從美國聯邦信息系統(tǒng)安全防護政策看我國信息系統(tǒng)安全風險評估工作

    信息化是世界科學技術和社會發(fā)展的大趨勢，是我國緊緊抓住并牢牢把握重要戰(zhàn)略機遇期，積極應對日趨激烈的世界綜合國力競爭的必然選擇，也是全面建設小康社會、加快推進社會主義現代化的重大戰(zhàn)略舉措，必須毫不動搖地大力推進。隨著國民經濟和社會信息化進程的全面加快，國民經濟和社會對信息和信息系統(tǒng)的依賴性越來越大，由此而產生的信息安全問題對國家安全的影響日益增加、日益突出，國家安全面臨著新的挑戰(zhàn)，對此必須高度重視，必須有充分的對策。黨中央、國務院一貫高度重視信息安全問題，做出了一系列重要決策或部署。中央領導同志多次就加強信息安全保障工作做出重要指示。胡錦濤總書記要求“把信息安全放到至關重要的位置上，認真加以考慮和解決”。強調要從國家安全、社會穩(wěn)定、經濟發(fā)展的高度去認識信息安全問題的極端重要性。
   
    正是在此背景下，2003年7月召開的國家信息化領導小組第三次會議上，討論了《關于加強信息安全保障工作的意見》。2003年9月，中共中央辦公廳、國務院辦公廳轉發(fā)《國家信息化領導小組關于加強信息安全保障工作的意見》（簡稱27號文）。27號文在分析了我國當前信息安全保障工作的基本狀況的基礎上，為進一步提高信息安全保障工作的能力和水平，維護公眾利益和國家安全，促進信息化建設健康發(fā)展，提出了加強信息安全保障工作的總體要求和主要原則并對下一步信息安全保障工作做了全面部署。其中信息安全風險評估是信息安全保障的重要基礎性工作之一。27號文的發(fā)布，在社會各界引起了不同程度的反響，掀起了有關信息安全風險評估國家政策和標準規(guī)范制定、信息安全風險評估理論和方法研究以及信息安全風險評估技術與工具開發(fā)的熱潮。
   
    本文首先介紹了信息系統(tǒng)安全風險評估的概念及其意義，然后分析了美國聯邦信息系統(tǒng)安全防護的政策和措施，最后根據我國信息化建設及管理的現狀，對我國信息系統(tǒng)安全評估框架以及風險評估的作用進行了探討。
   
    一、信息系統(tǒng)安全風險評估的概念
   
    風險管理是管理者權衡保護措施的運行和經濟成本與獲得的收益之間關系的一個過程。這個過程并不是IT行業(yè)所獨有的，實際上它遍及我們日常生活中需要做出決定的任何事情。進行風險管理的最終目的就是要在這種平衡關系下，將風險最小化，這也是在信息系統(tǒng)生命周期過程中需要實施信息安全風險管理的根本原因。所有與安全性相關的活動都是信息安全風險管理的組成部分�？梢哉f，信息安全風險管理貫穿于系統(tǒng)生命周期的整個過程，即初始階段、開發(fā)/獲取階段、實施階段、運行/維護階段。
   
    信息系統(tǒng)安全風險評估則是對系統(tǒng)進行信息安全風險管理的基礎，也就是系統(tǒng)的使用單位或組織判定在系統(tǒng)的整個生命周期中有關風險級別的過程。這個過程的結果是殘留風險和這個風險是否達到可接受水平的一個明確界定，或者是一個是否應當實施額外的安全控制以進一步降低風險的結論。
   
    安全風險定義為有害事件發(fā)生的可能性和該事件可能對組織的使命所產生影響的函數。為了確定這種可能性，需要對系統(tǒng)的威脅以及由此表現出來的脆弱性進行分析。影響則是按照系統(tǒng)在單位任務實施中的重要程度來確定的。具體的方法由圖1給出。

    二、美國聯邦信息系統(tǒng)安全防護政策及措施
   
    自9.11事件以來，美國政府高度重視信息安全問題。于2002年通過的《聯邦信息安全管理法案》（FISMA)規(guī)定必須對聯邦政府信息系統(tǒng)進行安全評估并備案，為美國政府機構信息系統(tǒng)改善信息安全問題設定了目標，也被稱作美國電子政務法案。FISMA為美國聯邦政府信息安全設定了目標，卻沒有規(guī)定如何實現這些目標。為此，美國國家技術與標準局（NIST）負責為實現這些目標制定最低的安全要求，NIST因此專門啟動了信息系統(tǒng)安全認證認可計劃，該計劃近期已更名為信息系統(tǒng)安全計劃。該計劃分為兩個階段，在第一階段將制定如下的標準和指南：聯邦信息和信息系統(tǒng)的分類；聯邦信息系統(tǒng)選擇和規(guī)定安全控制；驗證聯邦信息系統(tǒng)安全控制的有效性；在第二階段，將在美國國內建立一個國家級的，由經過認可的機構組成的網絡，使這些機構能基于NIST的標準和指南為聯邦政府提供經濟高效的、高質量的安全評估服務。
   
    為此，NIST定義了總體的信息系統(tǒng)安全框架圖，如圖2所示：

圖2信息系統(tǒng)安全框架

    從圖中可見，新建或再建的信息系統(tǒng)必須實施定期的風險評估(SP800-30)，以分析信息系統(tǒng)面臨的威脅、信息系統(tǒng)存在的脆弱性，信息系統(tǒng)可能遇到的安全事件損失及由此導致的風險；同時，風險評估將為信息系統(tǒng)確定其安全需求；隨后，應根據風險評估中確定的信息系統(tǒng)在機密性、完整性和可用性方面存在的風險，確定信息系統(tǒng)的安全類別和等級(FIPS199)；針對信息系統(tǒng)的安全類別和等級，將為其選擇有效的安全控制(SP800-53)，以實現合適的安全等級(SP800-60)；上述過程確定的安全需求、安全控制均將列入信息系統(tǒng)的安全計劃(SP800-18)并得到實施(SP800-53)。此后，應定期通過安全測試和評估來衡量信息系統(tǒng)中安全控制的有效性，即信息系統(tǒng)安全認證工作(SP800-37)；最終，基于安全控制的有效性和殘余風險值，由聯邦機構的高級官員決定是否授權信息系統(tǒng)投入運行，即信息系統(tǒng)的安全認可工作(SP800-37)。而且由于信息技術的發(fā)展、業(yè)務需求的變革，外部環(huán)境的變化均可能使信息系統(tǒng)的安全態(tài)勢發(fā)生改變，因此上述過程是動態(tài)的，且需定期重復。
   
    從上可見，美國聯邦政府信息系統(tǒng)的安全工作是在整個信息系統(tǒng)的生命周期中進行的，而整個安全工作的關鍵則是信息系統(tǒng)安全認證與認可(它包含了信息系統(tǒng)安全評估工作)，它是整個信息系統(tǒng)安全工作的關鍵控制點。

    
    三、我國信息系統(tǒng)安全風險評估工作的思考
   
    2004年1月9日，黃菊關于“全面加強信息安全保障工作，促進信息化健康發(fā)展”的講話中，對我國的信息安全風險評估工作做了很好的定位：“抓緊研究制定基礎信息網絡和重要信息系統(tǒng)風險評估的管理規(guī)范，并組織力量提供技術支持。根據風險評估結果，進行相應等級的安全建設和管理，特別是對涉及國家機密的信息系統(tǒng)，要按照黨和國家有關保密規(guī)定進行保護。對涉及國計民生的重要信息系統(tǒng)，要進行必要的信息安全檢查”。對我國信息系統(tǒng)安全風險評估工作（特別是政府部門信息系統(tǒng)安全風險評估工作）的部署，要參照黃菊講話的精神進行。而且信息系統(tǒng)安全風險評估應當結合整個信息系統(tǒng)的安全評估體系來考慮。
   
    信息系統(tǒng)安全評估和信息安全保障一樣是個復雜的問題，其復雜性不僅來源于信息系統(tǒng)安全本身，更來源于安全評估中涉及的角色、責任、行政管理及流程問題。
   
    目前，信息系統(tǒng)安全評估類型大致有以下幾種：
   
    *安全風險評估

    *安全檢查
   
    *系統(tǒng)安全保障等級評估
   
    *安全認證和認可
   
    3.1安全風險評估
   
    安全風險評估是應用比較廣泛的一種安全評估方法，是系統(tǒng)風險管理的前期活動。根據風險評估實施方的不同分為自評估和他評估服務兩類。自評估是信息系統(tǒng)所有者對自己系統(tǒng)所進行的安全風險評估，而他評估是包括第二方商業(yè)機構或第三方中立機構所提供的安全風險服務。該方法采用定性或定量的方法對信息系統(tǒng)存在的安全風險進行分析和度量，不過該方法得出結果-風險值的高低并不直接等同于系統(tǒng)安全程度的高低，而且風險分析方法及活動還依賴于經驗數據和評估人員或專家的實際經驗。雖然安全風險評估的方法學還有很多問題沒有定論，但安全風險評估作為評估系統(tǒng)安全的一種基本方法已被廣為接受，其它幾種信息系統(tǒng)安全評估，如信息系統(tǒng)保障等級安全評估和認證認可，均用到了安全風險評估的思想，將安全風險評估作為評估工作的一個重要環(huán)節(jié)，并把是否實施過安全風險評估視為評估系統(tǒng)安全時的一項必要指標。
   
    由于自評估是自我的安全評價，因此在涉及到一些重大問題時，其客觀性、有效性和公正性也難以保證。而第二方的安全風險評估則大多只適用于商業(yè)性系統(tǒng)，對于涉及國家機密、國家國計民生及重要基礎設施等關鍵信息系統(tǒng)特別是大信息系統(tǒng)，則不適宜采用第二方商業(yè)性質的安全風險評估。第三方的安全風險評估，由于其中立性，公正、公平、科學、客觀，而且通常具有政府背景和權威性，因此其應用范圍最為廣闊。
   
    3.2安全檢查
   
    安全檢查是信息系統(tǒng)的上級主管部門或國家相關的職能部門對其所進行的一種帶有行政管理性質的安全監(jiān)督和檢查，偏重于安全管理方面，最終也對檢查對象安全狀況給出相應的評判。通常這些系統(tǒng)是涉及國家信息安全秘密的信息系統(tǒng)或是涉及國計民生的重要信息系統(tǒng)。
   
    3.3系統(tǒng)安全保障等級評估
   
    系統(tǒng)安全保障等級評估是由一個具有權威性的、獨立的的第三方機構來進行，該機構具有評估能力的專門技術部門或專業(yè)實驗室來進行。此評估方法是在某個時間點對系統(tǒng)此刻安全狀態(tài)的評估；評估時間點選擇有兩類，一、系統(tǒng)建設完成并即將投入運行時。此時的評估結果將作為安全認證、行政許可的依據和前提，系統(tǒng)所有者的主管機構然后基于安全認證和行政許可的結果批準系統(tǒng)投入運行；二、系統(tǒng)運行階段。在系統(tǒng)運行階段應要求進行強制性定期再評估（例如每一年或兩年一次）或系統(tǒng)發(fā)生重大變更時的再評估。系統(tǒng)安全保障等級評估包括對信息系統(tǒng)安全的技術和非技術環(huán)節(jié)的安全評估，并最終給出信息系統(tǒng)安全保障能力的等級和系統(tǒng)安全當前狀態(tài)的評價。它是信息系統(tǒng)進行安全認證與認可的前期工作。它綜合了當前信息安全領域關于安全技術、安全管理及安全工程過程等方面的最新國際標準進行，是一種非常全面、深入、細致的安全評估。
   
    該方式安全評估的適用范圍較廣，既能服務于一般的商業(yè)性信息系統(tǒng)，也能服務于涉及國家機密、國家重要基礎設施等關鍵信息系統(tǒng)特別是大信息系統(tǒng)中。
   
    3.4安全認證與認可
   
    安全認證與認可是以系統(tǒng)安全保障等級評估為依據和基礎的，它由一個具有權威性的、獨立的、公正公平的第三方認證來對信息系統(tǒng)進行安全認證，并由信息系統(tǒng)的主管機構方來對該認證結果進行認可的一個安全評估方式。安全認證與認可的目的是批準確保符合安全要求的信息系統(tǒng)投入正式運行，其結論有3種：全認可（允許系統(tǒng)投入運行）、臨時認可（允許系統(tǒng)有條件地暫時投入運行）、拒絕認可（不允許系統(tǒng)投入運行）。因此，安全認證與認可通常是針對安全等級較高的涉及國計民生或政府機構的關鍵信息系統(tǒng)所進行。
   
    綜上可見，以上這幾種信息安全評估類型主要的區(qū)分方式在于其評估方的不同，安全風險自評估是信息系統(tǒng)所有者自己進行的評估，安全檢查是信息系統(tǒng)所有者上級主觀部門對其進行的評估，第二方所進行安全風險評估則是第二方商業(yè)服務機構提供的安全評估服務，而系統(tǒng)安全保障等級評估和安全認證與認可是由客觀公正公平科學的第三方所進行的評估；從這幾種評估的關系來看，安全風險評估通常是系統(tǒng)安全保障等級評估的基礎和必要條件，而系統(tǒng)安全保障等級評估則是安全檢查和安全認證與認可的基礎和依據。
   
    因此，可以設計如圖3所示的信息系統(tǒng)安全評估體制，風險評估具有基礎性作用，風險評估的結果作為對信息系統(tǒng)進行分級的依據，并直接導出信息系統(tǒng)安全需求，為信息系統(tǒng)安全建設指明方向。

圖3信息系統(tǒng)安全評估體系

    四、小結
   
    隨著信息化建設的快速推進，信息安全問題的重要性及緊迫性日益凸現。信息系統(tǒng)安全風險評估工作的重要性越來越被人們所認識。本文從制定國家信息系統(tǒng)安全評估體系的角度分析了系統(tǒng)安全風險評估的作用。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.hanmeixuan.com/

本文標題：從美國聯邦信息系統(tǒng)安全防護政策看我國信息系統(tǒng)安全風險評估工作

本文網址：http://m.hanmeixuan.com/html/support/11121824429.html