美國(guó)電子政務(wù)信息安全評(píng)估方法論（IAM）分析

◆曾志強(qiáng)

?

美國(guó)電子政務(wù)信息安全評(píng)估方法論（IAM）分析

◆曾志強(qiáng)

（量子時(shí)空信息安全科技有限公司 北京 100012）

21世紀(jì)是信息社會(huì)，隨著信息技術(shù)的發(fā)展，信息系統(tǒng)在政府部門(mén)中得到越來(lái)越廣泛的應(yīng)用，為了保障政府職能的正常運(yùn)轉(zhuǎn)，政府對(duì)自己的信息系統(tǒng)的保護(hù)能力就變得至關(guān)重要，而做好保護(hù)工作的第一步就是需要對(duì)政府的信息和信息系統(tǒng)進(jìn)行安全評(píng)估。本文分析了美國(guó)國(guó)家安全局專(zhuān)門(mén)為美國(guó)政府機(jī)構(gòu)開(kāi)發(fā)的信息安全評(píng)估方法論(IAM)，描述了完整的評(píng)估過(guò)程，并論述了這種方法論的優(yōu)缺點(diǎn)。

信息安全；安全評(píng)估；基線安全；關(guān)鍵基礎(chǔ)設(shè)施保護(hù)

0 引言

1998年5月克林頓總統(tǒng)簽署了第63號(hào)總統(tǒng)令《克林頓政府對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的政策》（PDD63），在它定義的國(guó)家關(guān)鍵基礎(chǔ)設(shè)施保障的框架里，要求國(guó)家安全局(NSA)負(fù)責(zé)對(duì)美國(guó)政府所有的信息系統(tǒng)進(jìn)行安全評(píng)估工作。按照公共法案100-235的要求，國(guó)家安全局(NSA)有責(zé)任為聯(lián)邦政府所有的機(jī)密計(jì)算機(jī)系統(tǒng)提供安全指南。第63號(hào)總統(tǒng)令又將對(duì)NSA的工作要求擴(kuò)展到了包括為聯(lián)邦政府所有的機(jī)密計(jì)算機(jī)系統(tǒng)提供直接的技術(shù)支持。

為了滿足工作要求，國(guó)家安全局開(kāi)發(fā)出了這套信息安全評(píng)估方法論(IAM)，以使得經(jīng)它培訓(xùn)和許可后的一些組織可以使用這套方法論以跟NSA相同的工作方法對(duì)政府機(jī)構(gòu)客戶提供同樣的評(píng)估服務(wù)。

1 信息安全評(píng)估方法論(IAM)概述

1.1 什么是信息安全評(píng)估方法論(IAM)

國(guó)家安全局（NSA）將信息安全評(píng)估定義為“對(duì)在一個(gè)特定操作環(huán)境下的信息系統(tǒng)安全狀態(tài)的回顧，目的是為了識(shí)別潛在的脆弱性。脆弱性一旦得到確認(rèn)，就必須提供相應(yīng)的解決方案來(lái)對(duì)這些脆弱性因素進(jìn)行消除或緩解?！?/p>

信息安全評(píng)估方法論(IAM)就是用來(lái)評(píng)估組織的關(guān)鍵信息技術(shù)資產(chǎn)和業(yè)務(wù)信息的一種標(biāo)準(zhǔn)化的方法。它是國(guó)家安全局從實(shí)際經(jīng)驗(yàn)、情況和環(huán)境中開(kāi)發(fā)出來(lái)的用于評(píng)估政府機(jī)構(gòu)各種各樣信息技術(shù)環(huán)境的一個(gè)過(guò)程。IAM并不是一個(gè)安全標(biāo)準(zhǔn)，因?yàn)樗⒉幌馡SO17799和SAS70那樣僅僅是由一系列定義和要求組成，盡管這些標(biāo)準(zhǔn)在安全領(lǐng)域的重要性地位毋庸置疑。

IAM的一些特性使得它在對(duì)組織進(jìn)行信息安全評(píng)估時(shí)非常有價(jià)值。這是因?yàn)槌藢?duì)信息類(lèi)型和定義進(jìn)行描述外，它還描述了怎樣去為評(píng)估工作做準(zhǔn)備、實(shí)施評(píng)估的整個(gè)工作過(guò)程以及如何為整個(gè)評(píng)估項(xiàng)目做文檔記錄等。

1.2 IAM評(píng)估的三個(gè)組成部分

NSA將傳統(tǒng)的評(píng)估拆開(kāi)分為三個(gè)部分：評(píng)估、評(píng)價(jià)和紅隊(duì)。從頂往下如圖1所示。

（1）評(píng)估

評(píng)估就是在組織內(nèi)以組織級(jí)別針對(duì)非技術(shù)安全功能方面的一個(gè)工作過(guò)程。在評(píng)估過(guò)程中，需要檢查安全策略、安全程序、安全體系和組織的結(jié)構(gòu)內(nèi)容。盡管在評(píng)估過(guò)程沒(méi)有手工操作技術(shù)測(cè)試（如掃描等），但它依然是一個(gè)高度手工化的過(guò)程。在這個(gè)過(guò)程中，評(píng)估方通過(guò)和客戶一起協(xié)同工作和溝通來(lái)識(shí)別用戶的關(guān)鍵信息、關(guān)鍵系統(tǒng)并了解用戶未來(lái)的安全需求。

圖1 NSA評(píng)估的三元組示意圖

（2）評(píng)價(jià)

評(píng)價(jià)通過(guò)從系統(tǒng)網(wǎng)絡(luò)級(jí)的手工操作技術(shù)過(guò)程來(lái)識(shí)別組織系統(tǒng)中存在的可以通過(guò)技術(shù)、管理或操作手段來(lái)消減的安全漏洞。評(píng)價(jià)和評(píng)估經(jīng)常容易被人們弄混淆，因此NSA干脆有時(shí)就叫評(píng)價(jià)為“1＋級(jí)評(píng)估”。評(píng)價(jià)過(guò)程通常包括下面這些工作：

對(duì)防火墻、入侵檢測(cè)系統(tǒng)、入侵保護(hù)系統(tǒng)、路由器和交換機(jī)等設(shè)備進(jìn)行技術(shù)分析；對(duì)用戶的網(wǎng)絡(luò)進(jìn)行一些基本的漏洞掃描；為下一次評(píng)價(jià)提供有價(jià)值的信息。

（3）紅隊(duì)

紅隊(duì)經(jīng)常又被叫作攻擊和滲透測(cè)試，它是由一些人通過(guò)模擬敵方，從敵方的角度來(lái)尋找安全漏洞從而攻入用戶系統(tǒng)和網(wǎng)絡(luò)的過(guò)程。利用這些存在的漏洞往往是攻入用戶網(wǎng)絡(luò)的最容易的方法。表1是這三個(gè)部分的區(qū)別和比較：

表1 IAM評(píng)估組成部分區(qū)別表

2 IAM評(píng)估過(guò)程

IAM過(guò)程是一個(gè)評(píng)估過(guò)程，而不是一個(gè)審計(jì)過(guò)程，這一點(diǎn)是這個(gè)方法論的最關(guān)鍵的一個(gè)特性。審計(jì)的目的通常是檢查對(duì)一些標(biāo)準(zhǔn)的遵從性。而IAM評(píng)估的目的是幫助被評(píng)估組織改善它的信息安全情況。如果組織需要審計(jì)的話，IAM評(píng)估的結(jié)果可以為審計(jì)的準(zhǔn)備工作打下良好的基礎(chǔ)。一個(gè)完整的IAM評(píng)估過(guò)程可以分為三個(gè)階段：

（1）預(yù)評(píng)估；

（2）現(xiàn)場(chǎng)評(píng)估；

（3）后評(píng)估。

盡管字面上是這樣定義，但實(shí)際上大量的評(píng)估工作卻是貫穿于所有這三個(gè)階段之中。

在評(píng)估工作發(fā)起前首先要弄清楚被評(píng)估組織的需求，比如被評(píng)估組織對(duì)評(píng)估內(nèi)容的具體要求；其他的一些附帶要求；對(duì)評(píng)估人員的資質(zhì)要求，即評(píng)估人員必須接受過(guò)NSA的信息安全評(píng)估培訓(xùn)和分級(jí)程序（INFOSEC Assessment Training and Rating Program, or IATRP）并持有IAM認(rèn)證證書(shū)；被評(píng)估組織對(duì)評(píng)估時(shí)間周期的要求；被評(píng)估組織簽訂相關(guān)協(xié)議的過(guò)程；被評(píng)估組織評(píng)估預(yù)算的限制等。

2.1 預(yù)評(píng)估

預(yù)評(píng)估階段的目的是了解被評(píng)估組織實(shí)際環(huán)境情況。主要工作包括：了解評(píng)估任務(wù)聲明、重點(diǎn)要求和限制條件，認(rèn)識(shí)被評(píng)估組織的關(guān)鍵職員，了解被評(píng)估組織當(dāng)前的關(guān)鍵信息資產(chǎn)和信息系統(tǒng)，確定評(píng)估工作的范圍，相關(guān)的文檔處理，計(jì)劃和準(zhǔn)備后續(xù)工作所需要的后勤資源等。在進(jìn)行現(xiàn)場(chǎng)評(píng)估之前，評(píng)估團(tuán)隊(duì)要對(duì)所有與被評(píng)估組織相關(guān)的文檔進(jìn)行閱讀和初步分析，整個(gè)IAM評(píng)估的正式文檔處理過(guò)程也是從這時(shí)開(kāi)始的。

2.1.1預(yù)評(píng)估現(xiàn)場(chǎng)訪問(wèn)

預(yù)評(píng)估現(xiàn)場(chǎng)訪問(wèn)（PASV）一般是通過(guò)1到2天的會(huì)議（對(duì)大型組織可能需要3到5天）來(lái)進(jìn)行。通過(guò)與被評(píng)估組織人員的面談和會(huì)議來(lái)搜集信息，真正理解被評(píng)估組織的使命和業(yè)務(wù)目標(biāo)，為客戶量身定做一個(gè)客戶化的IAM；組建一個(gè)合適的評(píng)估團(tuán)隊(duì)；制定初始的評(píng)估計(jì)劃。因此，預(yù)評(píng)估現(xiàn)場(chǎng)訪問(wèn)的主要目的就是確定評(píng)估的關(guān)鍵內(nèi)容和制定詳細(xì)的評(píng)估計(jì)劃以建立一個(gè)框架，從而為評(píng)估團(tuán)隊(duì)完成安全評(píng)估工作打下良好的基礎(chǔ)。

需要對(duì)客戶進(jìn)行了解的信息中很大部分是關(guān)于客戶組織的信息技術(shù)架構(gòu)的情況。盡管在將來(lái)隨著工作的深入才能了解到許多具體的技術(shù)細(xì)節(jié)，但在剛開(kāi)始的時(shí)候，對(duì)整體架構(gòu)有個(gè)很好的理解是非常必要的。下面舉出幾個(gè)相關(guān)的問(wèn)題示例：組織使用了哪些操作系統(tǒng)？組織使用了哪些網(wǎng)絡(luò)協(xié)議，具體是什么？組織部署了什么類(lèi)型的廣域網(wǎng)？廣域網(wǎng)中有多少個(gè)節(jié)點(diǎn)？

需要確定被評(píng)估站點(diǎn)具有哪些安全控制措施，這些信息是我們?cè)谔岢霭踩鉀Q方案時(shí)需要考慮的重要參考。例如：是否安裝了防火墻？如果有的話，是那種型號(hào)？是否使用了訪問(wèn)控制列表？用什么來(lái)保護(hù)遠(yuǎn)端連接？是否部署了基本的物理安全控制措施（警衛(wèi)、徽章、門(mén)禁卡等）？是否使用了入侵檢測(cè)系統(tǒng)？是否使用了WEB安全應(yīng)用防火墻？是否部署了數(shù)據(jù)防泄漏系統(tǒng)？

其他的一些準(zhǔn)備工作還包括：需要做好時(shí)間安排，了解客戶特別關(guān)注的地方，確定評(píng)估與審計(jì)的區(qū)別，確定評(píng)估結(jié)果、解決方案和報(bào)告的格式，盡可能減少對(duì)客戶正常工作的打擾，了解客戶信息安全相關(guān)角色和責(zé)任的定義，為下一步的評(píng)估活動(dòng)做好計(jì)劃等。

2.1.2識(shí)別組織的關(guān)鍵信息

為了便于分析，需要將被評(píng)估組織的信息進(jìn)行分類(lèi)歸納，例如可以歸納為客戶信息、網(wǎng)絡(luò)和通訊信息、人力資源數(shù)據(jù)、合同和后勤信息、銀行財(cái)務(wù)信息等幾大類(lèi)，網(wǎng)絡(luò)和通訊信息大類(lèi)里又可以包括服務(wù)器配置、用戶賬號(hào)信息、防火墻配置、第三方連接、租線信息和WEB服務(wù)器等。然后把這些類(lèi)型的信息分別與其支持的組織業(yè)務(wù)相關(guān)聯(lián)起來(lái)。

在確定影響的特性的時(shí)候，由于被評(píng)估組織可能分別屬于不同的行業(yè)，因此各自相對(duì)應(yīng)的法律、法規(guī)和隱私安全要求等也都各不相同，因此我們首先要考慮這些細(xì)致的差別。下面是一個(gè)軍事組織的法規(guī)要求例表（表2）。

表2 一個(gè)軍事組織法規(guī)要求例表

常見(jiàn)的影響特性包括機(jī)密性、一致性、可用性、可記賬、不可否認(rèn)性、可授權(quán)、可審計(jì)性和訪問(wèn)控制等。

建立影響特性的定義，一般可按照對(duì)業(yè)務(wù)影響的重要性分為高、中、低或者從低到高由數(shù)字0,1,2,3,4,5分為6級(jí)來(lái)表示，其中0為最低，5為最高。最后建立被評(píng)估組織關(guān)鍵信息矩陣（Organizational Information Criticality Matrix，即OICM）。下面是某組織的關(guān)鍵信息矩陣?yán)恚ū?）。

表3 某組織的關(guān)鍵信息矩陣?yán)?/p>

2.1.3識(shí)別組織的關(guān)鍵信息系統(tǒng)

在識(shí)別組織的關(guān)鍵信息之后，下一步就是識(shí)別組織的關(guān)鍵信息系統(tǒng)。這是因?yàn)?，組織的關(guān)鍵信息總是由特定的系統(tǒng)來(lái)進(jìn)行處理、傳輸和存儲(chǔ)的。關(guān)鍵的系統(tǒng)對(duì)客戶的業(yè)務(wù)具有很大的影響。從組織的角度看，有一些系統(tǒng)需要最高的安全性，因?yàn)槿绻@些特定系統(tǒng)被泄漏或破壞就最可能給組織造成無(wú)法承受的影響。識(shí)別這些系統(tǒng)同樣也離不開(kāi)客戶的參與，因?yàn)樽盍私饪蛻粝到y(tǒng)的就是客戶本人。下面是一些常見(jiàn)的系統(tǒng)示例：人力資源系統(tǒng)、網(wǎng)絡(luò)監(jiān)控系統(tǒng)、內(nèi)部工單系統(tǒng)、客戶信息系統(tǒng)、安全和審計(jì)系統(tǒng)、財(cái)務(wù)追蹤系統(tǒng)、指揮和控制系統(tǒng)等。

確定系統(tǒng)的邊界，因?yàn)檫吔鐒澐至讼到y(tǒng)的范圍，而評(píng)估所關(guān)注的就是在物理邊界內(nèi)信息的流動(dòng)情況。物理邊界一般包括交換機(jī)端口、防火墻接口、邊界路由器、子網(wǎng)路由器接口和建筑物入口和出口等。邏輯邊界一般是根據(jù)組織內(nèi)數(shù)據(jù)流的流動(dòng)情況來(lái)劃分。

建立關(guān)鍵信息系統(tǒng)矩陣System Criticality Matrix (SCM)與建立OICM類(lèi)似，根據(jù)CIA三個(gè)屬性的丟失對(duì)系統(tǒng)的影響來(lái)建立。下面是某組織的客戶信息系統(tǒng)矩陣?yán)恚ū?）。

表4 某組織的客戶信息系統(tǒng)矩陣?yán)?/p>

在和客戶一起建立關(guān)鍵信息矩陣(OICM)時(shí)，我們主要關(guān)注的是各種類(lèi)型的數(shù)據(jù)對(duì)組織的影響，而在建立關(guān)鍵信息系統(tǒng)矩陣（SCM）時(shí)，需要進(jìn)一步考慮的是信息對(duì)系統(tǒng)的影響。

2.1.4了解組織的安全環(huán)境

了解組織的文化和安全環(huán)境不僅需要了解那些處理、存儲(chǔ)和傳輸組織關(guān)鍵信息的部件所處的房間的具體位置，還需要了解這些關(guān)鍵信息相關(guān)的操作文化和安全環(huán)境。文化環(huán)境是由工作在那個(gè)環(huán)境下的人們和他們對(duì)事情是怎樣做的和應(yīng)該怎樣做的理解和感覺(jué)組成的。組織的文化隨著環(huán)境里的人的不同而不同。

安全環(huán)境是由文檔化的對(duì)操作的要求組成，這些要求既可以是法律要求的形式，也可以是正式或非正式的安全策略。這些文檔包括策略、指南/要求、計(jì)劃、標(biāo)準(zhǔn)操作程序（Standard Operating Procedures，SOP）以及用戶文檔等。

2.1.5制定技術(shù)評(píng)估計(jì)劃

技術(shù)評(píng)估計(jì)劃（the Technical Assessment Plan ，TAP)是IAM的關(guān)鍵管理工具之一，它是預(yù)評(píng)估現(xiàn)場(chǎng)訪問(wèn)的核心輸出結(jié)果。TAP把所有在預(yù)評(píng)估階段生成的或發(fā)現(xiàn)的信息歸納匯總為下一步將要評(píng)估的內(nèi)容概要。事實(shí)上，TAP已經(jīng)成為預(yù)評(píng)估現(xiàn)場(chǎng)訪問(wèn)結(jié)束后的IAM指南，它不僅是理解被評(píng)估組織情況的一個(gè)概要，也討論了在評(píng)估過(guò)程中客戶所關(guān)注的主要行動(dòng)項(xiàng)目。

TAP文檔是被用在客戶和評(píng)估小組之間將IAM的各個(gè)方面連接在一起，對(duì)安全評(píng)估來(lái)說(shuō)是至關(guān)重要的，因?yàn)樗菨M足客戶評(píng)估需求的第一線協(xié)議。TAP描述了后續(xù)要進(jìn)行的評(píng)估過(guò)程和在評(píng)估項(xiàng)目中被評(píng)估組織和評(píng)估小組使用的工具。

TAP的格式一般包括9個(gè)部分：聯(lián)系點(diǎn)、任務(wù)、組織的關(guān)鍵信息、關(guān)鍵信息系統(tǒng)、客戶關(guān)注點(diǎn)和強(qiáng)制性要求、系統(tǒng)配置、面談、文檔和評(píng)估詳細(xì)時(shí)間點(diǎn)安排。

2.2 現(xiàn)場(chǎng)評(píng)估

預(yù)評(píng)估和現(xiàn)場(chǎng)評(píng)估的關(guān)注點(diǎn)是不同的，預(yù)評(píng)估階段關(guān)注于確定組織的業(yè)務(wù)使命、關(guān)鍵信息和關(guān)鍵系統(tǒng)，而現(xiàn)場(chǎng)評(píng)估階段則關(guān)注于搜集組織信息安全相關(guān)狀態(tài)的信息。預(yù)評(píng)估階段幫助評(píng)估小組理解客戶的業(yè)務(wù)目標(biāo)和支持這些業(yè)務(wù)目標(biāo)的基礎(chǔ)設(shè)施，這些信息對(duì)建立評(píng)估范圍和確定對(duì)業(yè)務(wù)操作的影響是至關(guān)重要的?，F(xiàn)場(chǎng)評(píng)估階段根據(jù)搜集的信息來(lái)確定組織是否達(dá)到了支持其業(yè)務(wù)目標(biāo)所要求的安全程度以及是否需要采取一些行動(dòng)來(lái)改善組織的總體安全狀況。

現(xiàn)場(chǎng)評(píng)估的工作是非常繁重的，這個(gè)階段通常會(huì)持續(xù)幾個(gè)星期。它包括面談、小組討論、研究策略、工作程序和其他信息安全相關(guān)的文檔。這也是重新回顧關(guān)鍵信息矩陣、影響屬性、影響定義和關(guān)鍵信息系統(tǒng)矩陣，從而和被評(píng)估組織達(dá)成一致意見(jiàn)的時(shí)期。

2.2.1現(xiàn)場(chǎng)評(píng)估準(zhǔn)備工作

評(píng)估小組需要對(duì)在預(yù)評(píng)估現(xiàn)場(chǎng)訪問(wèn)中搜集到的信息進(jìn)行回顧，然后確定客戶關(guān)注的區(qū)域和選擇必要的工具來(lái)進(jìn)行評(píng)估。適當(dāng)?shù)臏?zhǔn)備工作是減少下一步評(píng)估過(guò)程可能會(huì)遇到的問(wèn)題數(shù)量的最好方法。

事先的充分準(zhǔn)備對(duì)評(píng)估活動(dòng)的成功至關(guān)重要，評(píng)估小組的準(zhǔn)備工作包括申請(qǐng)和發(fā)送安全許可證、安排旅行計(jì)劃、預(yù)定旅館、安排交通工具、確定評(píng)估小組成員、與客戶協(xié)調(diào)時(shí)間表、為評(píng)估小組成員分派各自負(fù)責(zé)的現(xiàn)場(chǎng)評(píng)估工作、確定評(píng)估小組應(yīng)急替補(bǔ)人員、制定相應(yīng)的管理和技術(shù)計(jì)劃、行李打包等。

同樣，客戶也需要做一些準(zhǔn)備工作，這些工作包括為面談設(shè)定優(yōu)先級(jí)、為客戶員工和評(píng)估小組的交流安排時(shí)間表和預(yù)定會(huì)議室等。

2.2.2雙方現(xiàn)場(chǎng)溝通協(xié)調(diào)

一旦評(píng)估小組到達(dá)現(xiàn)場(chǎng)開(kāi)始現(xiàn)場(chǎng)評(píng)估后，評(píng)估小組和客戶代表需要對(duì)整個(gè)評(píng)估過(guò)程進(jìn)行溝通協(xié)調(diào)以建立和維持一個(gè)積極的工作氣氛。這些溝通協(xié)調(diào)工作從開(kāi)放式會(huì)議開(kāi)始，一直到評(píng)估小組離開(kāi)現(xiàn)場(chǎng)為止。

開(kāi)方式會(huì)議的內(nèi)容包括：介紹評(píng)估小組成員，公布他們的聯(lián) 系方式，對(duì)評(píng)估范圍做一個(gè)回顧，確定現(xiàn)場(chǎng)評(píng)估結(jié)束日期，回顧 當(dāng)前的時(shí)間計(jì)劃表，對(duì)文檔進(jìn)行回顧，以及討論一些未確定的其 他因素。

評(píng)估過(guò)程并不是一個(gè)由評(píng)估小組獨(dú)自完成的過(guò)程，客戶的參與是不可缺少的?？蛻魰?huì)希望隨時(shí)被告知在評(píng)估過(guò)程中的發(fā)現(xiàn)，同客戶經(jīng)常進(jìn)行溝通對(duì)評(píng)估的成功來(lái)說(shuō)非常重要。為了更好地進(jìn)行溝通，評(píng)估小組需要對(duì)客戶提供連續(xù)性的培訓(xùn)，這些培訓(xùn)包括正式的客戶培訓(xùn)和非正式的客戶培訓(xùn)。除了培訓(xùn)之外，評(píng)估小組還需要通過(guò)工作報(bào)告或以會(huì)議的形式隨時(shí)和客戶交換信息。

2.2.3現(xiàn)場(chǎng)評(píng)估基線信息安全分類(lèi)

NSA對(duì)現(xiàn)場(chǎng)評(píng)估需要進(jìn)行的項(xiàng)目確定了18項(xiàng)基線信息安全分類(lèi)，評(píng)估小組需要將工作集中在這些項(xiàng)目上以得到組織信息安全狀態(tài)的信息。這18項(xiàng)基線信息安全分類(lèi)可以歸納為管理、技術(shù)和操作三個(gè)方面。如表5所示。

表5 IAM 基線信息安全分類(lèi)表

IAM方法論是一個(gè)靈活的方法論，除了這些分類(lèi)外，如果需要的話，或者應(yīng)客戶的要求，可以隨時(shí)增加其他的分類(lèi)進(jìn)入現(xiàn)場(chǎng)評(píng)估。

2.3 后評(píng)估

后評(píng)估通常是最長(zhǎng)的一個(gè)階段，因?yàn)樵谶@個(gè)階段要花費(fèi)大量的時(shí)間來(lái)進(jìn)行分析和文檔工作。在很多情況下，后評(píng)估需要對(duì)發(fā)現(xiàn)的信息進(jìn)行進(jìn)一步的分析、研究和討論來(lái)和被評(píng)估組織達(dá)成一致意見(jiàn)。在前面階段的工作中，評(píng)估小組已經(jīng)搜集了客戶系統(tǒng)的信息并確定了可能的漏洞和弱點(diǎn)，現(xiàn)在需要對(duì)這些信息進(jìn)行確認(rèn)。確認(rèn)實(shí)際上就是能夠展示證物和證據(jù)來(lái)證明當(dāng)前組織實(shí)際上的信息安全狀況?？梢酝ㄟ^(guò)兩種辦法來(lái)進(jìn)行確認(rèn)工作：示范和評(píng)價(jià)。

示范就是通過(guò)觀察客戶的活動(dòng)來(lái)驗(yàn)證他們是怎樣做的，因?yàn)橛袝r(shí)通過(guò)實(shí)際觀察客戶的行為，往往就會(huì)發(fā)現(xiàn)跟通過(guò)面談得到的資料不相符。評(píng)價(jià)就是提供關(guān)于發(fā)現(xiàn)的文檔證據(jù)，這是通過(guò)用一些工具或腳本來(lái)手工檢查系統(tǒng)來(lái)實(shí)現(xiàn)的，例如常見(jiàn)的有網(wǎng)絡(luò)掃描器和口令破解工具等。

2.3.1離開(kāi)評(píng)估現(xiàn)場(chǎng)前總結(jié)會(huì)議

離開(kāi)評(píng)估現(xiàn)場(chǎng)前總結(jié)會(huì)議的主要目的是查遺補(bǔ)漏，通過(guò)會(huì)議確認(rèn)評(píng)估小組已從評(píng)估現(xiàn)場(chǎng)和客戶那里獲得評(píng)估需要的所有信息，而且已經(jīng)通知客戶所發(fā)現(xiàn)的關(guān)鍵漏洞后，評(píng)估小組才可以準(zhǔn)備離開(kāi)評(píng)估現(xiàn)場(chǎng)后回顧和整理所有的信息和文檔。

在會(huì)議中除了需要對(duì)評(píng)估計(jì)劃進(jìn)行回顧以達(dá)成一致意見(jiàn)，還要討論關(guān)鍵漏洞和評(píng)估過(guò)程以及下一步的工作安排。

2.3.2最終評(píng)估報(bào)告

完成現(xiàn)場(chǎng)評(píng)估并不意味著所有評(píng)估工作的結(jié)束，評(píng)估小組還需要付出大量的努力來(lái)確保評(píng)估對(duì)被評(píng)估組織具有最大的價(jià)值，這些努力就是通過(guò)對(duì)前期評(píng)估所獲得的大量信息進(jìn)行分析和做出最終報(bào)告來(lái)進(jìn)行的。分析和最終報(bào)告除了提供給客戶一個(gè)文檔化的評(píng)估結(jié)果，也給出了幫助客戶提升安全水平的路線圖和建議。

3 結(jié)論

隨著政府部門(mén)對(duì)信息系統(tǒng)依賴程度的日益增強(qiáng)，信息安全問(wèn)題越來(lái)越受到關(guān)注。運(yùn)用風(fēng)險(xiǎn)評(píng)估去識(shí)別信息安全風(fēng)險(xiǎn)和解決信息安全問(wèn)題已經(jīng)得到了廣泛的應(yīng)用。因此，不斷學(xué)習(xí)和借鑒其他國(guó)家的信息安全風(fēng)險(xiǎn)評(píng)估方法和技術(shù)，能夠更好地促進(jìn)我們?cè)诎踩u(píng)估領(lǐng)域的研究和發(fā)展。

綜上所述，IAM有以下幾點(diǎn)值得我們借鑒：

（1）由于政府部門(mén)與普通商業(yè)公司在業(yè)務(wù)和使命上有本質(zhì)的不同，它們對(duì)信息安全評(píng)估的具體需求特點(diǎn)也有很大的差異，而IAM是美國(guó)國(guó)家安全局專(zhuān)門(mén)為美國(guó)政府部門(mén)量身定做定制的一個(gè)信息安全評(píng)估方法論，因而更能滿足政府部門(mén)對(duì)安全評(píng)估的特殊需要并且能夠達(dá)到更好的效果；

（2）對(duì)現(xiàn)場(chǎng)評(píng)估確定了18項(xiàng)基線信息安全分類(lèi)，分管理、技術(shù)和操作三大類(lèi)對(duì)評(píng)估的具體內(nèi)容進(jìn)行了定義，避免了一些評(píng)估方法僅僅關(guān)注于評(píng)估流程和計(jì)算方法的缺點(diǎn)；

（3）對(duì)評(píng)估人員的資質(zhì)統(tǒng)一由NSA進(jìn)行背景調(diào)查、培訓(xùn)和資質(zhì)認(rèn)證工作，這樣能夠更好地加強(qiáng)對(duì)評(píng)估人員的管理，大大減少由于評(píng)估人員因素帶來(lái)的附加風(fēng)險(xiǎn)問(wèn)題。

但是也要看到，IAM并沒(méi)有對(duì)評(píng)估機(jī)構(gòu)的資質(zhì)進(jìn)行限定和管理，這一點(diǎn)既不合我們的國(guó)情，也不利于對(duì)評(píng)估人員進(jìn)行切實(shí)有效的組織和管理。

[1]National Security Agency (NSA) INFOSEC Assessment Methodology (IAM), Brad C. Johnson, 2004.

[2]Security Assessment: Case Studies for Implementing the NSA IAM，Russ Rogers，Greg Miles，Ed Fuller，Ted Dykstra，Matthew Hoagberg,2004 by Syngress Publishing, Inc.

[3]國(guó)標(biāo)《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》.