–國(guó)家研究委員會(huì)2003發(fā)表的《用于反恐的信息技術(shù):防患于未然》報(bào)告提出要制定有效�����、實(shí)用的安全測(cè)度指標(biāo)��。
–國(guó)家研究委員會(huì)2002發(fā)表的《使國(guó)家更安全:科學(xué)技術(shù)在反恐中的作用》報(bào)告提出需要用安全測(cè)度指標(biāo)來(lái)衡量IT安全措施的有效性���。
②對(duì)測(cè)度指標(biāo)的評(píng)價(jià)標(biāo)準(zhǔn)日見(jiàn)明確。由于信息安全的復(fù)雜性和不明顯性����,對(duì)信息安全風(fēng)險(xiǎn)測(cè)度指標(biāo)的選擇和評(píng)判一直是困擾理論界和實(shí)踐界的瓶頸問(wèn)題,經(jīng)過(guò)多年的研究和實(shí)踐�,人們逐步在對(duì)測(cè)度指標(biāo)的評(píng)判上形成一些可貴的共識(shí),比如:
–測(cè)度指標(biāo)應(yīng)與業(yè)務(wù)目標(biāo)和目的緊密關(guān)聯(lián)����,要能為一個(gè)機(jī)構(gòu)的信息安全工作改進(jìn)提供指導(dǎo)。
–測(cè)度指標(biāo)應(yīng)能產(chǎn)生有意義的�����、有用的結(jié)果,即要體現(xiàn)需要測(cè)度的相關(guān)內(nèi)容��。
–測(cè)度指標(biāo)應(yīng)充分考慮到不同使用者的不同需要�,即要滿足被評(píng)估方財(cái)務(wù)、技術(shù)��、運(yùn)營(yíng)���、法務(wù)和高層管理等不同層次和不同角色人的需要��。
–測(cè)度指標(biāo)應(yīng)能為各種信息安全專業(yè)人士所接受和運(yùn)用����。
–測(cè)度指標(biāo)應(yīng)涵蓋整個(gè)安全工程和生命周期���。
–測(cè)度指標(biāo)應(yīng)能應(yīng)用于多種不同的測(cè)度范圍���,即從單個(gè)的安全控制系統(tǒng)、網(wǎng)絡(luò)到整個(gè)信息基礎(chǔ)設(shè)施�����。
–測(cè)度指標(biāo)應(yīng)考慮到不同的資產(chǎn)價(jià)值,不同的威脅環(huán)境和不同的信息敏感層次���。測(cè)度指標(biāo)應(yīng)既要相對(duì)客觀獨(dú)立�,又要能相互結(jié)合以反映交叉問(wèn)題�。
–測(cè)度指標(biāo)應(yīng)有較好的邏輯結(jié)構(gòu)和良好的可用性等等。
應(yīng)該說(shuō)����,這些共識(shí)對(duì)信息安全風(fēng)險(xiǎn)的測(cè)度和評(píng)價(jià)而言�,雖然很基礎(chǔ)、甚至是很初步的�,但都是十分重要的進(jìn)展,值得我們關(guān)注�����。
(6)風(fēng)險(xiǎn)評(píng)估相關(guān)的研發(fā)工作模式發(fā)生轉(zhuǎn)變����。隨著網(wǎng)絡(luò)安全重要性的提升,各國(guó)紛紛實(shí)施戰(zhàn)略調(diào)整���,將網(wǎng)絡(luò)與信息安全列為國(guó)家安全的重要內(nèi)容��。但是原有的科技研究和開(kāi)發(fā)工作模式與信息安全形勢(shì)下對(duì)技術(shù)研發(fā)開(kāi)展大協(xié)作的要求之間存在差距�����,在一定程度上阻礙了信息安全戰(zhàn)略的貫徹實(shí)施����。傳統(tǒng)的研發(fā)模式由個(gè)人對(duì)項(xiàng)目,即由項(xiàng)目主管直接面向社會(huì)分包項(xiàng)目����,這種方式導(dǎo)致責(zé)任無(wú)法落實(shí),自然人無(wú)法為項(xiàng)目的實(shí)施效果承擔(dān)應(yīng)有的法律責(zé)任���;同時(shí)大量的研發(fā)資金分散到一些小項(xiàng)目中��,盡管項(xiàng)目在數(shù)量上很可觀����,但是項(xiàng)目研發(fā)成果的實(shí)用效果差�,失敗率高,違背了信息安全對(duì)風(fēng)險(xiǎn)評(píng)估核心關(guān)鍵技術(shù)的高標(biāo)準(zhǔn)和高要求��,而且過(guò)去分散式的管理造成研發(fā)缺少統(tǒng)一設(shè)計(jì)、需求與實(shí)踐脫節(jié)�,項(xiàng)目成果無(wú)法滿足實(shí)際需要的局面。
原有技術(shù)研發(fā)模式的缺陷與信息安全大戰(zhàn)略實(shí)施的不相適應(yīng)���,引發(fā)了一場(chǎng)研發(fā)組織管理模式的變革�����。這一變革主要體現(xiàn)在三個(gè)轉(zhuǎn)變上:第一�,項(xiàng)目管理的個(gè)人化轉(zhuǎn)變?yōu)榉ㄈ嘶?�;第二�,階段性研發(fā)管理轉(zhuǎn)變?yōu)樯芷诘难邪l(fā)管理��;第三����,分散式管理轉(zhuǎn)變?yōu)檎募泄芸亍>W(wǎng)絡(luò)安全研發(fā)模式的創(chuàng)新和轉(zhuǎn)變實(shí)際上體現(xiàn)了網(wǎng)絡(luò)安全戰(zhàn)略大調(diào)整下政府管理模式的轉(zhuǎn)變���,它符合信息安全研究大協(xié)作的特點(diǎn)�,并將逐漸成為信息化時(shí)代研發(fā)模式的發(fā)展趨勢(shì)����。
在新的模式中�,由于機(jī)構(gòu)對(duì)項(xiàng)目實(shí)行完整生命周期的法人化���,有利于項(xiàng)目執(zhí)行各階段責(zé)任制的落實(shí)����;實(shí)行集中統(tǒng)一的管理模式����,通過(guò)設(shè)立研發(fā)項(xiàng)目技術(shù)總體設(shè)計(jì)和總成單位,對(duì)研發(fā)全生命周期進(jìn)行有效的過(guò)程管理和監(jiān)督��,確保了實(shí)現(xiàn)網(wǎng)絡(luò)安全技術(shù)的互操作性和無(wú)縫集成�;由分散資金搞小項(xiàng)目轉(zhuǎn)變?yōu)榧匈Y金搞大項(xiàng)目協(xié)作,將主要資金集中在一些大的研發(fā)項(xiàng)目上��,大大提高了項(xiàng)目的成功率和技術(shù)研發(fā)的效果�����。
美國(guó)在2004年之前執(zhí)行的是舊有的網(wǎng)絡(luò)安全研發(fā)模式��,由國(guó)家科學(xué)基金會(huì)����、國(guó)防部�、國(guó)土安全部�、商務(wù)部國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所等承擔(dān)國(guó)家網(wǎng)絡(luò)安全職能的主管部門直接將研發(fā)項(xiàng)目分包給美國(guó)科研單位、企業(yè)�、院校來(lái)承擔(dān)。
2004年2月���,美國(guó)出臺(tái)《網(wǎng)絡(luò)安全國(guó)家戰(zhàn)略》��,圍繞美國(guó)在網(wǎng)絡(luò)安全方面的大的戰(zhàn)略性調(diào)整���,對(duì)網(wǎng)絡(luò)安全研發(fā)模式也作了相應(yīng)轉(zhuǎn)變。以國(guó)土安全部為例���,2004年國(guó)土安全部在其行政序列中下設(shè)網(wǎng)絡(luò)安全研發(fā)中心�,專門負(fù)責(zé)國(guó)土安全部網(wǎng)絡(luò)安全研發(fā)項(xiàng)目的管理以及協(xié)調(diào)工作��。經(jīng)過(guò)公開(kāi)競(jìng)標(biāo)�,國(guó)土安全部選擇SRI(設(shè)在斯坦福研究所內(nèi)���,長(zhǎng)期以來(lái)與國(guó)防部�、國(guó)土安全部等美國(guó)政府各部門都有合作,在網(wǎng)絡(luò)安全技術(shù)開(kāi)發(fā)上具有豐富的經(jīng)驗(yàn)和強(qiáng)大的實(shí)力)作為研發(fā)項(xiàng)目的總體規(guī)劃和總成單位�����,并由其管理國(guó)土安全部網(wǎng)絡(luò)安全研發(fā)中心�,負(fù)責(zé)協(xié)調(diào)和執(zhí)行國(guó)土安全部的網(wǎng)絡(luò)安全研發(fā)活動(dòng),執(zhí)行國(guó)土安全部網(wǎng)絡(luò)安全項(xiàng)目研發(fā)生命周期的全過(guò)程�。
在預(yù)研階段,SRI負(fù)責(zé)對(duì)研發(fā)需求進(jìn)行調(diào)研����,面向網(wǎng)絡(luò)安全研發(fā)用戶,包括國(guó)土安全部各職能部門(國(guó)家網(wǎng)絡(luò)安全處�����、國(guó)家通信系統(tǒng)等)�����、涉及國(guó)家安全的關(guān)鍵基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)(金融�、交通、電力等)以及基礎(chǔ)設(shè)施提供商�,確定研發(fā)方向。在項(xiàng)目實(shí)施階段���,SRI負(fù)責(zé)協(xié)調(diào)政府�����、學(xué)術(shù)界�����、企業(yè)界協(xié)作開(kāi)展研發(fā)活動(dòng)�����。在后研發(fā)階段�����,對(duì)研發(fā)成果應(yīng)用到實(shí)踐演練當(dāng)中�。
目前由國(guó)土安全部和國(guó)家科學(xué)基金會(huì)提供資金,由SRI作為總體設(shè)計(jì)和集成單位����,協(xié)調(diào)學(xué)術(shù)界、產(chǎn)業(yè)界和政府部門研究人員承擔(dān)的兩個(gè)大型網(wǎng)絡(luò)安全研發(fā)項(xiàng)目DETER和EMIST(旨在創(chuàng)建�����、維護(hù)和支持網(wǎng)絡(luò)安全研究協(xié)作模擬實(shí)驗(yàn)環(huán)境�����,建設(shè)風(fēng)險(xiǎn)評(píng)估測(cè)試床和開(kāi)發(fā)科學(xué)嚴(yán)格的網(wǎng)絡(luò)攻擊和預(yù)防機(jī)制測(cè)試評(píng)估框架和方法)實(shí)施效果顯著��。
