一���、國際信息安全風險管理動態(tài)
風險管理是當今全球信息安全工作的一個熱點。據(jù)不完全統(tǒng)計�,目前關于風險管理的正式出版物、書籍有20多種����,博士論文有50多篇,政府工作報告超過100份�����,能夠從網(wǎng)絡上查到的學術論文近千份。風險管理的核心內(nèi)容目前在國際上基本包括以下四個方面:一是確立風險意識的文化�����;二要對風險進行現(xiàn)實的評估����;三是要確立風險承擔制;四是將風險管理納入信息化建設的日常工作中���。
盡管風險管理還稱不上是一門精確的科學���,但說它是一門富于高度不可預見性的藝術則不過分,美����、歐����、亞太和相關國際組織均在該領域進行積極有益的探索。
1.美國:獨占鰲頭��,加強控管
眾所周知����,美國的信息化程度全球最高�、在信息技術的主導權和網(wǎng)絡上的話語權等方面占據(jù)先天優(yōu)勢�����,他們在風險管理以及政策支持方面也走在全球的前列:一是制定了從軍政部門�����、公共部門和私營領域的風險管理政策和指南����;二是形成了軍、政�����、學���、商分工協(xié)作的風險管理體系�����;三是國防部��、商務部���、審計署���、預算管理等部門各司其職,形成了較為完整的風險分析�、評估、監(jiān)督����、檢查問責的工作機制。
(1)DOD:風險評估的領路者��?�?v觀信息安全的歷史����,不難發(fā)現(xiàn)�,美國國防部幾乎影響了全世界的信息安全概念、觀念和理念:1967年����,DOD開始研究計算機安全問題��,到1970年�,即對當時的大型機����、遠程終端作了第一次比較大規(guī)模的風險評估。1977年���,DOD提出了加強聯(lián)邦政府和國防系統(tǒng)計算機安全的倡議��。1983年����,提出可信計算機系統(tǒng)評估準則(TCSEC)����,1987年,第一次對新發(fā)布的《計算機安全法》的執(zhí)行情況進行部門級評估�����。1997年�,美國國防部發(fā)布《國防部IT安全認證認可規(guī)程》(DITSCAP),該規(guī)程在2000年由國家安全委員會發(fā)布為《國家信息保障認證和認可規(guī)程》(NIACAP)��。根據(jù)美國的網(wǎng)絡安全國家戰(zhàn)略計劃,2007年將對政府各部門的信息安全狀況進行更加全面的審計和評估�。
(2)DOC/NIST:風險評估的推動者。在美國的信息安全風險管理領域�����,隸屬于商務部的"國家標準與技術局"(NIST)扮演著十分重要的角色���。2000年���,NIST在《聯(lián)邦IT安全評估框架》中提出了自評估的5個級別,并頒布了《IT系統(tǒng)安全自評估指南》(SP 800-26)����。2002年,NIST發(fā)布了《IT系統(tǒng)風險管理指南》(SP 800-30)�,闡明了風險評估的步驟、風險緩解的控制和評估評價的方法���。從2002年10月開始��,NIST先后發(fā)布了《聯(lián)邦IT系統(tǒng)安全認證和認可指南》(SP 800-37)�、《聯(lián)邦信息和信息系統(tǒng)的安全分類標準》(FIPS 199)����、《聯(lián)邦IT系統(tǒng)最小安全控制》(SP 800-53)、《將各種信息和信息系統(tǒng)映射到安全類別的指南》(SP 800-60)等多個文檔�,以風險管理思想為基礎加強聯(lián)邦政府的信息安全。
(3)OMB/GAO:風險評估的監(jiān)督者�����。為了確保信息安全風險管理工作落到實處�����,美國政府在各部門年度財政預算中專門安排了風險評估的經(jīng)費�。
1978年,美國白宮管理和預算辦公室(OMB)發(fā)布《聯(lián)邦自動化信息系統(tǒng)的安全》(A-71)通告����。1979年,頒布第一個聯(lián)邦風險評估的標準:《自動數(shù)據(jù)處理系統(tǒng)(ADP)風險分析標準》(FIPS 65)���。尤為重要的是�����,2002年�����,頒布了《聯(lián)邦信息安全管理法案》(FISMA)��,要求聯(lián)邦各機構必須進行定期的風險評估。
美國總審計署(GAO)根據(jù)"信息技術投資管理辦法"(ITIM)每年對各政府部門的信息安全情況進行制度化的評估和審計,并公布結果�。
(4)學術界:風險評估的探索者。美國政府通過信息安全法案確立了信息安全教育計劃,他們資助20多所著名大學開展與信息安全風險管理相關的研究和人才培養(yǎng)工作。以卡內(nèi)基梅隆大學為例:美國的國家安全計劃和軍方均對該校予以強有力的支持。我們非常熟悉的SSE-CMM(信息安全工程能力成熟度模型)以及這些年來為世界風險評估熟悉并采用的OCTAVE(信息安全風險評估方法)�����,就是由該校研究提出的�����。
(5)商業(yè)界:風險評估的實踐者���。除了學術界,在美國����,商界也積極參與到信息安全風險評估工作之中,它們不僅積極開展商業(yè)性質(zhì)的風險評估服務,而且投入研究經(jīng)費���,開發(fā)專門用于風險評估的專用工具,比如:美國CSCI公司開發(fā)的RiskPAC在進行定性和定量風險評估上特色突出��;美國RiskWatch公司的風險評估產(chǎn)品綜合各類相關標準進行風險評估和風險管理�����,市場占有率極高����;美國XACTA開發(fā)的產(chǎn)品主要依據(jù)NIACAP、DITSCAP進行C&A過程�����,在市場上較有影響�。
2.歐洲:不甘落后,重在預防
歐洲在信息化方面的優(yōu)勢不如美國����,但作為多個老牌大國的聯(lián)合群體,歐洲不甘落后�����。他們在信息安全管理方面的做法是在充分利用美國引導的科技創(chuàng)新成果的基礎上,加強預防�����。歐陸諸國在風險管理上一直探索走一條不同于美國的道路�。"趨利避害"一直是歐洲各國在信息化進程中防范安全風險的共同策略。
信息安全風險管理和評估研究工作一直是歐盟投入的重點����。2001年至2003年,歐盟投資�,四個歐洲國家(德國、希臘����、英國、挪威)的11個機構歷時3年時間����,完成了安全關鍵系統(tǒng)的風險分析平臺項目CORAS。該項目使用UML建模技術�,開發(fā)了一個面向對象建模技術的風險評估框架,這是一個基于模型的風險評估方法���。一期項目完成之后�����,歐盟繼續(xù)投資為期三年的二期項目COMA����,預計2007年完成����。從一期項目的既有成果看,可以稱其為歐洲經(jīng)典���,因為他們把廣泛采用成熟的技術并用于管理實踐���,包括風險文檔、風險管理過程�����、完整的風險管理和開發(fā)過程以及基于數(shù)據(jù)綜合的工具集平臺�,整個風險評估框架魯棒性強,閃現(xiàn)出前歐洲理性思想的光芒����,值得我們關注����。
(1)英國:BS7799享譽全球�。英國標準管理部門(BSI)推出的BS 7799是大家熟悉的風險管理標準。該標準分為"BS7799-1:1999信息安全管理實施細則"和"BS7799-2:2002信息安全管理體系規(guī)范"兩部分�����,是全球提出最早��、影響面最廣����、接受程度最高的標準,目前已成國際標準�。
英國不僅提出了BS 7799標準,而且還開發(fā)了相應的工具或軟件:英國CCTA遵循BS7799開發(fā)了CRAMM風險評估工具�;英國C&A系統(tǒng)安全公司推出了COBRA(Consultative,Objective and Bi-functional Risk Analysis)工具�,由一系列風險分析、咨詢和安全評價工具組成���。無論從理論上還是從實踐上看����,BS7799的影響都是世界性的。
(2)德國:日爾曼人的"基線"防御��。德國也不例外�,《德國聯(lián)邦IT基線防護手冊(ITBPM)》就以德國人的嚴謹、周密而著稱�����。1991年��,德國建立了信息安全局(BSI)���,主要負責政府部門的信息安全風險管理和評估工作。1997年���,德國頒布《信息和通信服務規(guī)范法》����。這些年來���,他們在風險評估方法上不斷緊隨BS 7799���。
3.亞太:及時跟進���,確保發(fā)展
亞洲各國多為信息化領域的發(fā)展中國家,它們大多采取搶抓信息化發(fā)展機遇����,把發(fā)展放在首位的戰(zhàn)略,風險管理工作均是為了更好地發(fā)展�,比如:日本:在風險管理方面就綜合美國和英國的做法,建立了"安全管理系統(tǒng)評估制度"(ISMS)�,作為日本標準(JIS),啟用了ISO/IEC17799-1(BS7799)指導政府和民間的風險管理實踐�����。韓國:主要參照美國的政策和方法����,通過專門成立的信息安全局,強力推進風險管理的實踐�����。新加坡:主要參照英國的做法�,在信息安全風險評估方面依據(jù)BS 7799�����,并向亞洲鄰國輸出其信息安全風險管理的專門知識和服務�����。
4.國際組織:積極配合����,重在規(guī)范
國際性組織在全球化����、信息化進程中扮演著越來越重要的角色。它們在信息安全風險管理上發(fā)揮著企業(yè)��、商業(yè)和行業(yè)上的自律和規(guī)范作用�。ISO�����、ITU�����、ISACA的作用不可小視。
(1)ISO:專業(yè)的普通話����。我們把ISO說成是"專業(yè)的普通話"。ISO一直致力于信息安全標準的制定���,從最早的安全管理指南到現(xiàn)在推行的27000系列標準�;從過去的成熟度模型(SSE-CMM)到安全評估通用準則(CC)����。ISO在統(tǒng)一全球的認識、統(tǒng)一技術語言����、統(tǒng)一實踐行為方面做出了很大的努力,先后推出了一系列安全風險管理相關標準�。
ISO/IEC 13335《IT安全管理指南》;ISO/IEC17799��;ISO27000系列���;ISO27000信息安全管理體系基本原理和詞匯��;ISO27001信息安全管理體系要求��;ISO27002信息安全管理實踐準則��;ISO27003信息安全管理實施指南�����;ISO 27004信息安全管理的度量指標和衡量����;ISO27005信息安全風險管理指南;ISO27006信息和通信技術災難恢復和服務指南�����。ISO/IEC21827:2002(SSE-CMM):信息安全工程能力成熟度模型�。ISO/IEC15408:IT安全評估通用準則(CC)等標準。
