20、信息安全：从基础到评估的全面解析-优快云博客

本文链接：https://blog.youkuaiyun.com/tcp8optimizer/article/details/149681927

信息安全：从基础到评估的全面解析

1. 信息安全的发展与现代需求

第二次世界大战期间，信息保护技术取得了显著进展。当时引入的主要技术包括基于敏感性对数据进行正式分类，以及在授予人员访问敏感数据权限之前进行背景调查。其中，自动化技术的引入最为重要，例如德国的恩尼格玛机，用于对通信进行编码和解码。此后，电信以及计算机软硬件技术持续快速发展，并且这种趋势将延续至未来。

二战后，电子数据处理和互联网的发展催生了对更好信息保护方法的需求，这些信息由计算机、个人数字助理（PDA）和其他电子设备存储、处理和传输。计算机安全、信息安全和信息保障等学术领域应运而生，同时还出现了一些专业组织，如国际信息系统安全认证联盟（ISC2）和信息系统安全协会（ISSA）。这些学术和专业组织的目标是提供更好的方法和标准，以确保信息的可靠性和安全性。

互联网的发展对立法产生了重大影响，许多国家出台法律将对公共或私人信息系统造成负面影响的行为定为犯罪。以下是部分欧洲、英国和美国的法律法规，它们直接影响着信息处理、传输和存储的标准：
|地区|法律法规|内容概述|
| ---- | ---- | ---- |
|英国和欧盟|英国1998年《数据保护法》|规范与个人相关信息的处理，包括获取、保存、使用或披露此类信息|
| |欧盟《数据保护指令》（EUDPD）|要求所有欧盟成员国制定国家法规，以统一保护欧盟公民的数据隐私|
| |欧盟各种数据保留法|要求互联网服务提供商和电话公司保存每一条电子信息和电话通话数据6个月至2年|
|美国|《家庭教育权利和隐私法》（FERPA）|保护学生教育记录的隐私，适用于接受美国教育部相关项目资金的学校|
| |《健康保险流通与责任法案》（HIPAA）|要求采用电子医疗交易的国家标准以及医疗服务提供者、健康保险计划和雇主的国家标识符，保障医疗数据的安全和隐私|
| |1999年《格拉姆 - 利奇 - 比利雷法案》（GLBA）|保护金融机构收集、保存和处理的私人金融信息的隐私和安全|
| |2002年《萨班斯 - 奥克斯利法案》（SOX）第404条|要求上市公司在年度报告中评估其财务报告内部控制的有效性，首席信息官（CIO）负责管理和报告财务数据的系统的安全、准确和可靠性|
| |2002年《联邦信息安全管理法》（FISMA）|为政府范围内的信息安全提供要求，取代了《政府信息安全改革法》和《计算机安全法》|
| |美国国防部（DoD）信息保障认证和授权流程（DIACAP）|建立国防部信息保障（IA）认证和授权（C&A）流程，以授权国防部机密和非机密信息系统的运行|
| |支付卡行业数据安全标准（PCI DSS）|为增强支付账户数据安全制定全面要求|
| |州安全漏洞通知法（如加利福尼亚州等）|要求企业、非营利组织和州机构在未加密的“个人信息”可能被泄露、丢失或被盗时通知消费者|

2. 信息安全的目标

信息安全，也称为网络安全，类似于现实世界中的物理安全。就像锁好的门窗和警报器能保障生活安全一样，信息安全旨在让我们的网络世界更加安全。密码如同门锁，防止入侵者进入；入侵检测方法则像警报器，提醒我们有未经授权的访问。

信息安全有三个主要目标：保密性、完整性和可用性。这三个目标相互关联，难以完全分离。

2.1 保密性

保密性指保护信息不被未经授权的披露。要实现这一目标，需要明确保护的数据以及有权访问这些数据的人员。在数据存储和传输过程中，需要提供保护控制措施。同时，要了解处理信息的应用程序或程序，并控制其使用。例如，美国1974年的《隐私法》旨在平衡个人免受政府无端侵犯隐私的权利与政府维护个人信息的需求。如今，对于医疗和金融等行业而言，隐私已成为监管问题。

2.2 完整性

完整性意味着保护计算机系统中存储的信息不被未经授权的修改。保密性和可用性都有助于维护信息的完整性。然而，即使有足够的控制措施，仍可能出现完整性失败的情况，这可能是因为我们信任的人并不总是可靠的。完整性控制需要超越简单的“谁”的定义，考虑“什么”条件，即当人员被授予访问权限后，他们可以在计算机系统上执行哪些操作。信息完整性与业务连续性规划和灾难恢复密切相关，因为信息最终可能会因硬件故障、软件故障、人为错误或安全控制失败而受损，恢复过程是任何业务计划的必要组成部分。

2.3 可用性

可用性是指确保需要信息的人员在需要时能够访问到信息。它涉及容错以防止拒绝服务攻击，以及访问控制以确保授权人员能够获取数据。在现代社会，可用性的含义进一步扩展，拒绝服务（DOS）攻击是互联网访问系统或应用程序常见的安全问题。攻击者可能通过损坏、禁用或控制目标计算机系统或其依赖的网络组件，使系统无法被用户访问；或者向目标系统发送大量消息，导致系统无法处理，从而使授权用户无法使用服务。

3. 确定组织的安全态势

确定组织的实际安全态势有多种方法，这些方法旨在为组织管理层提供足够的信息，以便进行风险管理。其中，风险评估是最全面的方法，它包含了其他类型的评估。不过，如果组织不想进行风险评估，选择进行不太全面的评估，如漏洞评估，也是可行的，这取决于组织的管理决策。

3.1 风险管理的基本前提

风险管理的基本前提是每个组织的存在都是为其利益相关者创造价值。所有组织都面临不确定性，管理层的挑战在于确定在为利益相关者增加价值的过程中，可接受的不确定性（风险）程度。不确定性既带来风险，也带来机遇，可能降低或增加利益相关者的价值。风险管理是管理层有效应对不确定性和相关风险的关键工具。

3.2 风险评估

风险评估从项目、计划或流程的角度来看，包括三个步骤：

graph LR
    A[识别风险] --> B[衡量风险]
    B --> C[风险管理]

风险识别 ：这是风险评估的关键，因为在风险被识别之前，无法对其进行衡量、排序或管理。主要有三种风险识别方法：
- 暴露分析 ：识别可能影响资产的风险，适用于严重依赖资产实现目标的流程，考虑资产的大小、类型、可移植性和位置等因素，资产包括物理资产、金融资产、人力资产和无形资产。
- 环境分析 ：识别可能影响运营的风险，通过考虑各种环境状态下产生的风险，如物理环境、经济环境、政府监管、竞争、客户和技术等。
- 威胁场景 ：专门用于识别欺诈和灾难等风险，例如错误、延迟、遗漏或欺诈等威胁。
定义和衡量风险 ：风险评估始于管理层为其组织的流程和计划定义风险，需要回答一系列问题，如如何定义成功、可能导致目标无法实现的因素、最大的暴露点、最依赖的信息以及信息不可用或不准确时的影响、最脆弱的地方、最大的资产以及如何保护该资产等。风险分为外部风险和内部风险，外部风险来自组织无法控制的活动，如技术发展、公众期望变化、立法指令和经济变化；内部风险来自组织内部可控的活动，如关键计算机系统或电话系统的中断。管理层在识别风险后，需要考虑这些风险发生的可能性以及对组织的影响，并对其进行监控和控制。衡量风险的方法有两种，一种是使用简单的风险自我评估和控制活动工作表，如NIST SP 800.26，采用主观措施衡量风险发生的可能性和影响；另一种是使用可观察的风险因素来衡量特定风险或一类风险，适用于组织子元素具有很多共同点的情况，如银行的当地分支机构、州立公园、医疗设施的当地分支机构等。常见的风险因素包括人力资源/员工流动率、信息技术 - 安全和完整性、集中化程度、监管监督、合同关系、消费者影响、业务流程复杂性和审计覆盖范围等。组织需要根据自身情况选择合适的风险因素进行评估，并将评估结果输入工作表进行汇总，得分较高的区域需要进一步审查，以确保有足够的控制措施来管理风险。在组织整体风险评估中，主观和客观测量工具通常会同时使用。
风险评估方法 ：风险评估过程有多种不同的方法，目前有两种方法满足风险评估的需求：信息评估方法（IAM）和信息评估方法论（IEM）。这两种方法都是将美国国家安全局（NSA）的流程与商业实践相结合，形成的最佳实践方法。
- 信息评估方法（IAM） ：是一种详细而系统的检查网络漏洞的方法，由经验丰富的NSA和商业信息安全评估人员开发。NSA提供该方法，以帮助信息安全评估供应商和需要评估的消费者。它最初是根据PDD - 63对支持美国基础设施的自动化信息系统进行漏洞评估的要求而创建的，除了帮助政府和私营部门外，提供信息安全评估的基线标准还有助于提高组织的安全态势。
- 信息评估方法论（IEM） ：是一种使用常见技术评估工具对客户网络进行评估的实践方法。学生可以学习到一种易于重复的方法，为所有客户提供解决安全问题和提高安全态势的路线图，它是IAM的后续课程。

此外，还有其他一些可用于风险评估的方法：
|方法|简介|
| ---- | ---- |
|国际标准化组织（ISO）27001:2005|为组织安全计划提供过程模型，根据组织的需求、目标、安全要求、规模和结构进行实施，实施后可根据组织变化进行调整|
|ISO 17799:2005|为组织信息安全管理的启动、实施、维护和改进提供指导原则，每个控制和控制对象旨在满足风险评估确定的要求，可作为制定组织安全标准和有效安全计划的实用指南|
|运营关键威胁、资产和漏洞评估（OCTAVE）|专注于组织风险、战略和实践相关问题，组织根据关键信息及其相关资产的保密性、完整性和可用性所面临的风险做出决策，匹配最佳缓解策略|
|联邦信息技术安全评估框架（FITSAF）|为联邦机构提供确定当前是否符合现有政策的方法，并设定改进目标，侧重于技术，适用于评估已识别的主要应用程序、一般支持系统和关键任务系统的安全控制，能满足管理和预算办公室（OMB）的要求和国家标准与技术研究院（NIST）的指南|
|信息系统安全评估框架（ISSAF）|较新的信息安全评估框架，将评估分解为各个领域，并为每个领域提供具体的评估和测试标准，框架较大，基于便于删除不适用部分的原则设计|
|安全官员管理和分析项目（SOMAP.org）|开发了《开放信息安全风险管理手册》和《开放信息安全风险评估指南》，手册详细介绍如何管理风险评估工作流程，指南提供两种风险分析方法（定性和定量），推荐使用安全官员最佳助手（SOBF）工具实施指南|

4. 漏洞评估

漏洞评估通常包括使用工具、扫描器、脚本和手动检查系统组件。这些评估会扫描系统和系统设备上的服务，并模拟常见的入侵或攻击场景。其核心在于回答“攻击者在系统上可以看到和利用哪些漏洞”这一问题。

漏洞扫描的具体步骤如下：
1. 发现活动设备 ：扫描网络，找出所有处于活动状态的设备。
2. 端口扫描 ：识别可能存在可利用服务的开放端口。
3. 检查系统补丁 ：检查操作系统是否存在未经授权的修改，以及是否安装了必要的安全补丁。
4. 数据分析与报告生成 ：评估人员对扫描得到的数据进行分析，生成详细的报告，指出潜在的漏洞以及相应的修复建议。

在进行漏洞评估时，评估人员应向客户提供一份书面文档，其中包含系统或网络当前配置的概述，以及针对所有发现的漏洞、不必要的开放端口、无效密码和缺失的关键系统或安全补丁的建议。

总之，漏洞评估是对信息系统（IS）或应用程序进行系统检查，以确定安全控制的充分性，识别安全缺陷，并为评估建议的安全控制的有效性提供足够信息的过程。

5. 威胁评估

威胁评估是对处理、传输或存储信息的信息系统（IS）所面临的威胁进行正式描述和评估。一个全面的安全计划需要对威胁进行广泛定义，以便考虑各种可能的风险。通过分析，应将重点缩小到最可能发生的威胁上。

5.1 威胁评估的流程

威胁评估的流程如下：

graph LR
    A[收集数据] --> B[分析数据]
    B --> C[确定威胁类别]
    C --> D[识别威胁促成因素]
    D --> E[优先排序威胁]

收集数据 ：收集过去的安全事件数据，包括特定地点、组织内部和行业内的事件。
分析数据 ：
- 确定是否存在犯罪行为模式，并定义其性质。
- 审查损失记录、安全记录和涉及组织的法律判决。
- 咨询公司的法律顾问，审查过去的法院和解协议，以确定可能影响安全的风险。
- 与管理层、保险承销商和当地应急管理当局进行访谈，确定适用的威胁。
- 审查犯罪数据，比较国家、州、大都市统计区和城市的犯罪率。
- 识别特定地点和组织特有的威胁。
- 考虑由于业务性质、政治和社会问题可能发生但尚未发生的威胁场景。
确定威胁类别 ：每个威胁可以被分类为可能（预计事件会发生）、可能（情况有利于事件发生）或不太可能（预计事件不会发生）。威胁的严重程度可以分为高（灾难性事件）、中（可生存事件）或低（相对不重要）。
识别威胁促成因素 ：威胁的存在需要两个要素：一是威胁有发生的可能性，二是能够利用这种可能性。在信息安全领域，这通常需要逻辑或物理访问权限。当这两个要素同时存在时，就形成了威胁促成因素。识别威胁促成因素是威胁评估过程的关键步骤，通过这一步骤可以发现大量潜在威胁。
优先排序威胁 ：使用基于情报的过程对威胁促成因素进行进一步优先排序，以检测潜在活动的特定指标。指标是个人、团体或组织的特定行为，例如在新闻组中传播特定威胁促成因素的信息、在网站上公布利用漏洞的方法或测试利用漏洞的方法等。如果存在指标，则表明威胁促成因素被利用的可能性更大，需要加大安全防护力度或对可疑活动进行调查。当有迹象表明针对特定信息资产进行目标攻击时，威胁可以被分类为潜在（攻击尚未实际发生）或活跃（攻击已被尝试或以其他方式证明可行）。在考虑实施安全控制时，这些威胁如果适用于组织的信息资产，应得到最高的关注和优先级。

5.2 威胁评估的特点

威胁评估是一种定性分析，虽然也会使用一些定量技术。需要强调的是，任何评估，包括威胁评估，都是特定时间点的快照。随着情况的变化，威胁环境也会改变，因此评估必须定期更新，以确保安全计划符合当前的需求。

6. 审计

在信息安全领域，“渗透测试”或“漏洞扫描”常被与“计算机安全审计”互换使用，但它们的含义并不相同。

6.1 渗透测试

渗透测试（也称为pen - test）是一种外部尝试，旨在查找面向互联网的资源（如防火墙或Web服务器）中的安全漏洞。渗透测试人员通常从防火墙外部操作，掌握最少的内部信息，以更真实地模拟攻击者的攻击方式。他们可能只关注网络资源上的一项服务，也可能评估整个互联网存在情况。

6.2 渗透测试与审计的区别

对比项	渗透测试	计算机安全审计
目的	查找面向互联网资源的安全漏洞	全面评估信息系统的安全状况
操作位置	通常从防火墙外部操作	可内外结合评估
信息掌握程度	掌握最少的内部信息	可能需要全面了解系统信息
关注范围	可能只关注一项服务或整个互联网存在情况	对系统进行全面评估

综上所述，信息安全涵盖了从技术手段到管理策略的多个方面，包括信息保护技术的发展、安全目标的设定、安全态势的评估以及各种评估方法的应用。通过对这些方面的深入理解和有效实施，可以帮助组织更好地保护其信息资产，应对日益复杂的网络安全威胁。在实际操作中，组织应根据自身的需求和情况，选择合适的安全措施和评估方法，确保信息系统的安全稳定运行。