由信息安全报告引发

　　根据卡巴斯基实验室安全网络（KSN）收集和处理到的数据, 卡巴斯基发布了《2010年第一季度信息安全威胁报告》。

　　该报告给出了几个有意思的数据。 首先是全球安全态势, 在全球不同国家，共计发生327,598,028次恶意程序试图感染用户计算机的行为，同上一季度相比，总体增长26.8%, 网络罪犯所采取的攻击策略有所改变：目前，针对中国地区用户的网络攻击同比下降了13%。

　　其次是哪些国家的用户最容易遭受网络攻击的侵害, 根据卡巴斯基的报告,前三甲是中国、俄罗斯和印度，分别占18.05%、13.18%和8.52%。而一直叫嚷受到中国大陆黑客攻击的美国只能屈居第四, 占总比的5.25%, 不到中国的三分之一。中国依然是“最易遭受网络攻击的国家”。

　　最后来了解一下来自互联网的威胁,  卡巴斯基给出了互联网上排名前十的最常见恶意软件家族, 排名前三的分别是Iframe、Generic和Hexzone。 另一个威胁是漏洞, 在2010年第一季度，卡巴斯基实验室在用户计算机上共检测到12,111,862个未修补的漏洞。同上一季度相比，增长了6.9%。排名前十位的漏洞中，有六种来自微软的软件产品，有九种可以被网络罪犯用来获取系统的安全控制权。可见, 保护计算的最好的办法是及时安装漏洞补丁。

　　在国内, 根据CNCERT的周报（5月31日～6月6日）, “依据CNCERT抽样监测结果，境内被木马控制的主机IP地址数目为69873个，同种类木马感染数量与前一周环比下降40%；境内被僵尸网络控制的主机IP地址数目为6471个，环比下降13%；境内被篡改政府网站数量为145个，环比增长8%”。虽然CNCERT给出的安全态势是“良”, 但是依然有众多的政府网站被篡改, 众多的主机被控制。

　　这两份报告其实是全球和国内总体信息安全状况和发展态势的评估报告。此外，有针对性地评估, 比如针对你所在组织\公司的信息安全风险评估，也不可替代。

　　全球信息安全风险评估发展及现状

　　美国人发明了计算机, 并在此后一直引领着计算机技术发展的方向。同样,美国最早开展计算机安全研究, 一直主导着信息安全技术和理论的发展。 因此, 美国在信息安全评估理论和方法上的研究, 代表该领域国际上的最新发展。

　　美国从1967年开始研究计算机安全问题, 从1967年11月至1970年2月, 美国美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司，经过将近两年半的工作，主要对当时的大型机、远程终端进行了研究和分析，完成了第一次比较大规模的风险评估。在此基础上, 经过近10年的研究, NBS(美国国家标准局)1979年颁布了一个风险评估的标准：《自动数据处理系统（ADP）风险分析标准》（FIPS 65）。

　　从此拉开了信息安全风险评估理论和方法研究的序幕, 包括美国80年代的彩虹系列(即橘皮书, 美国早期的一套比较完整的从理论到方法的有关信息安全评估的准则, 形成于1981-1985), 1992年美国联邦政府制定的《联邦信息技术安全评估准则》（FC）, 以及1993年发布的《信息技术安全通用评估准则》, 最终演化为1999年的国际标准ISO/IEC 15408。

　　跨入21世纪, 随着网络和信息技术的发展, 互联网及其应用高速发展,  同时国际范围内出现了大规模黑客攻击，信息战的理论逐步发展，并且美国的军事、政治、经济和社会活动对信息基础设施的依赖程度达到了空前的高度， 在此环境下, 美国又开始了对信息系统新一轮的评估和研究，产生了一些新的概念、法规和标准。从2002年1月开始, NIST先发布了《IT系统风险管理指南》（SP 800-30）、《联邦IT系统安全认证和认可指南》（SP 800-37）、《联邦信息和信息系统的安全分类标准》（FIPS 199）、《联邦IT系统最小安全控制》（SP 800-53）、《将各种信息和信息系统映射到安全类别的指南》（SP 800-60）等多个文档。

　　虽然美国引领了网络和信息技术的发展，但是目前影响最广泛的 网络和信息安全方面的标准ISO/IEC 17799:2005 （其前身是BS7799 Part 1， 全称是Code of Practice for Information Security，也即为信息安全的实施细则）却来自英国，并被大多数国家认可和使用。目前我们常讲的ISO 27001 和ISO 27002 ， 其前身分别是BS7799  part 2 和BS7799  part 1。

　　信息安全评估涉及到方方面面，安全标准也十分庞杂，各种评估标准的侧重点也不一样，比如《信息技术安全性评估准则(CC) 》和《美国国防部可信计算机评估准则(TCSEC) 》等更侧重于对系统和产品的技术指标的评估；《系统安全工程能力成熟模型(SSE-CMM) 》更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。ISO/IEC 17799 （也就是ISO 27001 和ISO 27002）在对信息系统日常安全管理方面具有无法取代的地位，因此，目前国外很多企业接受ISO 27001：2005（BS7799-2）的认证，即信息安全管理体系认证证书。

　　国内情况比较简单，由于关于安全风险评估研究起步的较晚，目前国内整体处于起步和借鉴阶段，在安全风险评估的标准研究上还处于跟踪国际标准的初级探索阶段。国家质量技术监督局于2001年依据国际标准CC颁布了GB/T 18336《信息技术 安全技术 信息技术安全性评估准则》，相关的标准还有依据美国的TCSEC及红皮书于1999年发布的GB17859《计算机信息系统安全保护等级划分准则》，以及我国专门针对信息系统安全风险评估制定标准《信息安全技术 信息安全风险评估规范》（GB20984-2007）和《信息安全风险管理指南》。

　　当前我国正在进行的“信息系统安全等级保护”也是进行信息安全评估的一种重要形式, 其重要性不亚于60年代初, 美国通过两年半的时间进行的第一次全美国范围内的大规模的风险评估。

　　其实国内的”信息系统安全等级保护”工作, 与美国2002年颁布的《联邦信息安全管理法案》（FISMA）有相似之处。该法案试图通过采取适当的安全控制措施来保证联邦机构的信息系统安全性，是当前美国信息安全领域的一个重要发展计划。

　　信息安全风险评估的方法

　　论述信息安全风险评估方法的文章很多，有兴趣的人可以去参考各种标准文档，如ISO27001，GB20984-2007等。也可以去研究各类书籍，如清华大学出版社的《信息安全风险评估方法与应用》，中国标准出版社的《信息安全风险评估——概念、方法和实践》等，也可以阅读比较著名的风险分析指南和方法，研究风险评估理论和方法的最佳途径还是阅读标准并参与实践。

　　信息安全风险评估的本质是资产、威胁、弱点和风险的识别和判断，无论采取何种方法，无论给出的是定性的还是定量的判断，信息安全风险评估考验的是评估师的学识、经验和从业经历。

　　目前流行的风险评估方法是有评估人员（或叫安全咨询专家）采用一种或多种工具进行评估，如COBRA（Consultative,Objective and Bi-functional Risk Analysis）是一个基于专家系统的风险评估工具，一种基于问卷调查形式的风险分析工具； CORA(Cost-of-Risk Analysis)是半定量（定性与定量方法相结合）的风险评估工具；CONTROL-IT、Definitive Scenario是定性的风险评估工具等。

　　对于初学风险评估的人员，建议使用微软安全风险评估工具（MSAT），这是一种免费工具。MSAT涵盖的方面包括基础设施、应用、运作和人员。

　　信息安全风险评估也需要大量的技术型评估工具，如漏洞检测工具Nessus、评估网络设备配置安全的nipper等。

　　还有一种非常重要的评估手段，就是来自“暗黑世界”的渗透测试。渗透测试的本质是模拟黑客攻击，其测试思想、技术手段和方式方法都来自黑客世界。渗透测试可以发现一般信息安全风险评估方法和手段无法揭示的安全漏洞和缺陷，比如跨占脚本攻击，中间人攻击等，其有效性已经被大量的实践所验证。渗透测试也已经被一些信息安全评估标准流程接纳为必备的测试流程，比如支付卡产业的数据安全标准（PCI DSS）就要求每年至少进行一次渗透测试，包括网络层渗透测试和应用程序层渗透测试。

　　无论对于哪个国家，信息安全风险评估都是一项非常重要的任务。信息安全风险评估的理论和方法一直在发展。从事信息安全评估工作需要的不仅仅是在此领域要有深厚、广博的知识，更重要的是要有不断学习的恒心和面对客户的耐心。

　　（作者单位为CERNET国家网络中心应急响应组）