全球信息安全風(fēng)險(xiǎn)評估發(fā)展及現(xiàn)狀

1、信息安全數(shù)據(jù)分析根據(jù)卡巴斯基實(shí)驗(yàn)室安全網(wǎng)絡(luò)（KSN）收集和處理到的數(shù)據(jù)，卡巴斯基發(fā)布 了2010年第一季度信息安全威脅報(bào)告。該報(bào)告給出了幾個有意思的數(shù)據(jù)。首 先是全球安全態(tài)勢，在全球不同國家，共計(jì)發(fā)生327,598,028次惡意程序試圖感 染用戶計(jì)算機(jī)的行為，同上一季度相比，總體增長26.8%,網(wǎng)絡(luò)罪犯所采取的攻 擊策略有所改變：目前，針對中國地區(qū)用戶的網(wǎng)絡(luò)攻擊同比下降了 13%。其次是哪些國家的用戶最容易遭受網(wǎng)絡(luò)攻擊的侵害，根據(jù)卡巴斯基的報(bào)告， 前三甲是中國、俄羅斯和印度，分別占18.05%、13.18%和8.52%。而一直叫嚷受 到中國大陸黑客攻擊的美國只能屈居第四，占總比的5.25%,不

2、到中國的三分 之一。中國依然是“最易遭受網(wǎng)絡(luò)攻擊的國家”。最后來了解一下來自互聯(lián)網(wǎng)的威脅，卡巴斯基給出了互聯(lián)網(wǎng)上排名前十的 最常見惡意軟件家族，排名前三的分別是Iframe、Generic和Hexzone。另一 個威脅是漏洞，在2010年第一季度，卡巴斯基實(shí)驗(yàn)室在用戶計(jì)算機(jī)上共檢測到 12,111,862個未修補(bǔ)的漏洞。同上一季度相比，增長了 6.9%。排名前十位的漏 洞中，有六種來自微軟的軟件產(chǎn)品，有九種可以被網(wǎng)絡(luò)罪犯用來獲取系統(tǒng)的安全 控制權(quán)?？梢姡Ｗo(hù)計(jì)算的最好的辦法是及時(shí)安裝漏洞補(bǔ)丁。全球信息安全風(fēng)險(xiǎn)評估發(fā)展及現(xiàn)狀美國人發(fā)明了計(jì)算機(jī)，并在此后一直引領(lǐng)著計(jì)算機(jī)技術(shù)發(fā)展的方向。同樣， 美國

3、最早開展計(jì)算機(jī)安全研究，一直主導(dǎo)著信息安全技術(shù)和理論的發(fā)展。因此， 美國在信息安全評估理論和方法上的研究，代表該領(lǐng)域國際上的最新發(fā)展。美國從1967年開始研究計(jì)算機(jī)安全問題，從1967年11月至1970年2月，美 國美國國防科學(xué)委員會委托蘭德公司、邁特公司（MITIE）及其它和國防工業(yè)有 關(guān)的一些公司，經(jīng)過將近兩年半的工作，主要對當(dāng)時(shí)的大型機(jī)、遠(yuǎn)程終端進(jìn)行了 研究和分析，完成了第一次比較大規(guī)模的風(fēng)險(xiǎn)評估。在此基礎(chǔ)上，經(jīng)過近10年 的研究，NBS（美國國家標(biāo)準(zhǔn)局）1979年頒布了一個風(fēng)險(xiǎn)評估的標(biāo)準(zhǔn)：自動數(shù)據(jù) 處理系統(tǒng)（ADP）風(fēng)險(xiǎn)分析標(biāo)準(zhǔn)（FIPS 65）。從此拉開了信息安全風(fēng)險(xiǎn)評估理論和方法研

4、究的序幕，包括美國80年代的 彩虹系列（即橘皮書，美國早期的一套比較完整的從理論到方法的有關(guān)信息安全 評估的準(zhǔn)則，形成于1981-1985）, 1992年美國聯(lián)邦政府制定的聯(lián)邦信息技術(shù)安全評估準(zhǔn)則(FC),以及1993年發(fā)布的信息技術(shù)安全通用評估準(zhǔn)則，最 終演化為1999年的國際標(biāo)準(zhǔn)ISO/IEC 15408?？缛?1世紀(jì)，隨著網(wǎng)絡(luò)和信息技術(shù)的發(fā)展，互聯(lián)網(wǎng)及其應(yīng)用高速發(fā)展，同 時(shí)國際范圍內(nèi)出現(xiàn)了大規(guī)模黑客攻擊，信息戰(zhàn)的理論逐步發(fā)展，并且美國的軍事、 政治、經(jīng)濟(jì)和社會活動對信息基礎(chǔ)設(shè)施的依賴程度達(dá)到了空前的高度，在此環(huán) 境下，美國又開始了對信息系統(tǒng)新一輪的評估和研究，產(chǎn)生了一些新的概念、法 規(guī)和

5、標(biāo)準(zhǔn)。從2002年1月開始，NIST先發(fā)布了亶系統(tǒng)風(fēng)險(xiǎn)管理指南(SP 800-30)、聯(lián)邦I(lǐng)T系統(tǒng)安全認(rèn)證和認(rèn)可指南(SP 800-37)、聯(lián)邦信息和 信息系統(tǒng)的安全分類標(biāo)準(zhǔn)(FIPS 199)、聯(lián)邦I(lǐng)T系統(tǒng)最小安全控制(SP 800-53)、 將各種信息和信息系統(tǒng)映射到安全類別的指南(SP 800-60)等多個文檔。雖然美國引領(lǐng)了網(wǎng)絡(luò)和信息技術(shù)的發(fā)展，但是目前影響最廣泛的網(wǎng)絡(luò)和信 息安全方面的標(biāo)準(zhǔn)ISO/IEC 17799:2005 (其前身是BS7799 Part 1，全稱是 Code of Practice for Information Security，也即為信息安全的實(shí)施細(xì)則) 卻

6、來自英國，并被大多數(shù)國家認(rèn)可和使用。目前我們常講的ISO 27001和ISO 27002，其前身分別是 BS7799 part 2 和 BS7799 part 1。信息安全評估涉及到方方面面，安全標(biāo)準(zhǔn)也十分龐雜，各種評估標(biāo)準(zhǔn)的側(cè)重 點(diǎn)也不一樣，比如信息技術(shù)安全性評估準(zhǔn)則(CC)和美國國防部可信計(jì)算 機(jī)評估準(zhǔn)則(TCSEC)等更側(cè)重于對系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)的評估；系統(tǒng)安全 工程能力成熟模型(SSE-CMM)更側(cè)重于對安全產(chǎn)品開發(fā)、安全系統(tǒng)集成等安全 工程過程的管理。ISO/IEC 17799 (也就是ISO 27001和ISO 27002)在對信息 系統(tǒng)日常安全管理方面具有無法取代的地位，因此，

7、目前國外很多企業(yè)接受ISO 27001： 2005(BS7799-2)的認(rèn)證，即信息安全管理體系認(rèn)證證書。國內(nèi)情況比較簡單，由于關(guān)于安全風(fēng)險(xiǎn)評估研究起步的較晚，目前國內(nèi)整體 處于起步和借鑒階段，在安全風(fēng)險(xiǎn)評估的標(biāo)準(zhǔn)研究上還處于跟蹤國際標(biāo)準(zhǔn)的初級 探索階段。國家質(zhì)量技術(shù)監(jiān)督局于2001年依據(jù)國際標(biāo)準(zhǔn)CC頒布了 GB/T 18336 信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則，相關(guān)的標(biāo)準(zhǔn)還有依據(jù)美國的 TCSEC及紅皮書于1999年發(fā)布的GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn) 則，以及我國專門針對信息系統(tǒng)安全風(fēng)險(xiǎn)評估制定標(biāo)準(zhǔn)信息安全技術(shù)信息 安全風(fēng)險(xiǎn)評估規(guī)范(GB20984-2007)和信息安全風(fēng)險(xiǎn)管理指南。當(dāng)前我國正在進(jìn)行的“信息系統(tǒng)安全等級保護(hù)”也是進(jìn)行信息安全評估的一 種重要形式，其重要性不亞于60年代初，美國通過兩年半的時(shí)間進(jìn)行的第一次 全美國范圍內(nèi)的大規(guī)模的風(fēng)