信息安全數(shù)據(jù)分析

根據(jù)卡巴斯基實(shí)驗(yàn)室安全網(wǎng)絡(luò)（KSN）收集和處理到的數(shù)據(jù), 卡巴斯基發(fā)布了《2010年第一季度信息安全威脅報(bào)告》。該報(bào)告給出了幾個(gè)有意思的數(shù)據(jù)。 首先是全球安全態(tài)勢(shì), 在全球不同國家，共計(jì)發(fā)生327,598,028次惡意程序試圖感染用戶計(jì)算機(jī)的行為，同上一季度相比，總體增長(zhǎng)26.8%, 網(wǎng)絡(luò)罪犯所采取的攻擊策略有所改變：目前，針對(duì)中國地區(qū)用戶的網(wǎng)絡(luò)攻擊同比下降了13%。

其次是哪些國家的用戶最容易遭受網(wǎng)絡(luò)攻擊的侵害, 根據(jù)卡巴斯基的報(bào)告,前三甲是中國、俄羅斯和印度，分別占18.05%、13.18%和8.52%。而一直叫嚷受到中國大陸黑客攻擊的美國只能屈居第四, 占總比的5.25%, 不到中國的三分之一。中國依然是“最易遭受網(wǎng)絡(luò)攻擊的國家”。

最后來了解一下來自互聯(lián)網(wǎng)的威脅,  卡巴斯基給出了互聯(lián)網(wǎng)上排名前十的最常見惡意軟件家族, 排名前三的分別是Iframe、Generic和Hexzone。 另一個(gè)威脅是漏洞, 在2010年第一季度，卡巴斯基實(shí)驗(yàn)室在用戶計(jì)算機(jī)上共檢測(cè)到12,111,862個(gè)未修補(bǔ)的漏洞。同上一季度相比，增長(zhǎng)了6.9%。排名前十位的漏洞中，有六種來自微軟的軟件產(chǎn)品，有九種可以被網(wǎng)絡(luò)罪犯用來獲取系統(tǒng)的安全控制權(quán)。可見, 保護(hù)計(jì)算的最好的辦法是及時(shí)安裝漏洞補(bǔ)丁。

全球信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展及現(xiàn)狀

美國人發(fā)明了計(jì)算機(jī), 并在此后一直引領(lǐng)著計(jì)算機(jī)技術(shù)發(fā)展的方向。同樣,美國最早開展計(jì)算機(jī)安全研究, 一直主導(dǎo)著信息安全技術(shù)和理論的發(fā)展。 因此, 美國在信息安全評(píng)估理論和方法上的研究, 代表該領(lǐng)域國際上的最新發(fā)展。

美國從1967年開始研究計(jì)算機(jī)安全問題, 從1967年11月至1970年2月, 美國美國國防科學(xué)委員會(huì)委托蘭德公司、邁特公司（MITIE）及其它和國防工業(yè)有關(guān)的一些公司，經(jīng)過將近兩年半的工作，主要對(duì)當(dāng)時(shí)的大型機(jī)、遠(yuǎn)程終端進(jìn)行了研究和分析，完成了第一次比較大規(guī)模的風(fēng)險(xiǎn)評(píng)估。在此基礎(chǔ)上, 經(jīng)過近10年的研究, NBS(美國國家標(biāo)準(zhǔn)局)1979年頒布了一個(gè)風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)：《自動(dòng)數(shù)據(jù)處理系統(tǒng)（ADP）風(fēng)險(xiǎn)分析標(biāo)準(zhǔn)》（FIPS 65）。

從此拉開了信息安全風(fēng)險(xiǎn)評(píng)估理論和方法研究的序幕, 包括美國80年代的彩虹系列(即橘皮書, 美國早期的一套比較完整的從理論到方法的有關(guān)信息安全評(píng)估的準(zhǔn)則, 形成于1981-1985), 1992年美國聯(lián)邦政府制定的《聯(lián)邦信息技術(shù)安全評(píng)估準(zhǔn)則》（FC）, 以及1993年發(fā)布的《信息技術(shù)安全通用評(píng)估準(zhǔn)則》, 最終演化為1999年的國際標(biāo)準(zhǔn)ISO/IEC 15408。

跨入21世紀(jì), 隨著網(wǎng)絡(luò)和信息技術(shù)的發(fā)展, 互聯(lián)網(wǎng)及其應(yīng)用高速發(fā)展,  同時(shí)國際范圍內(nèi)出現(xiàn)了大規(guī)模黑客攻擊，信息戰(zhàn)的理論逐步發(fā)展，并且美國的軍事、政治、經(jīng)濟(jì)和社會(huì)活動(dòng)對(duì)信息基礎(chǔ)設(shè)施的依賴程度達(dá)到了空前的高度， 在此環(huán)境下, 美國又開始了對(duì)信息系統(tǒng)新一輪的評(píng)估和研究，產(chǎn)生了一些新的概念、法規(guī)和標(biāo)準(zhǔn)。從2002年1月開始, NIST先發(fā)布了《IT系統(tǒng)風(fēng)險(xiǎn)管理指南》（SP 800-30）、《聯(lián)邦I(lǐng)T系統(tǒng)安全認(rèn)證和認(rèn)可指南》（SP 800-37）、《聯(lián)邦信息和信息系統(tǒng)的安全分類標(biāo)準(zhǔn)》（FIPS 199）、《聯(lián)邦I(lǐng)T系統(tǒng)最小安全控制》（SP 800-53）、《將各種信息和信息系統(tǒng)映射到安全類別的指南》（SP 800-60）等多個(gè)文檔。

雖然美國引領(lǐng)了網(wǎng)絡(luò)和信息技術(shù)的發(fā)展，但是目前影響最廣泛的 網(wǎng)絡(luò)和信息安全方面的標(biāo)準(zhǔn)ISO/IEC 17799:2005 （其前身是BS7799 Part 1， 全稱是Code of Practice for Information Security，也即為信息安全的實(shí)施細(xì)則）卻來自英國，并被大多數(shù)國家認(rèn)可和使用。目前我們常講的ISO 27001 和ISO 27002 ， 其前身分別是BS7799  part 2 和BS7799  part 1。

信息安全評(píng)估涉及到方方面面，安全標(biāo)準(zhǔn)也十分龐雜，各種評(píng)估標(biāo)準(zhǔn)的側(cè)重點(diǎn)也不一樣，比如《信息技術(shù)安全性評(píng)估準(zhǔn)則(CC) 》和《美國國防部可信計(jì)算機(jī)評(píng)估準(zhǔn)則(TCSEC) 》等更側(cè)重于對(duì)系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)的評(píng)估；《系統(tǒng)安全工程能力成熟模型(SSE-CMM) 》更側(cè)重于對(duì)安全產(chǎn)品開發(fā)、安全系統(tǒng)集成等安全工程過程的管理。ISO/IEC 17799 （也就是ISO 27001 和ISO 27002）在對(duì)信息系統(tǒng)日常安全管理方面具有無法取代的地位，因此，目前國外很多企業(yè)接受ISO 27001：2005（BS7799-2）的認(rèn)證，即信息安全管理體系認(rèn)證證書。

國內(nèi)情況比較簡(jiǎn)單，由于關(guān)于安全風(fēng)險(xiǎn)評(píng)估研究起步的較晚，目前國內(nèi)整體處于起步和借鑒階段，在安全風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)研究上還處于跟蹤國際標(biāo)準(zhǔn)的初級(jí)探索階段。國家質(zhì)量技術(shù)監(jiān)督局于2001年依據(jù)國際標(biāo)準(zhǔn)CC頒布了GB/T 18336《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則》，相關(guān)的標(biāo)準(zhǔn)還有依據(jù)美國的TCSEC及紅皮書于1999年發(fā)布的GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，以及我國專門針對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估制定標(biāo)準(zhǔn)《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB20984-2007）和《信息安全風(fēng)險(xiǎn)管理指南》。

當(dāng)前我國正在進(jìn)行的“信息系統(tǒng)安全等級(jí)保護(hù)”也是進(jìn)行信息安全評(píng)估的一種重要形式, 其重要性不亞于60年代初, 美國通過兩年半的時(shí)間進(jìn)行的第一次全美國范圍內(nèi)的大規(guī)模的風(fēng)險(xiǎn)評(píng)估。

信息系統(tǒng)安全等級(jí)保護(hù)工作在國內(nèi)的狀況, 與美國2002年頒布的《聯(lián)邦信息安全管理法案》（FISMA）有相似之處。該法案試圖通過采取適當(dāng)?shù)陌踩刂拼胧﹣肀ＷC聯(lián)邦機(jī)構(gòu)的信息系統(tǒng)安全性，是當(dāng)前美國信息安全領(lǐng)域的一個(gè)重要發(fā)展計(jì)劃。

【編輯推薦】

1. 六大網(wǎng)絡(luò)安全威脅發(fā)展趨勢(shì)
2. 網(wǎng)絡(luò)信息安全產(chǎn)業(yè)發(fā)展之網(wǎng)絡(luò)時(shí)代
3. 現(xiàn)代云計(jì)算安全企業(yè)應(yīng)更看重什么