英语原文共 8 页

信息技术安全评估的基本原理和能力

摘要：

安全威胁的多样性使得信息安全成为使用信息技术（IT）的先决条件。为了实现合适的安全性，IT安全控制的成本应该与其对应的IT安全级别的影响相关。这需要评估IT安全级别。然而，这种洞察力一般用于指导IT安全评估方法和工具的设计。因此，有必要探讨IT安全评估的基本原理，即为什么、在哪里和何

时需要。

本研究旨在探讨IT安全评估方法与工具的基本原理及所需能力。有关理论和所需能力的知识，应为未来IT安全评估方法和工具的发展奠定基础。这项研究是作为一个案例研究在瑞典武装部队进行的。根据访谈和相关文件，确定了直接或间接表明需要进行IT安全评估的声明。这些声明经过仔细分析，确定了IT安全问题。此后，信息技术安全问题被分为六类：（1）系统开发，（2）系统运行，（3）风险管理，（4）安全工作的沟通和管理，（5）信息技术安全方面的能力，（6）实现和维护信任。从这些类别中，确定了对信息技术安全评估基本原理的18项贡献，并用于确定信息技术安全评估所需工具和方法的能力。信息技术安全评估的这些能力是按照以下类别中的标准来呈现的：安全评估领域、安全

相关因素、安全控制特征和评估结果。

关键词：IT安全；IT安全评估；案例研究

1.介绍

现代社会、组织和企业依赖可靠的信息系统。这使得他们容易受到未经授权的使用、IT欺诈和针对相应IT系统的攻击。因此，对足够的IT安全的需求增加了。然而，对信息系统的保护和敏感数据资源的控制会降低系统的可用性和使用。因此，拥有充分的IT安全性是很重要的。

信息技术安全评估被认为是确保信息技术安全在组织、信息方法和网络中拥有一定水平的基本能力。然而，缺乏安全评估的工具和方法[1]–[5]。因此，这一领域需要发展。

要为IT安全评估开发足够的工具和方法，有必要了解为什么、何时何地需要这些工具和方法。因此，在开发这些方法和工具之前，必须探索IT安全评估的基本原理。根据基本原理，可以确定IT安全评估需要提供的工具和方法的能力。

本研究的目的是探讨IT安全评估的基本原理，并在此基础上确定方法所需要提供的相应工具的能力。为此，在瑞典武装部队的网络防御（NBD）开发工作中进行了案例研究。这项研究是基于对参与瑞典全国广播公司发展的人员和相关文件的访谈。

2.背景

本节介绍IT安全评估的领域和研究背景。

A.IT安全评估

在IT系统的开发和运行过程中，充分处理安全问题至关重要。因此，安全管理需要了解安全相关决策的影响和后果，例如，要包括哪些安全控制、密码策略和软件修补程序。这种对安全相关决策的评估需要能够评估IT系统的安全性。在IT安全评估方面，软件安全被认为是一个特别麻烦的领域[1]。不幸的是，缺乏有效的方法和工具来完成IT安全评估[2]–[5]。解决IT系统安全量化的另一个原因是为IT安全领域的进步提供一个重要的手段，即科学研究的基础[6]。

IT安全评估的基本目标是提供描述系统和系统组件安全质量的定量或定性安全值。由于无法直接衡量安全性，因此其评估必须基于后果或特征[7]。有关后果的评估方法可以基于观察或测试。基于观察的方法考虑系统输出或结果，但忽略系统的内部特性。除了研究系统或系统组件安全性的后果外，基于测试的方法还涉及系统的激发，以获得进一步分析的结果。基于特性的评估方法分为考虑组件、系统范围或结构特性的方法，其中假设对系统或系统组件内部的了解。组件特性和系统范围特性之间的差异取决于系统的建模方式，因为系统范围特性包括那些未分配给单个系统组件的特性。结构特征是指系统各组成部分之间的关系。

所有的评估方法或多或少都是基于要评估的系统模型。例如，如果评估基于与系统管理员的面谈，则系统模型与他们对系统的看法一致。如果可用的系统文档用于提取有关系统的知识，那么模型是基于这些文档的。因此，系统建模是安全评估中的一个重要组成部分。

无论评估是基于结果、特征还是两者，都必须进行基本测量，然后将其转化为可呈现的结果。这需要对从模型中提取的结果和由评估方法执行的聚合产生的安全值使用可行的安全度量。对“安全度量”一词有几种解释。Hallberg等人[8]指出，“安全度量包括三个主要部分：一个量值、一个尺度和一个解释。系统的安全值是根据指定的数量级进行测量的，并与一个比例相关。解释规定了获得的安全值的含义。”

安全评估结果的公共用户是与系统相关的其他过程，如风险管理、系统开发和系统管理。有意义的安全评估必须符合这些用户的需求。因此，为安全评估提供可行的方法和工具的第一步是确定用户需要完成的任务，这是本文的主题。这里将从信息技术安全评估的基本原理和功能方面讨论用户需求。

B.研究背景

瑞典武装部队（SWAF）正在进行重大重组，以更好地应对预算框架更为有限的军事组织面临的新挑战。前一个组织是一个入侵防御组织，因此不适合处理当今社会更加多样化的任务，例如参与国际维和部队和防御恐怖袭击。因此，重组的主要目标是在网络中心战（NCW）思想的基础上，实现一个具有成本效益和灵活性的组织[9]。现代信息技术是一个重要的推动者，尤其是在指挥控制系统的实现方面。

SWAF内已经启动了几个项目来开发这种指挥与控制系统。这些项目经常遇到问题，主要是由于：（1）组织的巨大范围和复杂性；（2）历史上划分为陆军、海军和空军三个独立分支的遗产；（3）需要在不同的环境下与不同的国家、组织和系统进行互操作；（4）如何实现以网络为中心的指挥控制系统还远远不够明显。

3.方法

本研究分五步进行：（A）数据收集；（B）识别安全问题；（C）安全问题分类；（D）确定安全评估的基本原理；（E）确定相关的安全评估能力（图1）。

A.数据收集

第一步是收集相关数据。这是通过访谈和对管理文件的研究来完成的。目的是辨认出可用于确定IT安全评估可能感兴趣的安全问题的声明。结果是一组陈述。

采访是基于一组半结构化的问题。采访被记录下来，然后转录。对访谈录和一套相关的管理文件进行了仔细审查，以确定可能与理解IT安全评估需求相关的陈述。

B.安全问题的识别

第二步的目标是确定收集的声明中包含的安全问题。因此，通过询问，谁需要它，他们想用它做什么，他们想在什么时候做，他们想在哪里做，他们为什么要做，他们想怎样做，仔细分析每一个陈述。因此，分析是为了揭示声明中的安全问题。此步骤的结果是一组安全问题。

C.分类安全问题

第三步的目标是对已识别的安全问题进行分类。这些类别是通过相关安全问题的集群构建的。在最初的分类之后，在更高的抽象层次上将类别合并到新的类别中，直到获得一致的结构。在此分析过程中，删除了重复项，改进了安全问题的公式。对安全问题进行了迭代分析，直到发现一组安全问题的质量是稳定的且令人满意的为止。此步骤的结果是安全问题的类别。

D.基本原理安全评估的确定

在此步骤中，分析安全问题的类别，以确定安全评估的基本原理。在这一分析过程中，安全评估方面的专业知识参与了识别与IT安全评估领域无关的安全问题，这些问题无人看管。

E.确定相关安全评估能力

在这一步中，分析了基本原理，以确定安全评估工具和方法所需的特性和能力。在这一步骤中，对收集的数据进行了额外的分析，以更深入地了解安全评估的标准，并利用那些明确表示需要安全评估能力的声明。这项分析是由安全评估专家进行的。

图1：用于确定安全评估的基本原理和相关功能的方法

相关安全评估能力

安全评估的理由

3.安全评估的基本原理

本节介绍了安全问题的类别以及研究得出的安全评估的基本原理。共对9名受访者进行了6次访谈。其中，8人参与了SWAF的C2系统开发，1人负责与SWAF相关机构的IT安全。每次访谈的被访者人数在1到3人之间不等。除访谈外，还收集了13份相关文件。对访谈记录和相关文件的分析得出215份陈述。在这些110份陈述中，访谈记录和105份陈述来自管理文件。

从声明中确定了525个安全问题。在对重复项进行分类和删除之后，仍然存在六类安全问题。这些类别包括：

①系统开发

②系统运行

③风险管理

④安全工作的沟通和管理

⑤有关信息安全的能力

⑥获得和保持信任

A.系统开发

受访者表示，在系统开发过程中出现了大量安全问题。他们指出，从发展之初就必须考虑安全问题。据经验，选择安全控制通常很少注意系统的使用。这一点在开发后期引入安全控制时尤为明显，通常以负面的方式影响可用性。一些受访者声称，必须将安全控制集成到系统中，以实现对各种威胁的有效保护。还需要支持开发更可用的安全解决方案和过程。

关于安全控制的安全评估基本原理：这些声明强调了在系统开发的早期阶段需要更多的并发考虑和安全性。因此，考虑到系统的可用性，需要能够定量地考虑安全控制对安全级别的影响。从系统开发之初就已经需要这种能力了。因此，在要开发的系统元素的初始建模期间，需要能够考虑已经存在的安全控制。此外，还需要能够考虑系统中安全控制的不同整合程度的影响。

关于不同需求之间平衡的安全评估基本原理:一方面，为了在安全性需求与业务和查找性之间实现平衡，另一方面，需要考虑业务、功能和安全性，评估需求网影响的能力。此外，将安全需求建立在业务需求、外部需求和威胁（外部和内部）基础上的需要，指出需要评估考虑这些问题的特定安全需求的影响。

它被要求提供支持，以确定满足安全和业务需求的安全控制措施。为了在安全事故的预防、检测和反应之间取得正确的平衡，也被认为是很重要的。此外，还需要能够将安全组件集成到安全系统中，并在不影响其他安全解决方案的情况下在系统中交换安全解决方案。安全解决方案必须通过开放接口和协议连接到系统。

关于确定适当安全控制措施的安全评估基本原理:为了确定哪种安全控制对于特定的安全需求是最充分的，需要评估各自解决方案的安全效果的能力。为了确定系统的安全态势，必须能够评估安全控制对预防、检测和反应的综合影响。此外，需要评估将组件集成到系统中的效果。

关于验证和确认的安全评估基本原理:执行验证和确认需要确定是否满足安全要求的方法。这意味着需要能够根据系统的体系结构、设计和实现以及各种系统评估IT安全性。

一些组织只能使用经过认证的信息系统。因此，需要能够为特定的应用程序授权系统、组件和服务。有人指出，为认证提供输入的过程是可以理解的，因此，负责人可以信任这些过程，这一点很重要。

关于认证的安全评估基本原理:为了支持认证，安全评估的结果必须可靠、有效、透明和易于理解。

B.系统运行

在系统运行过程中，能够监控安全态势是非常重要的。因此，需要识别：评估和处理与安全相关的事件，包括确保检测到信息完整性违规。此外，支持识别和评估安全相关事件，以便在事件发生之前采取行动，这表示为紧急情况。必须及时采取预防事故的积极措施。响应者表示，他们需要检测和收集有关安全事件的数据，包括：（1）安全影响事件，（2）网络攻击和事件，（3）信息操作尝试，（4）入侵，（5）信息操纵，以及（6）安全漏洞。

关于监控安全态势的安全评估基本原理: 监控系统安全性的需要需要进行安全评估。这必须在检测机制和威胁图片汇编方面完成。

受访者表示，在系统运行期间，有必要调整系统和功能，以匹配当前的威胁、已知的弱点和业务活动。还需要能够处理不同参与者的访问需求、访问控制需求和访问权限。

关于安全适应性的安全评估原理:需要持续了解系统当前的安全级别，以便能够调整系统的安全性，以匹配当前的威胁、知道VN弱点和业务活动。此外，还需要能够评估不同政策对访问权分配和访问控制机制使用的影响。

C.风险管理

受访者指出，考虑到这将对企业造成的后果，有必要进行风险管理，在保密性、完整性和可用性之间进行平衡。因此，必须确定企业的风险承受能力。

关于平衡安全的安全评估基本原理:为了能够在安全特性保密完整性和可用性之间取得平衡，必须知道它们各自的级别，即需要能够评估这些特性。

安全评估的基本原理与优先级和风险管理有关:IT安全控制的优先级要求可以评估控制的效果。持续的风险管理需要持续的安全评估来量化系统的脆弱性。

为了为决策提供坚实的基础，有必要支持分析与所获得的优势相关的安全成本。在风险管理中，必须根据现有威胁来考虑使用环境，安全控制的使用可针对这些威胁提供保护。

关于成本效益分析的安全评估基本原理:为了对安全控制进行成本效益分析，需要能够评估相应工作导致的安全级别变化。

在出现安全问题之前，需要采取预防措施。需要进行风险分析，以确定可能出现的威胁、环境和风险发生的情况。风险分析包括后果分析和概率估计。

关于概率估计的安全评估基本原理:风险分析过程中的概率估计要求能够评估系统的安全态势。

必须能够利用事件中的经验。受访者表示需要记录风险分析的结果，因此它可以为适当的行动计划奠定基础。应分析风险：

①在数量上和货币价值方面

②关于组织间网络连接和连接的关键基础设施的安全后果

③关于增加基于网络的功能和服务

资料编号：[5713]