◆曾志強(qiáng)

?

美國電子政務(wù)信息安全評估方法論（IAM）分析

◆曾志強(qiáng)

（量子時空信息安全科技有限公司 北京 100012）

21世紀(jì)是信息社會，隨著信息技術(shù)的發(fā)展，信息系統(tǒng)在政府部門中得到越來越廣泛的應(yīng)用，為了保障政府職能的正常運(yùn)轉(zhuǎn)，政府對自己的信息系統(tǒng)的保護(hù)能力就變得至關(guān)重要，而做好保護(hù)工作的第一步就是需要對政府的信息和信息系統(tǒng)進(jìn)行安全評估。本文分析了美國國家安全局專門為美國政府機(jī)構(gòu)開發(fā)的信息安全評估方法論(IAM)，描述了完整的評估過程，并論述了這種方法論的優(yōu)缺點。

信息安全；安全評估；基線安全；關(guān)鍵基礎(chǔ)設(shè)施保護(hù)

0 引言

1998年5月克林頓總統(tǒng)簽署了第63號總統(tǒng)令《克林頓政府對美國關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的政策》（PDD63），在它定義的國家關(guān)鍵基礎(chǔ)設(shè)施保障的框架里，要求國家安全局(NSA)負(fù)責(zé)對美國政府所有的信息系統(tǒng)進(jìn)行安全評估工作。按照公共法案100-235的要求，國家安全局(NSA)有責(zé)任為聯(lián)邦政府所有的機(jī)密計算機(jī)系統(tǒng)提供安全指南。第63號總統(tǒng)令又將對NSA的工作要求擴(kuò)展到了包括為聯(lián)邦政府所有的機(jī)密計算機(jī)系統(tǒng)提供直接的技術(shù)支持。

為了滿足工作要求，國家安全局開發(fā)出了這套信息安全評估方法論(IAM)，以使得經(jīng)它培訓(xùn)和許可后的一些組織可以使用這套方法論以跟NSA相同的工作方法對政府機(jī)構(gòu)客戶提供同樣的評估服務(wù)。

1 信息安全評估方法論(IAM)概述

1.1 什么是信息安全評估方法論(IAM)

國家安全局（NSA）將信息安全評估定義為“對在一個特定操作環(huán)境下的信息系統(tǒng)安全狀態(tài)的回顧，目的是為了識別潛在的脆弱性。脆弱性一旦得到確認(rèn)，就必須提供相應(yīng)的解決方案來對這些脆弱性因素進(jìn)行消除或緩解?！?/p>

信息安全評估方法論(IAM)就是用來評估組織的關(guān)鍵信息技術(shù)資產(chǎn)和業(yè)務(wù)信息的一種標(biāo)準(zhǔn)化的方法。它是國家安全局從實際經(jīng)驗、情況和環(huán)境中開發(fā)出來的用于評估政府機(jī)構(gòu)各種各樣信息技術(shù)環(huán)境的一個過程。IAM并不是一個安全標(biāo)準(zhǔn)，因為它并不像ISO17799和SAS70那樣僅僅是由一系列定義和要求組成，盡管這些標(biāo)準(zhǔn)在安全領(lǐng)域的重要性地位毋庸置疑。

IAM的一些特性使得它在對組織進(jìn)行信息安全評估時非常有價值。這是因為除了對信息類型和定義進(jìn)行描述外，它還描述了怎樣去為評估工作做準(zhǔn)備、實施評估的整個工作過程以及如何為整個評估項目做文檔記錄等。

1.2 IAM評估的三個組成部分

NSA將傳統(tǒng)的評估拆開分為三個部分：評估、評價和紅隊。從頂往下如圖1所示。

（1）評估

評估就是在組織內(nèi)以組織級別針對非技術(shù)安全功能方面的一個工作過程。在評估過程中，需要檢查安全策略、安全程序、安全體系和組織的結(jié)構(gòu)內(nèi)容。盡管在評估過程沒有手工操作技術(shù)測試（如掃描等），但它依然是一個高度手工化的過程。在這個過程中，評估方通過和客戶一起協(xié)同工作和溝通來識別用戶的關(guān)鍵信息、關(guān)鍵系統(tǒng)并了解用戶未來的安全需求。

圖1 NSA評估的三元組示意圖

（2）評價

評價通過從系統(tǒng)網(wǎng)絡(luò)級的手工操作技術(shù)過程來識別組織系統(tǒng)中存在的可以通過技術(shù)、管理或操作手段來消減的安全漏洞。評價和評估經(jīng)常容易被人們弄混淆，因此NSA干脆有時就叫評價為“1＋級評估”。評價過程通常包括下面這些工作：

對防火墻、入侵檢測系統(tǒng)、入侵保護(hù)系統(tǒng)、路由器和交換機(jī)等設(shè)備進(jìn)行技術(shù)分析；對用戶的網(wǎng)絡(luò)進(jìn)行一些基本的漏洞掃描；為下一次評價提供有價值的信息。

（3）紅隊

紅隊經(jīng)常又被叫作攻擊和滲透測試，它是由一些人通過模擬敵方，從敵方的角度來尋找安全漏洞從而攻入用戶系統(tǒng)和網(wǎng)絡(luò)的過程。利用這些存在的漏洞往往是攻入用戶網(wǎng)絡(luò)的最容易的方法。表1是這三個部分的區(qū)別和比較：

表1 IAM評估組成部分區(qū)別表

2 IAM評估過程

IAM過程是一個評估過程，而不是一個審計過程，這一點是這個方法論的最關(guān)鍵的一個特性。審計的目的通常是檢查對一些標(biāo)準(zhǔn)的遵從性。而IAM評估的目的是幫助被評估組織改善它的信息安全情況。如果組織需要審計的話，IAM評估的結(jié)果可以為審計的準(zhǔn)備工作打下良好的基礎(chǔ)。一個完整的IAM評估過程可以分為三個階段：

（1）預(yù)評估；

（2）現(xiàn)場評估；

（3）后評估。

盡管字面上是這樣定義，但實際上大量的評估工作卻是貫穿于所有這三個階段之中。

在評估工作發(fā)起前首先要弄清楚被評估組織的需求，比如被評估組織對評估內(nèi)容的具體要求；其他的一些附帶要求；對評估人員的資質(zhì)要求，即評估人員必須接受過NSA的信息安全評估培訓(xùn)和分級程序（INFOSEC Assessment Training and Rating Program, or IATRP）并持有IAM認(rèn)證證書；被評估組織對評估時間周期的要求；被評估組織簽訂相關(guān)協(xié)議的過程；被評估組織評估預(yù)算的限制等。

2.1 預(yù)評估

預(yù)評估階段的目的是了解被評估組織實際環(huán)境情況。主要工作包括：了解評估任務(wù)聲明、重點要求和限制條件，認(rèn)識被評估組織的關(guān)鍵職員，了解被評估組織當(dāng)前的關(guān)鍵信息資產(chǎn)和信息系統(tǒng)，確定評估工作的范圍，相關(guān)的文檔處理，計劃和準(zhǔn)備后續(xù)工作所需要的后勤資源等。在進(jìn)行現(xiàn)場評估之前，評估團(tuán)隊要對所有與被評估組織相關(guān)的文檔進(jìn)行閱讀和初步分析，整個IAM評估的正式文檔處理過程也是從這時開始的。

2.1.1預(yù)評估現(xiàn)場訪問

預(yù)評估現(xiàn)場訪問（PASV）一般是通過1到2天的會議（對大型組織可能需要3到5天）來進(jìn)行。通過與被評估組織人員的面談和會議來搜集信息，真正理解被評估組織的使命和業(yè)務(wù)目標(biāo)，為客戶量身定做一個客戶化的IAM；組建一個合適的評估團(tuán)隊；制定初始的評估計劃。因此，預(yù)評估現(xiàn)場訪問的主要目的就是確定評估的關(guān)鍵內(nèi)容和制定詳細(xì)的評估計劃以建立一個框架，從而為評估團(tuán)隊完成安全評估工作打下良好的基礎(chǔ)。

需要對客戶進(jìn)行了解的信息中很大部分是關(guān)于客戶組織的信息技術(shù)架構(gòu)的情況。盡管在將來隨著工作的深入才能了解到許多具體的技術(shù)細(xì)節(jié)，但在剛開始的時候，對整體架構(gòu)有個很好的理解是非常必要的。下面舉出幾個相關(guān)的問題示例：組織使用了哪些操作系統(tǒng)？組織使用了哪些網(wǎng)絡(luò)協(xié)議，具體是什么？組織部署了什么類型的廣域網(wǎng)？廣域網(wǎng)中有多少個節(jié)點？

需要確定被評估站點具有哪些安全控制措施，這些信息是我們在提出安全解決方案時需要考慮的重要參考。例如：是否安裝了防火墻？如果有的話，是那種型號？是否使用了訪問控制列表？用什么來保護(hù)遠(yuǎn)端連接？是否部署了基本的物理安全控制措施（警衛(wèi)、徽章、門禁卡等）？是否使用了入侵檢測系統(tǒng)？是否使用了WEB安全應(yīng)用防火墻？是否部署了數(shù)據(jù)防泄漏系統(tǒng)？

其他的一些準(zhǔn)備工作還包括：需要做好時間安排，了解客戶特別關(guān)注的地方，確定評估與審計的區(qū)別，確定評估結(jié)果、解決方案和報告的格式，盡可能減少對客戶正常工作的打擾，了解客戶信息安全相關(guān)角色和責(zé)任的定義，為下一步的評估活動做好計劃等。

2.1.2識別組織的關(guān)鍵信息

為了便于分析，需要將被評估組織的信息進(jìn)行分類歸納，例如可以歸納為客戶信息、網(wǎng)絡(luò)和通訊信息、人力資源數(shù)據(jù)、合同和后勤信息、銀行財務(wù)信息等幾大類，網(wǎng)絡(luò)和通訊信息大類里又可以包括服務(wù)器配置、用戶賬號信息、防火墻配置、第三方連接、租線信息和WEB服務(wù)器等。然后把這些類型的信息分別與其支持的組織業(yè)務(wù)相關(guān)聯(lián)起來。

在確定影響的特性的時候，由于被評估組織可能分別屬于不同的行業(yè)，因此各自相對應(yīng)的法律、法規(guī)和隱私安全要求等也都各不相同，因此我們首先要考慮這些細(xì)致的差別。下面是一個軍事組織的法規(guī)要求例表（表2）。

表2 一個軍事組織法規(guī)要求例表

常見的影響特性包括機(jī)密性、一致性、可用性、可記賬、不可否認(rèn)性、可授權(quán)、可審計性和訪問控制等。

建立影響特性的定義，一般可按照對業(yè)務(wù)影響的重要性分為高、中、低或者從低到高由數(shù)字0,1,2,3,4,5分為6級來表示，其中0為最低，5為最高。最后建立被評估組織關(guān)鍵信息矩陣（Organizational Information Criticality Matrix，即OICM）。下面是某組織的關(guān)鍵信息矩陣?yán)恚ū?）。

表3 某組織的關(guān)鍵信息矩陣?yán)?/p>

2.1.3識別組織的關(guān)鍵信息系統(tǒng)

在識別組織的關(guān)鍵信息之后，下一步就是識別組織的關(guān)鍵信息系統(tǒng)。這是因為，組織的關(guān)鍵信息總是由特定的系統(tǒng)來進(jìn)行處理、傳輸和存儲的。關(guān)鍵的系統(tǒng)對客戶的業(yè)務(wù)具有很大的影響。從組織的角度看，有一些系統(tǒng)需要最高的安全性，因為如果這些特定系統(tǒng)被泄漏或破壞就最可能給組織造成無法承受的影響。識別這些系統(tǒng)同樣也離不開客戶的參與，因為最了解客戶系統(tǒng)的就是客戶本人。下面是一些常見的系統(tǒng)示例：人力資源系統(tǒng)、網(wǎng)絡(luò)監(jiān)控系統(tǒng)、內(nèi)部工單系統(tǒng)、客戶信息系統(tǒng)、安全和審計系統(tǒng)、財務(wù)追蹤系統(tǒng)、指揮和控制系統(tǒng)等。

確定系統(tǒng)的邊界，因為邊界劃分了系統(tǒng)的范圍，而評估所關(guān)注的就是在物理邊界內(nèi)信息的流動情況。物理邊界一般包括交換機(jī)端口、防火墻接口、邊界路由器、子網(wǎng)路由器接口和建筑物入口和出口等。邏輯邊界一般是根據(jù)組織內(nèi)數(shù)據(jù)流的流動情況來劃分。

建立關(guān)鍵信息系統(tǒng)矩陣System Criticality Matrix (SCM)與建立OICM類似，根據(jù)CIA三個屬性的丟失對系統(tǒng)的影響來建立。下面是某組織的客戶信息系統(tǒng)矩陣?yán)恚ū?）。

表4 某組織的客戶信息系統(tǒng)矩陣?yán)?/p>

在和客戶一起建立關(guān)鍵信息矩陣(OICM)時，我們主要關(guān)注的是各種類型的數(shù)據(jù)對組織的影響，而在建立關(guān)鍵信息系統(tǒng)矩陣（SCM）時，需要進(jìn)一步考慮的是信息對系統(tǒng)的影響。

2.1.4了解組織的安全環(huán)境

了解組織的文化和安全環(huán)境不僅需要了解那些處理、存儲和傳輸組織關(guān)鍵信息的部件所處的房間的具體位置，還需要了解這些關(guān)鍵信息相關(guān)的操作文化和安全環(huán)境。文化環(huán)境是由工作在那個環(huán)境下的人們和他們對事情是怎樣做的和應(yīng)該怎樣做的理解和感覺組成的。組織的文化隨著環(huán)境里的人的不同而不同。

安全環(huán)境是由文檔化的對操作的要求組成，這些要求既可以是法律要求的形式，也可以是正式或非正式的安全策略。這些文檔包括策略、指南/要求、計劃、標(biāo)準(zhǔn)操作程序（Standard Operating Procedures，SOP）以及用戶文檔等。

2.1.5制定技術(shù)評估計劃

技術(shù)評估計劃（the Technical Assessment Plan ，TAP)是IAM的關(guān)鍵管理工具之一，它是預(yù)評估現(xiàn)場訪問的核心輸出結(jié)果。TAP把所有在預(yù)評估階段生成的或發(fā)現(xiàn)的信息歸納匯總為下一步將要評估的內(nèi)容概要。事實上，TAP已經(jīng)成為預(yù)評估現(xiàn)場訪問結(jié)束后的IAM指南，它不僅是理解被評估組織情況的一個概要，也討論了在評估過程中客戶所關(guān)注的主要行動項目。

TAP文檔是被用在客戶和評估小組之間將IAM的各個方面連接在一起，對安全評估來說是至關(guān)重要的，因為它是滿足客戶評估需求的第一線協(xié)議。TAP描述了后續(xù)要進(jìn)行的評估過程和在評估項目中被評估組織和評估小組使用的工具。

TAP的格式一般包括9個部分：聯(lián)系點、任務(wù)、組織的關(guān)鍵信息、關(guān)鍵信息系統(tǒng)、客戶關(guān)注點和強(qiáng)制性要求、系統(tǒng)配置、面談、文檔和評估詳細(xì)時間點安排。

2.2 現(xiàn)場評估

預(yù)評估和現(xiàn)場評估的關(guān)注點是不同的，預(yù)評估階段關(guān)注于確定組織的業(yè)務(wù)使命、關(guān)鍵信息和關(guān)鍵系統(tǒng)，而現(xiàn)場評估階段則關(guān)注于搜集組織信息安全相關(guān)狀態(tài)的信息。預(yù)評估階段幫助評估小組理解客戶的業(yè)務(wù)目標(biāo)和支持這些業(yè)務(wù)目標(biāo)的基礎(chǔ)設(shè)施，這些信息對建立評估范圍和確定對業(yè)務(wù)操作的影響是至關(guān)重要的?，F(xiàn)場評估階段根據(jù)搜集的信息來確定組織是否達(dá)到了支持其業(yè)務(wù)目標(biāo)所要求的安全程度以及是否需要采取一些行動來改善組織的總體安全狀況。

現(xiàn)場評估的工作是非常繁重的，這個階段通常會持續(xù)幾個星期。它包括面談、小組討論、研究策略、工作程序和其他信息安全相關(guān)的文檔。這也是重新回顧關(guān)鍵信息矩陣、影響屬性、影響定義和關(guān)鍵信息系統(tǒng)矩陣，從而和被評估組織達(dá)成一致意見的時期。

2.2.1現(xiàn)場評估準(zhǔn)備工作

評估小組需要對在預(yù)評估現(xiàn)場訪問中搜集到的信息進(jìn)行回顧，然后確定客戶關(guān)注的區(qū)域和選擇必要的工具來進(jìn)行評估。適當(dāng)?shù)臏?zhǔn)備工作是減少下一步評估過程可能會遇到的問題數(shù)量的最好方法。

事先的充分準(zhǔn)備對評估活動的成功至關(guān)重要，評估小組的準(zhǔn)備工作包括申請和發(fā)送安全許可證、安排旅行計劃、預(yù)定旅館、安排交通工具、確定評估小組成員、與客戶協(xié)調(diào)時間表、為評估小組成員分派各自負(fù)責(zé)的現(xiàn)場評估工作、確定評估小組應(yīng)急替補(bǔ)人員、制定相應(yīng)的管理和技術(shù)計劃、行李打包等。

同樣，客戶也需要做一些準(zhǔn)備工作，這些工作包括為面談設(shè)定優(yōu)先級、為客戶員工和評估小組的交流安排時間表和預(yù)定會議室等。

2.2.2雙方現(xiàn)場溝通協(xié)調(diào)

一旦評估小組到達(dá)現(xiàn)場開始現(xiàn)場評估后，評估小組和客戶代表需要對整個評估過程進(jìn)行溝通協(xié)調(diào)以建立和維持一個積極的工作氣氛。這些溝通協(xié)調(diào)工作從開放式會議開始，一直到評估小組離開現(xiàn)場為止。

開方式會議的內(nèi)容包括：介紹評估小組成員，公布他們的聯(lián) 系方式，對評估范圍做一個回顧，確定現(xiàn)場評估結(jié)束日期，回顧 當(dāng)前的時間計劃表，對文檔進(jìn)行回顧，以及討論一些未確定的其 他因素。

評估過程并不是一個由評估小組獨自完成的過程，客戶的參與是不可缺少的?？蛻魰ＭS時被告知在評估過程中的發(fā)現(xiàn)，同客戶經(jīng)常進(jìn)行溝通對評估的成功來說非常重要。為了更好地進(jìn)行溝通，評估小組需要對客戶提供連續(xù)性的培訓(xùn)，這些培訓(xùn)包括正式的客戶培訓(xùn)和非正式的客戶培訓(xùn)。除了培訓(xùn)之外，評估小組還需要通過工作報告或以會議的形式隨時和客戶交換信息。

2.2.3現(xiàn)場評估基線信息安全分類

NSA對現(xiàn)場評估需要進(jìn)行的項目確定了18項基線信息安全分類，評估小組需要將工作集中在這些項目上以得到組織信息安全狀態(tài)的信息。這18項基線信息安全分類可以歸納為管理、技術(shù)和操作三個方面。如表5所示。

表5 IAM 基線信息安全分類表

IAM方法論是一個靈活的方法論，除了這些分類外，如果需要的話，或者應(yīng)客戶的要求，可以隨時增加其他的分類進(jìn)入現(xiàn)場評估。

2.3 后評估

后評估通常是最長的一個階段，因為在這個階段要花費大量的時間來進(jìn)行分析和文檔工作。在很多情況下，后評估需要對發(fā)現(xiàn)的信息進(jìn)行進(jìn)一步的分析、研究和討論來和被評估組織達(dá)成一致意見。在前面階段的工作中，評估小組已經(jīng)搜集了客戶系統(tǒng)的信息并確定了可能的漏洞和弱點，現(xiàn)在需要對這些信息進(jìn)行確認(rèn)。確認(rèn)實際上就是能夠展示證物和證據(jù)來證明當(dāng)前組織實際上的信息安全狀況。可以通過兩種辦法來進(jìn)行確認(rèn)工作：示范和評價。

示范就是通過觀察客戶的活動來驗證他們是怎樣做的，因為有時通過實際觀察客戶的行為，往往就會發(fā)現(xiàn)跟通過面談得到的資料不相符。評價就是提供關(guān)于發(fā)現(xiàn)的文檔證據(jù)，這是通過用一些工具或腳本來手工檢查系統(tǒng)來實現(xiàn)的，例如常見的有網(wǎng)絡(luò)掃描器和口令破解工具等。

2.3.1離開評估現(xiàn)場前總結(jié)會議

離開評估現(xiàn)場前總結(jié)會議的主要目的是查遺補(bǔ)漏，通過會議確認(rèn)評估小組已從評估現(xiàn)場和客戶那里獲得評估需要的所有信息，而且已經(jīng)通知客戶所發(fā)現(xiàn)的關(guān)鍵漏洞后，評估小組才可以準(zhǔn)備離開評估現(xiàn)場后回顧和整理所有的信息和文檔。

在會議中除了需要對評估計劃進(jìn)行回顧以達(dá)成一致意見，還要討論關(guān)鍵漏洞和評估過程以及下一步的工作安排。

2.3.2最終評估報告

完成現(xiàn)場評估并不意味著所有評估工作的結(jié)束，評估小組還需要付出大量的努力來確保評估對被評估組織具有最大的價值，這些努力就是通過對前期評估所獲得的大量信息進(jìn)行分析和做出最終報告來進(jìn)行的。分析和最終報告除了提供給客戶一個文檔化的評估結(jié)果，也給出了幫助客戶提升安全水平的路線圖和建議。

3 結(jié)論

隨著政府部門對信息系統(tǒng)依賴程度的日益增強(qiáng)，信息安全問題越來越受到關(guān)注。運(yùn)用風(fēng)險評估去識別信息安全風(fēng)險和解決信息安全問題已經(jīng)得到了廣泛的應(yīng)用。因此，不斷學(xué)習(xí)和借鑒其他國家的信息安全風(fēng)險評估方法和技術(shù)，能夠更好地促進(jìn)我們在安全評估領(lǐng)域的研究和發(fā)展。

綜上所述，IAM有以下幾點值得我們借鑒：

（1）由于政府部門與普通商業(yè)公司在業(yè)務(wù)和使命上有本質(zhì)的不同，它們對信息安全評估的具體需求特點也有很大的差異，而IAM是美國國家安全局專門為美國政府部門量身定做定制的一個信息安全評估方法論，因而更能滿足政府部門對安全評估的特殊需要并且能夠達(dá)到更好的效果；

（2）對現(xiàn)場評估確定了18項基線信息安全分類，分管理、技術(shù)和操作三大類對評估的具體內(nèi)容進(jìn)行了定義，避免了一些評估方法僅僅關(guān)注于評估流程和計算方法的缺點；

（3）對評估人員的資質(zhì)統(tǒng)一由NSA進(jìn)行背景調(diào)查、培訓(xùn)和資質(zhì)認(rèn)證工作，這樣能夠更好地加強(qiáng)對評估人員的管理，大大減少由于評估人員因素帶來的附加風(fēng)險問題。

但是也要看到，IAM并沒有對評估機(jī)構(gòu)的資質(zhì)進(jìn)行限定和管理，這一點既不合我們的國情，也不利于對評估人員進(jìn)行切實有效的組織和管理。

[1]National Security Agency (NSA) INFOSEC Assessment Methodology (IAM), Brad C. Johnson, 2004.

[2]Security Assessment: Case Studies for Implementing the NSA IAM，Russ Rogers，Greg Miles，Ed Fuller，Ted Dykstra，Matthew Hoagberg,2004 by Syngress Publishing, Inc.

[3]國標(biāo)《信息安全風(fēng)險評估規(guī)范》.