信息化是世界科學(xué)技術(shù)和社會發(fā)展的大趨勢,是我國緊緊抓住并牢牢把握重要戰(zhàn)略機(jī)遇期,積極應(yīng)對日趨激烈的世界綜合國力競爭的必然選擇,也是全面建設(shè)小康社會、加快推進(jìn)社會主義現(xiàn)代化的重大戰(zhàn)略舉措,必須毫不動搖地大力推進(jìn)。隨著國民經(jīng)濟(jì)和社會信息化進(jìn)程的全面加快,國民經(jīng)濟(jì)和社會對信息和信息系統(tǒng)的依賴性越來越大,由此而產(chǎn)生的信息安全問題對國家安全的影響日益增加、日益突出,國家安全面臨著新的挑戰(zhàn),對此必須高度重視,必須有充分的對策。黨中央、國務(wù)院一貫高度重視信息安全問題,做出了一系列重要決策或部署。中央領(lǐng)導(dǎo)同志多次就加強(qiáng)信息安全保障工作做出重要指示。胡錦濤總書記要求“把信息安全放到至關(guān)重要的位置上,認(rèn)真加以考慮和解決”。強(qiáng)調(diào)要從國家安全、社會穩(wěn)定、經(jīng)濟(jì)發(fā)展的高度去認(rèn)識信息安全問題的極端重要性。
正是在此背景下,2003年7月召開的國家信息化領(lǐng)導(dǎo)小組第三次會議上,討論了《關(guān)于加強(qiáng)信息安全保障工作的意見》。2003年9月,中共中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(簡稱27號文)。27號文在分析了我國當(dāng)前信息安全保障工作的基本狀況的基礎(chǔ)上,為進(jìn)一步提高信息安全保障工作的能力和水平,維護(hù)公眾利益和國家安全,促進(jìn)信息化建設(shè)健康發(fā)展,提出了加強(qiáng)信息安全保障工作的總體要求和主要原則并對下一步信息安全保障工作做了全面部署。其中信息安全風(fēng)險評估是信息安全保障的重要基礎(chǔ)性工作之一。27號文的發(fā)布,在社會各界引起了不同程度的反響,掀起了有關(guān)信息安全風(fēng)險評估國家政策和標(biāo)準(zhǔn)規(guī)范制定、信息安全風(fēng)險評估理論和方法研究以及信息安全風(fēng)險評估技術(shù)與工具開發(fā)的熱潮。
本文首先介紹了信息系統(tǒng)安全風(fēng)險評估的概念及其意義,然后分析了美國聯(lián)邦信息系統(tǒng)安全防護(hù)的政策和措施,最后根據(jù)我國信息化建設(shè)及管理的現(xiàn)狀,對我國信息系統(tǒng)安全評估框架以及風(fēng)險評估的作用進(jìn)行了探討。
一、信息系統(tǒng)安全風(fēng)險評估的概念
風(fēng)險管理是管理者權(quán)衡保護(hù)措施的運(yùn)行和經(jīng)濟(jì)成本與獲得的收益之間關(guān)系的一個過程。這個過程并不是IT行業(yè)所獨(dú)有的,實(shí)際上它遍及我們?nèi)粘I钪行枰龀鰶Q定的任何事情。進(jìn)行風(fēng)險管理的最終目的就是要在這種平衡關(guān)系下,將風(fēng)險最小化,這也是在信息系統(tǒng)生命周期過程中需要實(shí)施信息安全風(fēng)險管理的根本原因。所有與安全性相關(guān)的活動都是信息安全風(fēng)險管理的組成部分。可以說,信息安全風(fēng)險管理貫穿于系統(tǒng)生命周期的整個過程,即初始階段、開發(fā)/獲取階段、實(shí)施階段、運(yùn)行/維護(hù)階段。
信息系統(tǒng)安全風(fēng)險評估則是對系統(tǒng)進(jìn)行信息安全風(fēng)險管理的基礎(chǔ),也就是系統(tǒng)的使用單位或組織判定在系統(tǒng)的整個生命周期中有關(guān)風(fēng)險級別的過程。這個過程的結(jié)果是殘留風(fēng)險和這個風(fēng)險是否達(dá)到可接受水平的一個明確界定,或者是一個是否應(yīng)當(dāng)實(shí)施額外的安全控制以進(jìn)一步降低風(fēng)險的結(jié)論。
安全風(fēng)險定義為有害事件發(fā)生的可能性和該事件可能對組織的使命所產(chǎn)生影響的函數(shù)。為了確定這種可能性,需要對系統(tǒng)的威脅以及由此表現(xiàn)出來的脆弱性進(jìn)行分析。影響則是按照系統(tǒng)在單位任務(wù)實(shí)施中的重要程度來確定的。具體的方法由圖1給出。
二、美國聯(lián)邦信息系統(tǒng)安全防護(hù)政策及措施
自9.11事件以來,美國政府高度重視信息安全問題。于2002年通過的《聯(lián)邦信息安全管理法案》(FISMA)規(guī)定必須對聯(lián)邦政府信息系統(tǒng)進(jìn)行安全評估并備案,為美國政府機(jī)構(gòu)信息系統(tǒng)改善信息安全問題設(shè)定了目標(biāo),也被稱作美國電子政務(wù)法案。FISMA為美國聯(lián)邦政府信息安全設(shè)定了目標(biāo),卻沒有規(guī)定如何實(shí)現(xiàn)這些目標(biāo)。為此,美國國家技術(shù)與標(biāo)準(zhǔn)局(NIST)負(fù)責(zé)為實(shí)現(xiàn)這些目標(biāo)制定最低的安全要求,NIST因此專門啟動了信息系統(tǒng)安全認(rèn)證認(rèn)可計(jì)劃,該計(jì)劃近期已更名為信息系統(tǒng)安全計(jì)劃。該計(jì)劃分為兩個階段,在第一階段將制定如下的標(biāo)準(zhǔn)和指南:聯(lián)邦信息和信息系統(tǒng)的分類;聯(lián)邦信息系統(tǒng)選擇和規(guī)定安全控制;驗(yàn)證聯(lián)邦信息系統(tǒng)安全控制的有效性;在第二階段,將在美國國內(nèi)建立一個國家級的,由經(jīng)過認(rèn)可的機(jī)構(gòu)組成的網(wǎng)絡(luò),使這些機(jī)構(gòu)能基于NIST的標(biāo)準(zhǔn)和指南為聯(lián)邦政府提供經(jīng)濟(jì)高效的、高質(zhì)量的安全評估服務(wù)。
為此,NIST定義了總體的信息系統(tǒng)安全框架圖,如圖2所示:
圖2信息系統(tǒng)安全框架
從圖中可見,新建或再建的信息系統(tǒng)必須實(shí)施定期的風(fēng)險評估(SP800-30),以分析信息系統(tǒng)面臨的威脅、信息系統(tǒng)存在的脆弱性,信息系統(tǒng)可能遇到的安全事件損失及由此導(dǎo)致的風(fēng)險;同時,風(fēng)險評估將為信息系統(tǒng)確定其安全需求;隨后,應(yīng)根據(jù)風(fēng)險評估中確定的信息系統(tǒng)在機(jī)密性、完整性和可用性方面存在的風(fēng)險,確定信息系統(tǒng)的安全類別和等級(FIPS199);針對信息系統(tǒng)的安全類別和等級,將為其選擇有效的安全控制(SP800-53),以實(shí)現(xiàn)合適的安全等級(SP800-60);上述過程確定的安全需求、安全控制均將列入信息系統(tǒng)的安全計(jì)劃(SP800-18)并得到實(shí)施(SP800-53)。此后,應(yīng)定期通過安全測試和評估來衡量信息系統(tǒng)中安全控制的有效性,即信息系統(tǒng)安全認(rèn)證工作(SP800-37);最終,基于安全控制的有效性和殘余風(fēng)險值,由聯(lián)邦機(jī)構(gòu)的高級官員決定是否授權(quán)信息系統(tǒng)投入運(yùn)行,即信息系統(tǒng)的安全認(rèn)可工作(SP800-37)。而且由于信息技術(shù)的發(fā)展、業(yè)務(wù)需求的變革,外部環(huán)境的變化均可能使信息系統(tǒng)的安全態(tài)勢發(fā)生改變,因此上述過程是動態(tài)的,且需定期重復(fù)。
從上可見,美國聯(lián)邦政府信息系統(tǒng)的安全工作是在整個信息系統(tǒng)的生命周期中進(jìn)行的,而整個安全工作的關(guān)鍵則是信息系統(tǒng)安全認(rèn)證與認(rèn)可(它包含了信息系統(tǒng)安全評估工作),它是整個信息系統(tǒng)安全工作的關(guān)鍵控制點(diǎn)。
三、我國信息系統(tǒng)安全風(fēng)險評估工作的思考
2004年1月9日,黃菊關(guān)于“全面加強(qiáng)信息安全保障工作,促進(jìn)信息化健康發(fā)展”的講話中,對我國的信息安全風(fēng)險評估工作做了很好的定位:“抓緊研究制定基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)風(fēng)險評估的管理規(guī)范,并組織力量提供技術(shù)支持。根據(jù)風(fēng)險評估結(jié)果,進(jìn)行相應(yīng)等級的安全建設(shè)和管理,特別是對涉及國家機(jī)密的信息系統(tǒng),要按照黨和國家有關(guān)保密規(guī)定進(jìn)行保護(hù)。對涉及國計(jì)民生的重要信息系統(tǒng),要進(jìn)行必要的信息安全檢查”。對我國信息系統(tǒng)安全風(fēng)險評估工作(特別是政府部門信息系統(tǒng)安全風(fēng)險評估工作)的部署,要參照黃菊講話的精神進(jìn)行。而且信息系統(tǒng)安全風(fēng)險評估應(yīng)當(dāng)結(jié)合整個信息系統(tǒng)的安全評估體系來考慮。
信息系統(tǒng)安全評估和信息安全保障一樣是個復(fù)雜的問題,其復(fù)雜性不僅來源于信息系統(tǒng)安全本身,更來源于安全評估中涉及的角色、責(zé)任、行政管理及流程問題。
目前,信息系統(tǒng)安全評估類型大致有以下幾種:
*安全風(fēng)險評估
*安全檢查
*系統(tǒng)安全保障等級評估
*安全認(rèn)證和認(rèn)可
3.1安全風(fēng)險評估
安全風(fēng)險評估是應(yīng)用比較廣泛的一種安全評估方法,是系統(tǒng)風(fēng)險管理的前期活動。根據(jù)風(fēng)險評估實(shí)施方的不同分為自評估和他評估服務(wù)兩類。自評估是信息系統(tǒng)所有者對自己系統(tǒng)所進(jìn)行的安全風(fēng)險評估,而他評估是包括第二方商業(yè)機(jī)構(gòu)或第三方中立機(jī)構(gòu)所提供的安全風(fēng)險服務(wù)。該方法采用定性或定量的方法對信息系統(tǒng)存在的安全風(fēng)險進(jìn)行分析和度量,不過該方法得出結(jié)果-風(fēng)險值的高低并不直接等同于系統(tǒng)安全程度的高低,而且風(fēng)險分析方法及活動還依賴于經(jīng)驗(yàn)數(shù)據(jù)和評估人員或?qū)<业膶?shí)際經(jīng)驗(yàn)。雖然安全風(fēng)險評估的方法學(xué)還有很多問題沒有定論,但安全風(fēng)險評估作為評估系統(tǒng)安全的一種基本方法已被廣為接受,其它幾種信息系統(tǒng)安全評估,如信息系統(tǒng)保障等級安全評估和認(rèn)證認(rèn)可,均用到了安全風(fēng)險評估的思想,將安全風(fēng)險評估作為評估工作的一個重要環(huán)節(jié),并把是否實(shí)施過安全風(fēng)險評估視為評估系統(tǒng)安全時的一項(xiàng)必要指標(biāo)。
由于自評估是自我的安全評價,因此在涉及到一些重大問題時,其客觀性、有效性和公正性也難以保證。而第二方的安全風(fēng)險評估則大多只適用于商業(yè)性系統(tǒng),對于涉及國家機(jī)密、國家國計(jì)民生及重要基礎(chǔ)設(shè)施等關(guān)鍵信息系統(tǒng)特別是大信息系統(tǒng),則不適宜采用第二方商業(yè)性質(zhì)的安全風(fēng)險評估。第三方的安全風(fēng)險評估,由于其中立性,公正、公平、科學(xué)、客觀,而且通常具有政府背景和權(quán)威性,因此其應(yīng)用范圍最為廣闊。
3.2安全檢查
安全檢查是信息系統(tǒng)的上級主管部門或國家相關(guān)的職能部門對其所進(jìn)行的一種帶有行政管理性質(zhì)的安全監(jiān)督和檢查,偏重于安全管理方面,最終也對檢查對象安全狀況給出相應(yīng)的評判。通常這些系統(tǒng)是涉及國家信息安全秘密的信息系統(tǒng)或是涉及國計(jì)民生的重要信息系統(tǒng)。
3.3系統(tǒng)安全保障等級評估
系統(tǒng)安全保障等級評估是由一個具有權(quán)威性的、獨(dú)立的的第三方機(jī)構(gòu)來進(jìn)行,該機(jī)構(gòu)具有評估能力的專門技術(shù)部門或?qū)I(yè)實(shí)驗(yàn)室來進(jìn)行。此評估方法是在某個時間點(diǎn)對系統(tǒng)此刻安全狀態(tài)的評估;評估時間點(diǎn)選擇有兩類,一、系統(tǒng)建設(shè)完成并即將投入運(yùn)行時。此時的評估結(jié)果將作為安全認(rèn)證、行政許可的依據(jù)和前提,系統(tǒng)所有者的主管機(jī)構(gòu)然后基于安全認(rèn)證和行政許可的結(jié)果批準(zhǔn)系統(tǒng)投入運(yùn)行;二、系統(tǒng)運(yùn)行階段。在系統(tǒng)運(yùn)行階段應(yīng)要求進(jìn)行強(qiáng)制性定期再評估(例如每一年或兩年一次)或系統(tǒng)發(fā)生重大變更時的再評估。系統(tǒng)安全保障等級評估包括對信息系統(tǒng)安全的技術(shù)和非技術(shù)環(huán)節(jié)的安全評估,并最終給出信息系統(tǒng)安全保障能力的等級和系統(tǒng)安全當(dāng)前狀態(tài)的評價。它是信息系統(tǒng)進(jìn)行安全認(rèn)證與認(rèn)可的前期工作。它綜合了當(dāng)前信息安全領(lǐng)域關(guān)于安全技術(shù)、安全管理及安全工程過程等方面的最新國際標(biāo)準(zhǔn)進(jìn)行,是一種非常全面、深入、細(xì)致的安全評估。
該方式安全評估的適用范圍較廣,既能服務(wù)于一般的商業(yè)性信息系統(tǒng),也能服務(wù)于涉及國家機(jī)密、國家重要基礎(chǔ)設(shè)施等關(guān)鍵信息系統(tǒng)特別是大信息系統(tǒng)中。
3.4安全認(rèn)證與認(rèn)可
安全認(rèn)證與認(rèn)可是以系統(tǒng)安全保障等級評估為依據(jù)和基礎(chǔ)的,它由一個具有權(quán)威性的、獨(dú)立的、公正公平的第三方認(rèn)證來對信息系統(tǒng)進(jìn)行安全認(rèn)證,并由信息系統(tǒng)的主管機(jī)構(gòu)方來對該認(rèn)證結(jié)果進(jìn)行認(rèn)可的一個安全評估方式。安全認(rèn)證與認(rèn)可的目的是批準(zhǔn)確保符合安全要求的信息系統(tǒng)投入正式運(yùn)行,其結(jié)論有3種:全認(rèn)可(允許系統(tǒng)投入運(yùn)行)、臨時認(rèn)可(允許系統(tǒng)有條件地暫時投入運(yùn)行)、拒絕認(rèn)可(不允許系統(tǒng)投入運(yùn)行)。因此,安全認(rèn)證與認(rèn)可通常是針對安全等級較高的涉及國計(jì)民生或政府機(jī)構(gòu)的關(guān)鍵信息系統(tǒng)所進(jìn)行。
綜上可見,以上這幾種信息安全評估類型主要的區(qū)分方式在于其評估方的不同,安全風(fēng)險自評估是信息系統(tǒng)所有者自己進(jìn)行的評估,安全檢查是信息系統(tǒng)所有者上級主觀部門對其進(jìn)行的評估,第二方所進(jìn)行安全風(fēng)險評估則是第二方商業(yè)服務(wù)機(jī)構(gòu)提供的安全評估服務(wù),而系統(tǒng)安全保障等級評估和安全認(rèn)證與認(rèn)可是由客觀公正公平科學(xué)的第三方所進(jìn)行的評估;從這幾種評估的關(guān)系來看,安全風(fēng)險評估通常是系統(tǒng)安全保障等級評估的基礎(chǔ)和必要條件,而系統(tǒng)安全保障等級評估則是安全檢查和安全認(rèn)證與認(rèn)可的基礎(chǔ)和依據(jù)。
因此,可以設(shè)計(jì)如圖3所示的信息系統(tǒng)安全評估體制,風(fēng)險評估具有基礎(chǔ)性作用,風(fēng)險評估的結(jié)果作為對信息系統(tǒng)進(jìn)行分級的依據(jù),并直接導(dǎo)出信息系統(tǒng)安全需求,為信息系統(tǒng)安全建設(shè)指明方向。
圖3信息系統(tǒng)安全評估體系
四、小結(jié)
隨著信息化建設(shè)的快速推進(jìn),信息安全問題的重要性及緊迫性日益凸現(xiàn)。信息系統(tǒng)安全風(fēng)險評估工作的重要性越來越被人們所認(rèn)識。本文從制定國家信息系統(tǒng)安全評估體系的角度分析了系統(tǒng)安全風(fēng)險評估的作用。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:從美國聯(lián)邦信息系統(tǒng)安全防護(hù)政策看我國信息系統(tǒng)安全風(fēng)險評估工作
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121824429.html