信息安全數據分析

根據卡巴斯基實驗室安全網絡（KSN）收集和處理到的數據, 卡巴斯基發布了《2010年第一季度信息安全威脅報告》。該報告給出了幾個有意思的數據。 首先是全球安全態勢, 在全球不同國家，共計發生327,598,028次惡意程序試圖感染用戶計算機的行為，同上一季度相比，總體增長26.8%, 網絡罪犯所采取的攻擊策略有所改變：目前，針對中國地區用戶的網絡攻擊同比下降了13%。

其次是哪些國家的用戶最容易遭受網絡攻擊的侵害, 根據卡巴斯基的報告,前三甲是中國、俄羅斯和印度，分別占18.05%、13.18%和8.52%。而一直叫嚷受到中國大陸黑客攻擊的美國只能屈居第四, 占總比的5.25%, 不到中國的三分之一。中國依然是“最易遭受網絡攻擊的國家”。

最后來了解一下來自互聯網的威脅,  卡巴斯基給出了互聯網上排名前十的最常見惡意軟件家族, 排名前三的分別是Iframe、Generic和Hexzone。 另一個威脅是漏洞, 在2010年第一季度，卡巴斯基實驗室在用戶計算機上共檢測到12,111,862個未修補的漏洞。同上一季度相比，增長了6.9%。排名前十位的漏洞中，有六種來自微軟的軟件產品，有九種可以被網絡罪犯用來獲取系統的安全控制權。可見, 保護計算的最好的辦法是及時安裝漏洞補丁。

全球信息安全風險評估發展及現狀

美國人發明了計算機, 并在此后一直引領著計算機技術發展的方向。同樣,美國最早開展計算機安全研究, 一直主導著信息安全技術和理論的發展。 因此, 美國在信息安全評估理論和方法上的研究, 代表該領域國際上的最新發展。

美國從1967年開始研究計算機安全問題, 從1967年11月至1970年2月, 美國美國國防科學委員會委托蘭德公司、邁特公司（MITIE）及其它和國防工業有關的一些公司，經過將近兩年半的工作，主要對當時的大型機、遠程終端進行了研究和分析，完成了第一次比較大規模的風險評估。在此基礎上, 經過近10年的研究, NBS(美國國家標準局)1979年頒布了一個風險評估的標準：《自動數據處理系統（ADP）風險分析標準》（FIPS 65）。

從此拉開了信息安全風險評估理論和方法研究的序幕, 包括美國80年代的彩虹系列(即橘皮書, 美國早期的一套比較完整的從理論到方法的有關信息安全評估的準則, 形成于1981-1985), 1992年美國聯邦政府制定的《聯邦信息技術安全評估準則》（FC）, 以及1993年發布的《信息技術安全通用評估準則》, 最終演化為1999年的國際標準ISO/IEC 15408。

跨入21世紀, 隨著網絡和信息技術的發展, 互聯網及其應用高速發展,  同時國際范圍內出現了大規模黑客攻擊，信息戰的理論逐步發展，并且美國的軍事、政治、經濟和社會活動對信息基礎設施的依賴程度達到了空前的高度， 在此環境下, 美國又開始了對信息系統新一輪的評估和研究，產生了一些新的概念、法規和標準。從2002年1月開始, NIST先發布了《IT系統風險管理指南》（SP 800-30）、《聯邦IT系統安全認證和認可指南》（SP 800-37）、《聯邦信息和信息系統的安全分類標準》（FIPS 199）、《聯邦IT系統最小安全控制》（SP 800-53）、《將各種信息和信息系統映射到安全類別的指南》（SP 800-60）等多個文檔。

雖然美國引領了網絡和信息技術的發展，但是目前影響最廣泛的 網絡和信息安全方面的標準ISO/IEC 17799:2005 （其前身是BS7799 Part 1， 全稱是Code of Practice for Information Security，也即為信息安全的實施細則）卻來自英國，并被大多數國家認可和使用。目前我們常講的ISO 27001 和ISO 27002 ， 其前身分別是BS7799  part 2 和BS7799  part 1。

信息安全評估涉及到方方面面，安全標準也十分龐雜，各種評估標準的側重點也不一樣，比如《信息技術安全性評估準則(CC) 》和《美國國防部可信計算機評估準則(TCSEC) 》等更側重于對系統和產品的技術指標的評估；《系統安全工程能力成熟模型(SSE-CMM) 》更側重于對安全產品開發、安全系統集成等安全工程過程的管理。ISO/IEC 17799 （也就是ISO 27001 和ISO 27002）在對信息系統日常安全管理方面具有無法取代的地位，因此，目前國外很多企業接受ISO 27001：2005（BS7799-2）的認證，即信息安全管理體系認證證書。

國內情況比較簡單，由于關于安全風險評估研究起步的較晚，目前國內整體處于起步和借鑒階段，在安全風險評估的標準研究上還處于跟蹤國際標準的初級探索階段。國家質量技術監督局于2001年依據國際標準CC頒布了GB/T 18336《信息技術 安全技術 信息技術安全性評估準則》，相關的標準還有依據美國的TCSEC及紅皮書于1999年發布的GB17859《計算機信息系統安全保護等級劃分準則》，以及我國專門針對信息系統安全風險評估制定標準《信息安全技術 信息安全風險評估規范》（GB20984-2007）和《信息安全風險管理指南》。

當前我國正在進行的“信息系統安全等級保護”也是進行信息安全評估的一種重要形式, 其重要性不亞于60年代初, 美國通過兩年半的時間進行的第一次全美國范圍內的大規模的風險評估。

信息系統安全等級保護工作在國內的狀況, 與美國2002年頒布的《聯邦信息安全管理法案》（FISMA）有相似之處。該法案試圖通過采取適當的安全控制措施來保證聯邦機構的信息系統安全性，是當前美國信息安全領域的一個重要發展計劃。

【編輯推薦】

1. 六大網絡安全威脅發展趨勢
2. 網絡信息安全產業發展之網絡時代
3. 現代云計算安全企業應更看重什么