第20章 安全认证和评估.pdf

第20章 安全认证和评估 20.1 风险管理 20.2 安全成熟度模型 20.3 威胁 20.4 安全评估方法 20.5 安全评估准则 20.6 本章小结 习题 针对内部和外部的攻击所采用的安全体系结构的能 力需要认证和评估。技术在不断变化，新的应用正 在开发，新的平台正在加到非军事区（DMZ ）， 额外的端口正在加进防火墙。由于竞争，很多应用 在市场的生存时间越来越短，软件开发生命周期中 的测试和质量保证正在忽略。很多大的组织甚至没 有一个完全的目录，将计算机、网络设备以及在网 络上的各个应用编制进去，而只是将这些组件独自 地进行配置。由于没有将安全测试作为软件质量保 证的一个组成部分，应用的漏洞（脆弱性）不断发 生。 安全评估认证安全体系结构是否能满足安全策略和 最好的经营业务实际。一个典型的安全评估问题是 它经常没有用于对经营业务的影响的评析。这里引 入一个概念，称为安全成熟度模型（Security Maturity Model, SMM ）,用来适当地测量一个给定 的准则，该准则基于在工业界最佳的经营业务实 际，且能将其反馈到经营业务。它还提供一个改进 的方法，包括将不足之处列成清单。安全成熟度模 型可测量企业安全体系结构的3个不同部分：计 划、技术与配置、操作运行过程。 从经营业务的观点看，要求安全解决方案的性能价 格比最好，即基于特定产业的最佳实际。在任何系 统中的安全控制应预防经营业务的风险。然而，决 定哪些安全控制是合适的以及性能价格比好的这一 过程经常是复杂的，有时甚至是主观的。安全风险 分析的最主要功能是将这个过程置于更为客观的基 础上。 20.1 风险管理 风险管理是识别、评估和减少风险的过程。一个组 织有很多个体负责对给定应用接受给定风险。这些 个体包括总经理、CFO （Chief Financial Officer, 首席财务执行官）、经营业务部门的负责人，以及 信息所有者。 一个组织的总的风险依赖于下面一些属性： 资产的质量（丢失资产的效应）和数量（钱）的价 值； 基于攻击的威胁可能性； 假如威胁实现，对经营业务的影响。 将资产价值和代价相联系或决定投资回报（Return On Investment, ROI ）的能力经常是困难的。相 反，可以确定保护机制的代价。将国家秘密的信息 作为极敏感的信息，因为对这些信息的错误处理， 其结果将危害到国家秘密。比之于商业组织，政府 愿意花更多的费用来保护信息。 直接的定量花费包括更换损坏的设备、恢复后备和 硬盘的费用等。由于事故而引起的宕机时间是可测 量的，很多金融贸易系统因此而遭受大量经济损 失。生产的降低，例如E-mail服务器宕机，很多组 织的工作将停止。 与定量的代价相比，质量的代价对组织的破坏更 大。假如用来销售的Web站点被黑客破坏了，有可 能所有客户的信用卡号被偷，这将严重地影响这个 站点的信誉。也有可能在短时期内，经营业务停 止。 风险评估对漏洞和威胁的可能性进行检查，并考虑 事故造成的可能影响。威胁的水平决定于攻击者的 动机、知识和能力。大部分内部人员不大可能使用 黑客工具，然而十分熟悉网上的应用，可以删除文 件、引起某些物理损坏，甚至是逻辑炸弹等。 漏洞水平和保护组织资产的安全体系结构的能力正 相反。如果安全控制弱，那么暴露的水平高，随之 发生事故灾难的机率也大。对数据、资源的漏洞及 其利用的可能性取决于以下属性，且很难预测：资 产的价值、对对手的吸引力、技术的变更、网络和 处理器的速度、软件的缺陷等。 描述威胁和漏洞最好的方法是根据对经营业务的影 响描述。此外，对特殊风险的评估影响还和不确定 性相联系，也依赖于暴露的水平。所有这些因素对 正确地预测具有很大的不确定性，因此安全的计划 和认证是十分困难的。图20.1表示了风险评估的方 法。 图20.1 风险评估方法 20.2 安全成熟度模型 成熟度模型可用来测量组织的解决方案（软件、硬 件和系统）的能力和效力。因此它可用于安全评 估，以测量针对业界最佳实际的安全体系结构。可 以就以下3个方面进行分析：计划、技术和配置、 操作运行过程。 安全计划包括安全策略、标准、指南以及安全需 求。技术和配置的成熟度水平根据选择的特定产 品、准则，在组织内的安置以及产品配置而定。操 作运行过程包括