（风险管理）从美国联邦信息系统安全防护政策看我国信息系统安全风险评估.pdf

（风险管理）从美国联邦 信息系统安全防护政策看 我国信息系统安全风险评 估 要做出决定的任何事情。进行风险管理的最终目的就是要在这种平衡关系下，将 风险最小化，这也是在信息系统生命周期过程中需要实施信息安全风险管理的根 本原因。所有与安全性相关的活动都是信息安全风险管理的组成部分。可以说， 信息安全风险管理贯穿于系统生命周期的整个过程，即初始阶段、开发/获取阶 段、实施阶段、运行/维护阶段。 信息系统安全风险评估则是对系统进行信息安全风险管理的基础，也就是系统的 使用单位或组织判定在系统的整个生命周期中有关风险级别的过程。这个过程的 结果是残留风险和这个风险是否达到可接受水平的一个明确界定，或者是一个是 否应当实施额外的安全控制以进一步降低风险的结论。 安全风险定义为有害事件发生的可能性和该事件可能对组织的使命所产生影响 的函数。为了确定这种可能性，需要对系统的威胁以及由此表现出来的脆弱性进 行分析。影响则是按照系统在单位任务实施中的重要程度来确定的。具体的方法 由图 1 给出。 二、美国联邦信息系统安全防护政策及措施 自9.11 事件以来，美国政府高度重视信息安全问题。于 2002 年通过的《联邦信 息安全管理法案》（FISMA)规定必须对联邦政府信息系统进行安全评估并备案， 为美国政府机构信息系统改善信息安全问题设定了目标，也被称作美国电子政务 法案。FISMA 为美国联邦政府信息安全设定了目标，却没有规定如何实现这些目 标。为此，美国国家技术与标准局（NIST ）负责为实现这些目标制定最低的安全 要求，NIST 因此专门启动了信息系统安全认证认可计划，该计划近期已更名为信 息系统安全计划。该计划分为两个阶段，在第一阶段将制定如下的标准和指南： 联邦信息和信息系统的分类；联邦信息系统选择和规定安全控制；验证联邦信息 系统安全控制的有效性；在第二阶段，将在美国国内建立一个国家级的，由经过 认可的机构组成的网络，使这些机构能基于 NIST 的标准和指南为联邦政府提供 经济高效的、高质量的安全评估服务。 为此，NIST 定义了总体的信息系统安全框架图，如图 2 所示： 从图中可见，新建或再建的信息系统必须实施定期的风险评估(SP800-30) ，以分 析信息系统面临的威胁、信息系统存在的脆弱性，信息系统可能遇到的安全事件 损失及由此导致的风险；同时，风险评估将为信息系统确定其安全需求；随后， 应根据风险评估中确定的信息系统在机密性、完整性和可用性方面存在的风险， 确定信息系统的安全类别和等级(FIPS199) ；针对信息系统的安全类别和等级， 将为其选择有效的安全控制(SP800-53) ，以实现合适的安全等级(SP800-60) ；上 述过程确定的安全需求、安全控制均将列入信息系统的安全计划(SP800-18)并得 到实施(SP800-53) 。此后，应定期通过安全测试和评估来衡量信息系统中安全控 制的有效性，即信息系统安全认证工作(SP800-37) ；最终，基于安全控制的有效 性和残余风险值，由联邦机构的高级官员决定是否授权信息系统投入运行，即信 息系统的安全认可工作(SP800-37) 。而且由于信息技术的发展、业务需求的变革， 外部环境的变化均可能使信息系统的安全态势发生改变，因此上述过程是动态的， 且需定期重复。 从上可见，美国联邦政府信息系统的安全工作是在整个信息系统的生命周期中进 行的，而整个安全工作的关键则是信息系统安全认证与认可(它包含了信息系统 安全评估工作) ，它是整个信息系统安全工作的关键控制点。 三、我国信息系统安全风险评估工作的思考 2004 年 1 月 9 日，黄菊关于“全面加强信息安全保障工作，促进信息化健康发展” 的讲话中，对我国的信息安全风险评估工作做了很好的定位： “抓紧研究制定基 础信息网络和重要信息系统风险评估的管理规范，并组织力量提供技术支持。根 据风险评估结果，进行相应等级的安全建设和管理，特别是对涉及国家机密的信 息系统，要按照党和国家有关保密规定进行保护。对涉及国计民生的重要信息系 统，要进行必要的信息安全检查” 。对我国信息系统安全风险评估工作（特别是 政府部门信息系统安全风险评估工作）的部署，要参照黄菊讲话的精神进行。而 且信息系统安全风险评估应当结合整个信息系统的安全评估体系来考虑。 信息系统安全评估和信息安全保障一样是个复杂的问题，其复杂性不仅来源于信 息系统安全本身，更来源于安全评估中涉及的角色、责任、行政管理及流程问题。 目前，信息系统安全评估类型大致有以下几种： *安全风险评