微软公司大中华区首席安全官艾力克曾说过企业的信息安全问题不可能一劳永逸，它是一个动态的过程。信息技术的高速发展，改变了人们 的日常工作和生活方式，信息的重要性也被广泛接受并已成为组织特别关心的重要资产。因为组织对其信息系统不断增长的依赖性，使得信息 安全成为组织管理越来越关注的一部分。以前，人们对于信息安全的认识主要侧重在技术措施的开发和利用上，之所以存在这样的认识，有产 品提供商和客户两方面的原因。从安全产品提供商的角度来说，因为侧重于产品销售，所以自始至终向客户灌输的都是以技术和产品为核心的 理念;而从客户角度来看，只有产品是有形和具体的，更容易做出投资决策。
　　自20 世纪90年代后期，在IT应用程度最高的金融和电信等行业明显地体会到越来越多的信息安全问题，仅仅依靠产品和技术是根本无法解决 的。统计数字表明，这个时期企业70%的信息安全事件产生的原因并不是来自外界的病毒和黑客，而是来自内部的未授权访问，而解决这些问题 的主要出路要依靠管理冈。我们需要通过信息安全管理所提供的管理程序、技术和保证措施，使商业管理者确信商业交易的可信性;确保信息技 术服务的可用性，能适当地抵抗不正当操作、蓄意攻击或者自然灾害，并从这些故障中恢复;确保拒绝没有经过授权地访问重要的机密信息。因 此，信息安全并不是技术过程，而是管理过程。
　　1信息安全管理标准
　　在IS0 9000标准中，信息的定义是“有意义的数据”;在IS017799中，信息的含义更确切、更具体: “信息是一种资产，像其他重要的商务资产一样，对组织具有价值，因此需要妥善保护。”信息安全就是使信息避免一系列威胁，保障商务的连续性，最大限度地减少商务损失，最大限度地获取投资和商务投人的回报。
　　如今国际上通用的信息安全标准是英国的BS7799标准，该标准是应英国的工业、政府和商业共同需求而开发出来的一个标准，目的是为了确保公司发展，实施和估量有效的安全管理并为公司贸易内部提供信心。由于该标准适用于各种类型的组织，公共的或私人的部门和任何商业环境，因此该标准的第一部分即《信息安全管理体系实施规则》在2000年12月，经过国际标准化组织的修订改版成IS017799标准，该标准包括商务连续性计划、系统访问控制、系统开发和维护、物理和环境安全、符合性、人员安全、组织安全、计算机和网络管理、资产分类和控制以及安全方针10个大项，在这10个大项下面，又细分为36个管理目标，127个管理措施，500多个管理要点. BS7799的第二部分内容即《信息安全 管理体系规范》于2005年10月正式改版成IS027001国际标准，用于组织的信息安全管理体系的建立，保障组织的信息安全，采用PDCA过程方法 ，基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理阀。其它的几个重要的信息安全标准，如ISO/IECTR 13335系列、 SSE-CMM, ITIL和BS15000, CC,CoBIT, NIST SP800也有它们各自的应用。
　　2 信息安全管理标准的实施
　　在具体实施信息安全管理标准时，首先需要一个切实可行的计划以及管理高层的支持，并要求组织内的所有员工对所实施的管理标准有一定 的了解。例如:当第一次实施信息安全管理标准时，需要将管理标准印刷多份并分发给参与实施的每一个人员，所有人员需仔细阅读标准，并通过召开例会学习标准的总体内容，从而进行安全意识训练。然后管理高层做出决定实施方案，但实际实施的职责将落在实施经理的身上，如信息中心主任。理想的情况是，实施信息安全管理标准时应由见多识广的管理高层来决定，他们的支持须贯穿于整个实施管理标准的长期过程中 。
　　满足了以上实施条件后，就可以借助一些比较成熟的信息安全管理软件对组织进行风险评估了。由于信息安全管理标准是抽象的，因此在实 施过程中需要选用那些已经对其进行充分量化的信息安全管理软件，通过这些软件，组织可以尽早的发现其内部的信息安全管理中所存在的薄 弱点和威胁，并制定出决策方案使其损失降至最低。下面将选用国外较常用的ASSET, COBRA和Callio Secura 17799这3款软件来具体说明如何 实施信息安全管理标准。
　　3信息安全管理软件
　　3.1 ASSET
　　ASSET(Automated Security Self-EvaluatioTool)是美国国家标准技术协会(National Institute ofStandard and Technology, NIST)发布的 一个可用来进行安全风险自我评估的自动化工具，它采用典型的基于知识的分析方法，利用问卷方式来评估系统安全现状与NIST SP 800-26指 南之间的差距。NIST SpecialPublication 800-26，即信息技术系统安全自我评估指南(Security Self-Assessment Guide for Information Technology Systems)，为组织进行IT系统风险评估提供了众多控制目标和建议技术。
　　该软件是实验系统，可以从其网站上免费下载到，但是该软件在安装过程中无法改变其安装目录，只允许存放在系统的C:Program Files目录下，安装过程中会在该目录下新建名为NISTASSET的文件夹，从而把安装文件全部存放在该文件夹下。该软件运行平台是Windows 2000专业版 ，需要在本机上安装」RE(Java Runtime Environment)和MSDE(MicrosoftData Engine)。成功安装后，我们可以发现ASSET由ASSET-System和 ASSET-Manager两部分基于主机的应用程序组成，其中ASSET-System是为了便于收集个人系统资料的，它报告能力有限，允许用户在操作过程中 决定个人系统评估的进度;而ASSET-Manager把由人SSET-System所生成的个人系统评估进行汇总，它可以帮助管理者形成基于IT系统安全的全局 观。这两个应用程序拥有各自独立的数据库，使用过程中不会出现互相干扰情况。
　　用户只需填上自己的姓名和Email即可登录ASSET，在使用该软件过程中，ASSET会每隔3分钟进行自动备份到文件中以防应用程序被误关闭从 而使之前的工作前功尽弃。当用户创建新的自我评估问卷表时，我们可以看到ASSET由评估识别、系统识别、策略、评估问题和报告5个部分组 成。在评估识别部分中，主要是识别评估用户的一些基本信息，其中可以实现添加、修改以及删除用户的功能;在系统识别部分，用户通过手工 操作添加系统的一些基本信息，其中包括本地系统以及内联系统的系统名称、编号、类型、代理部门组、评估开始时间以及信息安全所要求的 信息保密性、完整性和可用性的级别等;在策略部分中，列举了NIST SP 800-26安全标准中的17项控制目标，用户可以根据实际情况进行多项选 择;在评估问题部分中，主要是针对策略部分中用户所选择的策略部分中细化各个问题，由用户对各个评估问题进行作答;在报告部分中，根据 NIST安全性自我评估向导，将安全级别分为五级:一般、策略、实施、测试、检验。该软件的每个调查问题都相当于一个命题，陈述了为了确保 系统的安全性应该做到的相关事项，用户对于问题的回答就是选择系统对于此项命题的安全程度为上述5级中的哪些级别。最后通过统计在某一 级别上问题命题和级别选定，来统计系统的安全措施达到的安全级别。
　　综上所述 ，ASSET的主要功能是进行信息系统安全性的自我评估，采用形式是通过用户手动操作进行的，从而达到收集系统安全性相关信息 的目的，最终生成安全性自我评估报告。可是最终生成的报告只能达到与用户提供的信息同级的准确性，并不能引导分析或验证自评估提供信 息的关联性和准确性。在使用ASSET过程中，还需要一些专业的计算机知识，首先运行ASSET之前需关闭MSDE的网络连接;其次该软件运行时需要 有MSDE和JRE的环境，因此具有它们相关的所有的弱点;最后，由于该软件的登录口令采用用户名和Email形式，任何人都可以使用该软件对系统 进行安全性的自我评估，这就有可能泄露企业或组织的风险。因此，为了尽可能的减少上述所说的风险，在完成组织自我评估后应即时卸载该 软件。
　　3.2 COBRA
　　COBRA (Consultative， Objectivea nd Bi-functionalRiskA nalysis)是英国的C&A系统安全公司推出的一套风险分析工具软件，它通过问 卷的方式来采集和分析资料，并对组织的风险进行定性分析，最终的评估报告中包含已识别风险的水平和推荐措施。该软 件 的 安装如其它商 业软件类似，由2部分组成:COBRA基础系统和独立的知识模块，其中知识模块包括:安全风险知识模块、可操作风险知识模块、Quick Risk或 High Level知识模块、E-Structure或Network知识模块以及IS017799知识模块。
　　在安装完成后，我们可以发现COBRA由风险顾问(Risk Consultant)和ISO遵从分析者(ISO ComplianceAnalyst)两个初选项组成，用户可以针对不同的评估目的予以选择。COBRA中的风险顾间可以识别出系统的威胁和薄弱点;测出给定系统的某一方面实际的风险危害程度以及直接把它和潜在的商业影响相联系;提供详细的解救方案和用来降低所检测出的风险的建议;提供技术报告。针对各个公司的信息安全需求是不一样的，风险顾问会从知识库模块中动态的生成一组问题或根据需要重新创建模块来适合不同公司的需求。ISO遵从分析者可以将组织的安全现状与ISO 17799标准相比较，从中找出差距，提出弥补措施。
　　COBRA 风险评估过程包括:问题表构建、风险评估(回答问题表)、产生报告(根据问题的回答进行风险分析评估)。每部分分别由问题表构建、 风险评估、报告生成3个子系统完成。其中问题表构建子系统是通过知识库模块构建问题表，采用手动或自动方式从各个模块中选择所需的问题 ，构建针对具体组织进行评估的问题表，同时系统提供了动态问题表构建的功能，即用户可以在回答问题表的同时增删问题表模块。风险评估 子系统通过完成问题表实现整个风险评估过程。问题表的不同模块可以由系统的不同使用者共同完成，各个模块可以不同时完成，但是评估
　　结果是在全部问题表答案的基础上形成的。问题的答案有多种形式:单选、多选、文本答案、数字形式答案等。问题还分为多个级别，所有问题 的答案都将形成统一的格式，用于评估。对于构建问题表时用户不想回答的问题，COBRA提供记事本记录跳过的问题，最后生成报告时进行说明 ，同时在评估同时可以动态加人问题表。报告生成子系统是通过问题表的回答生成报告，报告包括建议采取的安全措施、解决方案建议、对于 系统相关的每类风险进行分析排序、对于风险给系统带来的影响分析、风险与系统潜在影响的联系分析。
　　在使用 COBRA该软件中，用户可以方便地进行自分析，而不须详细的安全知识或专家鉴定，从而可以为公司节约雇用相关专家用来恢复系统 所花费的高额成本。它拥有丰富的图表统计功能、报表直接输出为MS-Word形式、支持窗口操作系统;知识库进行了升级，而且可以标明系统面 临的威胁、存在的脆弱性、缺陷;同时衡量系统各方面的风险等级、并指明风险等级对系统作业带来的直接影响;为降低风险推荐防护措施和建 议;生成详尽的报告。同时，该软件提供了系统与ISO17799/BS7799的符合程度的衡量功能，由于ISO17799/BS7799本身要求系统进行风险分析和 管理，因此该软件实际上提供了对于ISO17799/BS7799的满足程度的衡量和风险管理两类功能。
　　3.3 Callio Secura 17799
　　Ca llio 创立于2001年，是专门从事计算机安全领域的机构，是直接针对BS7799-2/1SO27001认证而提供的一款基于Web的工具，除了帮助企业 实施定性的风险评估之外，在策略文件建立和信息安全管理体系(ISMS, InformationS ecurityM anagement System)认证方面都有一定的利用 价值。该软件提供有形与无形的资产范例以协助您辨识有价值的资产，并依据其类别加以分类，还依据不同资产类别提供威胁与弱点列表。 Callio Secura 17799提供用户在建置信息安全管理框架方面的指引，含每一个IS017799控制的建置指引，解释与建议，同时提供超过100则
　　包含范例、策略计划、模板表格等文件，协助用户建置标准。
　　该软件是基于B/S架构的，用户需要将其安装在本企业的服务器上，服务器端需安装WindowsNT/2000/XP/2003操作系统、MySQL数据库以及 Apache。使用时客户端的用户需要拥有合法口令才可登录，成功登录后可以看到该软件由方法论(Methodology)、信息安全管理(Information  SecurityManagement)、工具(Tools)、管理(Administration)和什么是新的(What' s New?) 5个子系统组成。
　　使用该软件进行风险评估前，首先需要定义信息安全管理系统(Information Security Management Systern,ISMS)范围，因为定义信息安全 管理框架的范围与边界对项目执行极为重要，一个组织依其部门、信息系统或项目计划可能需要独立的信息安全管理，从而可能就会需要不只 一个ISMS。其次，项目领导人须规定资产鉴别与风险评估的标准，可用定性值如低、中、高，再赋予相对数值如1, 2, 3。用户须完成初期诊断 的127个问题以对现行的管理框架有一初步的判断。这些诊断问题是依据IS017799标准要求的控制、过程与程序发展的。在提交答案的同时可以
　　由每个问题的提示，进一步了解IS017799标准要求的解释。在初期诊断过程中辨识现行的保护措施，验证哪些控制已完全实行，哪些控制实施 完成，哪些部分实施，哪些是不适用的控制或不存在现行ISMS中。完成初期诊断后，需要对资产进行盘点，即辨识组织的重要及敏感性信息并 加以分级，其中分级可以决定信息重要程度(如:机密，内部使用，公开等)，辨识用以加值处理、整理、打印、储存或传输上述信息的有形资产 。接着就要进行资产评价，其步骤如下:首先要做的是规定标准(如:1一极低，2一低，3-中，4一高，5一极高);其次，针对每个资产评价其损
　　失机密性、完整性或可用性所造成的损害或违反的法规程度。采用用户在项目管理模块定义的标准尺度，最后再以稽核目的解释用户的判断基 础。该软件针对每个评估的资产识别出其弱点、威胁与法规及业务要求清单，并依资产类别建议考察项目。最后要做的是针对每个资产评估威 胁利用薄弱点发生的机率进行风险的计算和评价，从而决定出特定威胁对资产的哪个安全基准(机密性(C)、完整性(I)、可用性(A),法规(L))造 成损害。在完成风险评估后，该软件会依据用户所评估的结果提出相对应的风险处理的一些方法，包括行政管理方面、技术方面以及实体方面的控制。
　　该软件提供了稽核功能可以帮助用户判别所建立的ISMS是否符合BS7799-2标准，并采用了文件管理模式，将所有的文件档案存于服务器数据库中，从而可以分配不同的工作组不同的目录存取权限，提高了数据的安全性。该软件同时提供了ISMS说明(目标与范围)、IS017799遵循诊断报告、资产清单及重要信息、风险分析报告、风险处理计划大纲、适用声明书和定制的安全政策7个报表，而这7个报表正是IS017799BS7799-2标准要求的必要报表，生成的报表可以在线屏幕显示、打印或自动汇出至文件管理模块以备后续修订或审核管理。
　　3.4 软件比较

　　表1从发行公司、运行平台、功能及依据的安全标准等4个外部特征方面，对上述3种软件的基本情况进行了简要比较:
　　从表1可以看出，ASSET和COBRA是基于C/S架构的，而CALLIO是基于B/S架构的，3者均运行于Windows操作系统。ASSET基于的标准是美国的
　　NIST SP 800-26国家标准，COBRA和CALLIO是基于BS7799系列的国际标准，因此通用性更强。运行ASSET需要安装MSDE和JRE，登录时只需输人用
　　户名和Email即可，而登录COBRA和CALLIO需要有合法的用户名和密码，前者安全性较低。

　　表 2 对 比了3个软件在具体功能及实现细节方面的差异。ASSET是基于SQL Server 7.0的，而且其ASSET-Manager和ASSET-System两个应用程序的数据库是彼此独立的;COBRA所使用的数据库是软件安装时自动创建的，放在其知识模块所在的目录下;CALLIO则需要在服务器端安装MySQL以及ApacheoASSET和CALLIO的知识模块无法更改，用户只可以按步骤进行回答知识模块中所罗列的问卷表，而COBRA提供了记事本记录所不想回答的问题的功能并在最终生成的报告中反应出来，同时它也提供了在回答问卷表时根据需要增删模块以满足具体的需要。ASSET生成的报告只能达到与用户提供的信息同级的准确性，并不能引导分析或验证自评估提供信息的关联性和准确性;COBRA分析了所评估对象的风险分析并提供了具体的安全措施和解决方案;而CALLIO所生成的报告则是完全符合IS027001标准，给管理者提供了较好的管理方案。
　　4 结论
　　综上可知 ，这3种软件都是现今比较常用的信息安全管理软件，可以满足大部分企业对信息安全管理的需要。COBRA的安装和其他商业软件类似，用户操作起来比较方便，而ASSET和CALLIO则需要有一定计算机基础的人员才可以安装。
　　三者最大的区别在于，ASSET依据的是美国的KIST SP 800-26标准，用户群相对较少，而COBRA和CALLIO依据的是S7799/IS017799/IS027001系列标准，用户群相对较多，产品也比较成熟。相比其他两种软件，CALLIO对IS017799中信息安全管理的127个控制目标列举得比较充分，可以方便企业全面评估本企业信息安全管理，为信息安全管理软件的开发提供了一个标准模版，也符合了“三分技术，七分管理”的信息安全指导原则，相对较优。用户可以根据自己的需要，选择适合自己的软件。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。