从美国联邦信息系统安全防护政策看我国信息系统安全风险评估

从美国联邦信息系统安全防护政策看我国信息系统安全风险评估出处：测评中心

测评中心

时间：2006-03-11

江常青张利王贵驷彭勇邹琪信息化的发展，信息安全问题越来越重要。本文首先介绍了信息系统安全风险评估的概念及其意义，然后分析了美国联邦信息系统安全防护的政策和措施，最后根据我国信息化建设及管理的现状，对我国信息系统安全评估框架以及风险评估的作用进行了探讨。信息化是世界科学技术和社会发展的大趋势，是我国紧紧抓住并牢牢把握重要战略机遇期，积极应对日趋激烈的世界综合国力竞争的必然选择，也是全面建设小康社会、加快推进社会主义现代化的重大战略举措，必须毫不动摇地大力推进。随着国民经济和社会信息化进程的全面加快，国民经济和社会对信息和信息系统的依赖性越来越大，由此而产生的信息安全问题对国家安全的影响日益增加、日益突出，国家安全面临着新的挑战，对此必须高度重视，必须有充分的对策。党中央、国务院一贯高度重视信息安全问题，做出了一系列重要决策或部署。中央领导同志多次就加强信息安全保障工作做出重要指示。胡锦涛总书记要求“把信息安全放到至关重要的位置上，认真加以考虑和解决”。强调要从国家安全、社会稳定、经济发展的高度去认识信息安全问题的极端重要性。正是在此背景下，2003年7月召开的国家信息化领导小组第三次会议上，讨论了《关于加强信息安全保障工作的意见》。2003年9月，中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（简称27号文）。27号文在分析了我国当前信息安全保障工作的基本状况的基础上，为进一步提高信息安全保障工作的能力和水平，维护公众利益和国家安全，促进信息化建设健康发展，提出了加强信息安全保障工作的总体要求和主要原则并对下一步信息安全保障工作做了全面部署。其中信息安全风险评估是信息安全保障的重要基础性工作之一。27号文的发布，在社会各界引起了不同程度的反响，掀起了有关信息安全风险评估国家政策和标准规范制定、信息安全风险评估理论和方法研究以及信息安全风险评估技术与工具开发的热潮。本文首先介绍了信息系统安全风险评估的概念及其意义，然后分析了美国联邦信息系统安全防护的政策和措施，最后根据我国信息化建设及管理的现状，对我国信息系统安全评估框架以及风险评估的作用进行了探讨。一、信息系统安全风险评估的概念风险管理是管理者权衡保护措施的运行和经济成本与获得的收益之间关系的一个过程。这个过程并不是IT行业所独有的，实际上它遍及我们日常生活中需要做出决定的任何事情。进行风险管理的最终目的就是要在这种平衡关系下，将风险最小化，这也是在信息系统生命周期过程中需要实施信息安全风险管理的根本原因。所有与安全性相关的活动都是信息安全风险管理的组成部分。可以说，信息安全风险管理贯穿于系统生命周期的整个过程，即初始阶段、开发/获取阶段、实施阶段、运行/维护阶段。信息系统安全风险评估则是对系统进行信息安全风险管理的基础，也就是系统的使用单位或组织判定在系统的整个生命周期中有关风险级别的过程。这个过程的结果是残留风险和这个风险是否达到可接受水平的一个明确界定，或者是一个是否应当实施额外的安全控制以进一步降低风险的结论。安全风险定义为有害事件发生的可能性和该事件可能对组织的使命所产生影响的函数。为了确定这种可能性，需要对系统的威胁以及由此表现出来的脆弱性进行分析。影响则是按照系统在单位任务实施中的重要程度来确定的。具体的方法由图1给出。二、美国联邦信息系统安全防护政策及措施自9.11事件以来，美国政府高度重视信息安全问题。于2002年通过的《联邦信息安全管理法案》（FISMA)规定必须对联邦政府信息系统进行安全评估并备案，为美国政府机构信息系统改善信息安全问题设定了目标，也被称作美国电子政务法案。FISMA为美国联邦政府信息安全设定了目标，却没有规定如何实现这些目标。为此，美国国家技术与标准局（NIST）负责为实现这些目标制定最低的安全要求，NIST因此专门启动了信息系统安全认证认可计划，该计划近期已更名为信息系统安全计划。该计划分为两个阶段，在第一阶段将制定如下的标准和指南：联邦信息和信息系统的分类；联邦信息系统选择和规定安全控制；验证联邦信息系统安全控制的有效性；在第二阶段，将在美国国内建立一个国家级的，由经过认可的机构组成的网络，使这些机构能基于NIST的标准和指南为联邦政府提供经济高效的、高质量的安全评估服务。为此，NIST定义了总体的信息系统安全框架图，如图2所示：从图中可见，新建或再建的信息系统必须实施定期的风险评估(SP800-30)，以分析信息系统面临的威胁、信息系统存在的脆弱性，信息系统可能遇到的安全事件损失及由此导致的风险；同时，风险评估将为信息系统确定其安全需求；随后，应根据风险评估中确定的信息系统在机密性、完整性和可用性方面存在的风险，确定信息系统的安全类别和等级(FIPS199)；针对信息系统的安全类别和等级，将为其选择有效的安全控制(SP800-53)，以实现合适的安全等级(SP800-60)；上述过程确定的安全需求、安全控制均将列入信息系统的安全计划(SP800-18)并得到实施(SP800-53)。此后，应定期通过安全测试和评估来衡量信息系统中安全控制的有效性，即信息系统安全认证工作(SP800-37)；最终，基于安全控制的有效性和残余风险值，由联邦机构的高级官员决定是否授权信息系统投入运行，即信息系统的安全认可工作(SP800-37)。而且由于信息技术的发展、业务需求的变革，外部环境的变化均可能使信息系统的安全态势发生改变，因此上述过程是动态的，且需定期重复。从上可见，美国联邦政府信息系统的安全工作是在整个信息系统的生命周期中进行的，而整个安全工作的关键则是信息系统安全认证与认可(它包含了信息系统安全评估工作)，它是整个信息系统安全工作的关键控制点。织三、我汁国信息系统炒安全风险评液估工作的思呜考堡撑2004年膀1月9日庸，黄菊关于昆“全面加强占信息安全保欺障工作，促惧进信息化健率康发展”的魔讲话中，对咏我国的信息油安全风险评趟估工作做了反很好的定位巡：“抓紧补研究制定基盒础信息网络羊和重要信息钳系统风险评幼估的管理规谱范，并组织标力量提供技罩术支持。根准据风险评估圾结果，进行番相应等级的乖安全建设和片管理，特别曾是对涉及国锦家机密的荣信息系统，浙要按照党和积国家有关保货密规定进行抵保护。对涉守及国计民生莫的重要信息救系统，要进梁行必要的信拦息安全检查慰”。对我国俘信息系统安姑全风险评估若工作（特卵别是政府部定门信息系统谈安全风险评侵估工作）的臭部署，要参难照黄菊讲话桌的精神进行密。而且信息序系统安全风至险评估应当括结合整个信至息系统的安灰全评估体系狭来考虑。肆信息系垒统安全评估薄和信息安全荐保障一样是症个复杂的问穷题，其复杂絮性不仅来源存于信息系统恶安全本身，属更来源于安犁全评估中涉尿及的角色、胸责任、行政逆管理及流扒程问题。懒目前，灿信息系统安醒全评估类型耗大致有以下袋几种：宏*安全近风险评估申*安全光检查南*系统忧安全保障等纪级评估驾*安全库认证和认可晚3.1肥安全风险评残估毯安全风践险评估是应民用比较广泛倾的一种安全窄评估方法，胜是系统风险终管理的前期屯活动。根据辉风险评估实扶施方的不同做分为自评估去和他评估服驱务两类。自培评估是信挂息系统所有手者对自己系症统所进行的坐安全风险评两估，而他评务估是包括第潮二方商业机双构或第三方途中立机构所陪提供的安全遮风险服务。事该方法采用微定性或定量依的方法对信障息系统存蚕在的安全风仙险进行分析苦和度量，不物过该方法得昂出结果-风湾险值的高低躺并不直接等描同于系统安粗全程度的高低低，而且风推险分析方法茎及活动还依亭赖于经验数馒据和评估人谨员或专家金的实际经验遍。虽然安全规风险评估的琴方法学还有盐很多问题没屡有定论，但或安全风险评拆估作为评估病系统安全的恢一种基本方德法已被广为阅接受，其它绳几种信息系悲统安全评典估，如信息蜘系统保障等论级安全评估越和认证认可诵，均用到了船安全风险评发估的思想，冬将安全风险撇评估作为评舰估工作的一荐个重要环节个，并把是否锯实施过安全衡风险评估视辱为评估系歇统安全时的病一项必要指遮标。贝由于自魄评估是自我膊的安全评价帖，因此在涉岗及到一些重痛大问题时，统其客观性、青有效性和公继正性也难以金保证。而第凳二方的安全照风险评估则握大多只适用罩于商业性租系统，对于层涉及国家机欠密、国家国吗计民生及重姜要基础设施竞等关键信息兰系统特别是攀大信息系统按，则不适宜杨采用第二方说商业性质的零安全风险评况估。第三方晚的安全风险静评估，由赠于其中立性歇，公正、公那平、科学、漫客观，而且搁通常具有政材府背景和权鸡威性，因此伞其应用范围贼最为广阔。务3.2概安全检查顾安全检识查是信息系香统的上级主呜管部门或国玉家相关的职蠢能部门对其虎所进行的一梅种带有行政督管理性质的架安全监督和家检查，偏重角于安全管理背方面，最终弯也对检查谁对象安全状以况给出相应阴的评判。通咬常这些系统蝇是涉及国家敲信息安全秘凡密的信息系伐统或是涉及范国计民生的稀重要信息系里统。债3.3巷系统安全保劣障等级评估糊系统安邻全保障等级统评估是由一爷个具有权威施性的、独立迟的的第三方葱机构来进行肆，该机构具瓜有评估能力窃的专门技术残部门或专业廊实验室来进都行。此评估域方法是在叉某个时间点没对系统此刻食安全状态的使评估；评估迎时间点选择汪有两类，一呀、系统建设征完成并即将扎投入运行时意。此时的评仓估结果将作暑为安全认证汪、行政许可危的依据和前叙提，系统展所有者的主吸管机构然后炕基于安全认乎证和行政许猛可的结果批愉准系统投入拥运行；二、鞭系统运行阶锻段。在系统状运行阶段应唱要求进行强室制性定期再痰评估（例如君每一年或两忍年一次）哗或系统发生碰重大变更时珠的再评估。内系统安全保拣障等级评估镰包括对信息水系统安全的感技术和非技推术环节的安杏全评估，并巴最终给出信锄息系统安全破保障能力的姻等级和系甩统安全当前遗状态的评价凡。它是信息拖系统进行安渔全认证与认狗可的前期工缘作。它综合撤了当前信息晕安全领域关迈于安全技术敏、安全管理枪及安全工程辛过程等方面穿的最新国际否标准进行蝴，是一种非疮常全面、深附入、细致的灯安全评估。乱该方式兼安全评估的愿适用范围较忘广，既能服样务于一般的奥商业性信息揪系统，也能惧服务于涉及曲国家机密、钟国家重要基败础设施等关第键信息系统应特别是大信邪息系统中拨。衫3.4谨安全认证与贯认可告安全认赛证与认可是侮以系统安全款保障等级评宿估为依据和湿基础的，它惑由一个具有辽权威性的、雨独立的、公落正公平的第朵三方认证来毯对信息系统膝进行安全认蓄证，并由惨信息系统的倚主管机构方感来对该认证差结果进行认级可的一个安旨全评估方式伶。安全认证罪与认可的目慕的是批准确帽保符合安全馒要求的信息愚系统投入正喝式运行，其师结论有3种润：全认可颤（允许系统团投入运行）遭、临时认可沸（允许系统祸有条件地暂苗时投入运行蛾）、拒绝认狂可（不允许擦系统投入运饱行）。因此涂，安全认证耻与认可通常罢是针对安全熔等级较高的忠涉及国计传民生或政府休机构的关键阿信息系统所常进行。灿综上可柜见，以上这焦几种信息安桂全评估类型染主要的区分蝶方式在于其星评估方的不刮同，安全风孤险自评估是学信息系统所星有者自己进朗行的评估，痒安全检查是舱信息系统嘴所有者上级阿主观部门对似其进行的评寺估，第二方毅所进行安全味风险评估则窃是第二方商涉业服务机构制提供的安全淡评估服务，晌而系统安全雄保障等级评尝估和安全认共证与认可是涂由客观公式正公平科学零的第三方所革进行的评估沫；从这几种厕评估的关系尺来看，安全拾风险评估通贤常是系统安花全保障等级艰评估的基础滨和必要条件言，而系统安串全保