务信息安全架构与评估框架

1.1 新 IT 服务信息安全架构

新 IT 服务的信息安全架构反映了新 IT 服务的特征以及提供 IT 服务各要素的信息安全需求。研究中采用了常用于建立 IT 架构的“人员”“流程”和“技术”模型，构建了新的信息安全架构，如下表所示：
| 要素 | 具体内容 |
| — | — |
| 流程 | 业务流程、IT 服务流程 |
| 人员 | 服务提供商、供应商、客户 |
| 技术 | 基础设施、应用程序、终端 |
| 信息安全需求 | IT 服务通用信息安全需求、各 IT 服务特定信息安全需求 |

1.2 新 IT 服务信息安全评估系统框架

为开发新 IT 服务信息安全评估系统，构建了概念框架以把握评估系统的基本要素，这些要素可用“5W 1H”来理解：
- Why（为什么） ：体现为评估目标和评估系统。
- Who（谁） ：指评估推进系统，确定规划、执行、监督和管理评估的主体，并规范各主体的地位和能力。
- What（什么） ：即评估对象，确定评估的主题领域和所选标准。
- When（何时） ：是评估进度，确定评估对象选择的时间表和实际评估的时间表。
- Where（哪里） ：指评估类型，确定主要是通过文件审查还是实际检查。
- How（如何） ：为评估执行方法，确定程序、标准和技术。

2. 新 IT 服务信息安全等级认证模型

2.1 评估模型设计原则和方法

综合评估信息安全水平既复杂又困难，且由于变量和应用场景的多样性，标准化不易。本研究旨在开发一种更简单有效的模型，以综合客观地评估 IT 服务信息安全。具体步骤如下：
1. 梳理设计 IT 服务信息安全等级认证评估模型的需求，并规划满足这些需求的评估模型概念架构。
2. 完成符合实际评估模型开发需求的评估模型元素的组成。

设计 IT 服务信息安全评估模型的通用原则有三点：
- 反映 IT 服务自身与信息系统（IS）信息安全不同的特征。
- 将根据服务目的不同而表现各异的单个 IT 服务特征纳入评估模型。
- 设计能推动信息安全持续改进、指明信息安全推进方向的评估模型。

在设计实际评估模型时，基于新 IT 服务信息安全架构应用 IT 服务特征，将信息安全评估项目反映到评估模型中；为体现单个 IT 服务特征，将各 IT 服务定义的信息安全需求和等级应用到评估项目中，并通过更改评估项目、测量方式和权重进行调整；为实现信息安全的持续改进，基于信息安全成熟度模型对详细评估项目进行测量评估。

2.2 评估模型设计

评估模型通常由评估区域、详细评估项目、测量方式和评估结果组成。

2.2.1 评估区域

避免干扰正常业务流程（尽量缩短评估时间），从信息安全架构的角度推导评估项目，包括 IT 服务信息安全的控制和流程。

2.2.2 评估项目

评估项目和详细评估项目从属于评估区域。研究并整理了信息安全评估项目，如信息安全等级评估、信息安全安全检查、个人信息安全、信息安全产品审查、信息安全管理架构等。为反映各 IT 服务的信息安全需求，对详细评估项目、权重和测量方式进行了调整。根据详细评估项目的目标设计评估测量方法，以指明信息安全改进的方向。评估结果汇总各评估区域和详细评估项目的得分，并通过 1 - 5 级的得分区间进行连接。暂未对每一级进行定义，后续将进一步研究确定各级的特征。

2.2.3 评估内容

整理构成 IT 服务的信息化要素和资产识别，将信息安全评估区域定义为 IT 服务信息安全支持环境、IT 服务信息安全基础设施和 IT 服务信息安全运营管理，以保护信息化要素和资产识别。根据之前定义的新 IT 服务信息安全框架组织属于各评估区域的评估项目，并对国内研究和执行的信息安全评估项目进行了整理。
- IT 服务信息安全支持环境 ：包括信息安全政策、IT 服务提供商的信息安全活动、相关工作人员的信息安全以及 IT 服务用户保护。信息安全政策是为实现 IT 服务特定信息安全目标需遵循的指南和程序；IT 服务提供商的信息安全活动是根据 IT 服务利益相关者进行风险评估；IT 服务用户保护是指 IT 服务用户的信息安全范围和具体活动。
- IT 服务信息安全基础设施 ：指信息安全目标实施后的实际操作和维护，测量为维护信息资产的认证、机密性、完整性和可用性而进行的信息安全活动，如网络安全、服务器安全、终端安全、应用程序安全和信息服务内容安全。
- IT 服务信息安全运营管理 ：是基础设施建设阶段实施的安全政策安全高效运行所需的管理方法。

2.2.4 信息安全等级确定

根据评估模型，通过汇总评估项目得分计算各部分的评估分数，通过文献研究和专家意见收集计算评估区域、评估项目和详细评估项目的相对权重并求和。将最终结果对应到信息安全成熟度模型中，合理确定最终的信息安全等级。等级分类至少分为 5 级，以促进服务提供商之间的自由竞争，各级名称应清晰简单，其特征体现信息安全成熟度水平。

2.3 新 IT 服务信息安全评估等级认证框架

评估区域	评估项目	详细评估项目
IT 服务信息安全支持环境	基于服务特征的信息安全需求分类、制定信息安全政策	信息安全政策及遵守情况、服务提供商和供应商的信息安全、服务运营组织的信息安全、客户的信息安全
IT 服务信息安全基础设施	服务基础设施保护（访问控制、安全系统采用和更新、操作日志分析）、应用服务安全	网络安全、服务器安全、终端安全、应用程序安全、信息服务内容安全
IT 服务信息安全运营管理	风险管理、事后管理、监控和重新评估	风险/弱点管理、变更管理、维护、事故对策和恢复、结果分析和反馈、评估和批准

3. 新 IT 服务信息安全可行性评估结果

近年来，基于 IT 用户对获取信息的自我生产和消费，出现了虚拟网络空间与物理空间相结合的新智能服务环境。这些服务虽能方便获取企业提供的信息，但也存在信息无目的暴露或被修改的风险，且由于各种安全漏洞，维护信息安全变得更加困难。

本研究分析和测量了新 IT 服务的信息安全需求，设计了“新 IT 服务信息等级认证”以提高信息安全水平。研究结果可用于客观评估国内信息安全水平，为制定提升国内 IT 服务提供商信息安全水平的政策提供决策依据。通过分析 IT 服务用户信息安全意识和状态的转变，为设计新 IT 服务提供前提条件。开发能客观调查和分析新 IT 服务信息安全的评估标准，有助于了解 IT 服务信息安全的现状，鼓励 IT 服务提供商提升信息安全水平。

4. 入侵检测特定预期用途评估方法

4.1 背景

网络出现后，网络攻击与防御的对抗不断升级，安全事件报告增多，但实际检测和报告的攻击比例较低。入侵检测系统（IDS）成为网络系统的重要组成部分，但市场上 IDS 产品众多，难以选择最适合的产品。本研究提出一种基于可用性和对入侵检测分析师日常任务支持能力的评估方法，以选择最合适的 IDS。

4.2 入侵检测分析师的主要活动

入侵检测工作主要分为日常例行任务和网络监控两类：
- 日常例行任务 ：包括调查前一晚的日志、了解最新的入侵检测新闻、熟悉分析师的工作环境以及转移专业知识等，这些任务是有效监控网络的基础。
- 网络监控 ：分析师遵循监控、分析和响应三个步骤。在监控阶段，需识别网络中的所有警报；当触发安全事件时，进入分析阶段，进行快速验证、详细验证、攻击诊断，并在需要时向入侵检测社区寻求帮助；攻击诊断完成后，进入响应阶段，包括对攻击做出响应和报告，响应分为即时响应和长期响应。

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A([开始]):::startend --> B(日常例行任务):::process
    B --> C(调查前一晚的日志):::process
    B --> D(了解最新入侵检测新闻):::process
    B --> E(熟悉工作环境):::process
    B --> F(转移专业知识):::process
    A --> G(网络监控):::process
    G --> H(监控):::process
    H --> I(识别警报):::process
    I --> J{是否触发安全事件?}:::decision
    J -->|是| K(分析):::process
    J -->|否| H
    K --> L(快速验证):::process
    K --> M(详细验证):::process
    K --> N(攻击诊断):::process
    K --> O(向社区求助):::process
    N --> P(响应):::process
    P --> Q(即时响应):::process
    P --> R(长期响应):::process
    R --> S(报告):::process

4.3 入侵检测分析师日常任务的评估标准

4.3.1 日常例行任务

日常例行任务包括调查前一晚的日志和维护两个活动。维护任务常被 IDS 开发者忽视，更结构化的维护方法有助于分析师组织和转移入侵检测相关信息。调查前一晚的日志过程可通过可视化、导航/交互方法和详细验证三个标准进行评估，其中导航/交互方法中的动画元素尤为重要，因为时间是入侵检测领域最重要的数据属性，在分析大量网络活动时，动画能帮助分析师更好地理解和分析。

4.3.2 监控分析阶段

在监控分析阶段，入侵检测分析师的主要任务和对应的评估标准如下：
| 任务 | 评估标准 |
| — | — |
| 识别警报 | 可视化、导航/交互方法、详细验证 |
| 快速验证 | 可视化、导航/交互方法、详细验证 |
| 详细验证 | 可视化、导航/交互方法、详细验证 |
| 攻击诊断 | 可视化、导航/交互方法、详细验证 |

5. 入侵检测系统评估研究现状

目前，市场上有大量的入侵检测系统（IDS），但对其进行评估的研究相对较少。早期在 1996 年，Puketza 就开始了对 IDS 评估的研究，他描述了一种测试入侵检测系统的方法和软件平台，其测试方法主要针对 IDS 的性能。还有一些其他的评估方法，如通过基准测试或建模的方式进行评估，也有进行成本 - 效益评估的。另外，Alessandri 提出了通过分析设计原则来进行评估的方法。

在可用性研究方面，仅有一项相关研究，它是定量和定性评估方法的结合，测量功能、性能和可用性，其可用性标准包括用户界面可用性、易用性、易配置性、过滤器自定义的便利性和警报功能等，但缺少对评估程序和采用这些标准的理由的详细描述。

6. 入侵检测系统评估方法的重要性

由于市场上 IDS 产品众多，选择最适合的 IDS 变得十分困难。而且，自动化系统性能有限，存在高达 99% 的误报率，因此人工操作 IDS 仍然是必要的。所以，评估 IDS 应根据其对入侵检测分析师需求的支持效果来进行。

一个有效的评估方法可以帮助组织和个人选择最适合自身需求的 IDS，提高网络安全防护能力。同时，它也能促使 IDS 开发者关注分析师的实际需求，不断改进产品的性能和可用性。

7. 入侵检测分析师任务和活动的详细分析

7.1 日常例行任务的重要性

日常例行任务虽然常常被忽视，但对于有效的网络监控至关重要。调查前一晚的日志可以帮助分析师了解过去一段时间内网络的活动情况，发现潜在的安全威胁。而维护工作，如了解最新的入侵检测新闻、熟悉工作环境和转移专业知识等，可以使分析师保持对行业动态的了解，提高自身的专业能力。

7.2 监控阶段的关键环节

在监控阶段，识别警报是首要任务。这需要分析师具备良好的可视化工具和导航/交互方法，以便快速准确地发现潜在的安全事件。同时，详细验证也是必不可少的环节，通过对警报的详细分析，可以排除误报，确定真正的安全威胁。

7.3 分析阶段的挑战与应对

分析阶段是入侵检测工作的核心环节，需要分析师进行快速验证、详细验证和攻击诊断。在这个过程中，分析师可能会遇到各种复杂的情况，如攻击手段的多样性、数据的海量性等。为了应对这些挑战，分析师需要借助专业的工具和技术，如可视化分析、数据挖掘等，同时还需要向入侵检测社区寻求帮助，获取更多的专业知识和经验。

7.4 响应阶段的策略制定

响应阶段包括即时响应和长期响应。即时响应需要分析师在发现安全事件后立即采取措施，如隔离受攻击的设备、阻止攻击源等，以减少损失。长期响应则需要对事件进行深入分析，制定相应的防范措施，如更新 IDS 规则、加强网络安全配置等，以防止类似事件的再次发生。

8. 评估标准的实际应用

8.1 可视化标准的应用

可视化标准在入侵检测工作的各个阶段都起着重要作用。在调查前一晚的日志时，通过可视化工具可以将大量的网络活动数据以直观的方式呈现出来，帮助分析师快速发现异常情况。在监控阶段，可视化工具可以实时显示网络的状态，使分析师能够及时识别警报。在分析阶段，可视化分析可以帮助分析师更好地理解攻击的过程和特征，提高攻击诊断的准确性。

8.2 导航/交互方法的应用

导航/交互方法可以提高分析师与 IDS 系统的交互效率。例如，通过动画元素可以动态展示网络活动的变化情况，帮助分析师更好地理解时间维度上的信息。在详细验证和攻击诊断过程中，良好的导航/交互方法可以使分析师快速定位到关键信息，提高工作效率。

8.3 详细验证标准的应用

详细验证标准是确保入侵检测准确性的关键。在识别警报后，通过详细验证可以排除误报，确定真正的安全威胁。在攻击诊断过程中，详细验证可以帮助分析师深入了解攻击的手段和特征，为制定响应策略提供依据。

9. 总结与展望

9.1 研究成果总结

本研究围绕新 IT 服务信息安全和入侵检测系统评估展开。在新 IT 服务信息安全方面，构建了信息安全架构和评估框架，设计了信息安全等级认证模型，确定了评估标准和等级分类方法。在入侵检测系统评估方面，分析了入侵检测分析师的主要任务和活动，提出了相应的评估标准，并强调了评估方法的重要性。

9.2 未来发展方向

未来，随着信息技术的不断发展，新 IT 服务和网络安全面临着新的挑战。在新 IT 服务信息安全领域，需要进一步研究如何更好地适应新技术的发展，如人工智能、物联网等，提高信息安全防护能力。在入侵检测系统评估方面，需要不断完善评估方法，提高评估的准确性和可靠性，同时加强对 IDS 产品可用性的研究，以更好地满足分析师的实际需求。

9.3 对行业的影响

本研究的成果将为 IT 服务提供商和网络安全行业提供重要的参考。对于 IT 服务提供商来说，可以根据研究提出的评估标准和等级认证模型，提高自身的信息安全水平，增强市场竞争力。对于网络安全行业来说，研究成果将推动入侵检测系统的发展和改进，提高整个行业的安全防护能力。

通过以上研究和分析，我们可以更好地应对新 IT 服务和网络安全领域的挑战，保障信息系统的安全稳定运行。