一�����、國際信息安全風(fēng)險(xiǎn)管理動(dòng)態(tài)
風(fēng)險(xiǎn)管理是當(dāng)今全球信息安全工作的一個(gè)熱點(diǎn)。據(jù)不完全統(tǒng)計(jì)�,目前關(guān)于風(fēng)險(xiǎn)管理的正式出版物、書籍有20多種�����,博士論文有50多篇����,政府工作報(bào)告超過100份��,能夠從網(wǎng)絡(luò)上查到的學(xué)術(shù)論文近千份���。風(fēng)險(xiǎn)管理的核心內(nèi)容目前在國際上基本包括以下四個(gè)方面:一是確立風(fēng)險(xiǎn)意識(shí)的文化�;二要對(duì)風(fēng)險(xiǎn)進(jìn)行現(xiàn)實(shí)的評(píng)估;三是要確立風(fēng)險(xiǎn)承擔(dān)制���;四是將風(fēng)險(xiǎn)管理納入信息化建設(shè)的日常工作中����。
盡管風(fēng)險(xiǎn)管理還稱不上是一門精確的科學(xué)��,但說它是一門富于高度不可預(yù)見性的藝術(shù)則不過分�,美、歐��、亞太和相關(guān)國際組織均在該領(lǐng)域進(jìn)行積極有益的探索�。
1.美國:獨(dú)占鰲頭,加強(qiáng)控管
眾所周知�,美國的信息化程度全球最高、在信息技術(shù)的主導(dǎo)權(quán)和網(wǎng)絡(luò)上的話語權(quán)等方面占據(jù)先天優(yōu)勢(shì)����,他們?cè)陲L(fēng)險(xiǎn)管理以及政策支持方面也走在全球的前列:一是制定了從軍政部門、公共部門和私營領(lǐng)域的風(fēng)險(xiǎn)管理政策和指南�����;二是形成了軍、政����、學(xué)、商分工協(xié)作的風(fēng)險(xiǎn)管理體系��;三是國防部��、商務(wù)部�����、審計(jì)署�、預(yù)算管理等部門各司其職,形成了較為完整的風(fēng)險(xiǎn)分析�、評(píng)估、監(jiān)督��、檢查問責(zé)的工作機(jī)制�����。
(1)DOD:風(fēng)險(xiǎn)評(píng)估的領(lǐng)路者����。縱觀信息安全的歷史�,不難發(fā)現(xiàn),美國國防部幾乎影響了全世界的信息安全概念���、觀念和理念:1967年���,DOD開始研究計(jì)算機(jī)安全問題,到1970年�����,即對(duì)當(dāng)時(shí)的大型機(jī)��、遠(yuǎn)程終端作了第一次比較大規(guī)模的風(fēng)險(xiǎn)評(píng)估��。1977年��,DOD提出了加強(qiáng)聯(lián)邦政府和國防系統(tǒng)計(jì)算機(jī)安全的倡議��。1983年�����,提出可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則(TCSEC)�,1987年�����,第一次對(duì)新發(fā)布的《計(jì)算機(jī)安全法》的執(zhí)行情況進(jìn)行部門級(jí)評(píng)估����。1997年�����,美國國防部發(fā)布《國防部IT安全認(rèn)證認(rèn)可規(guī)程》(DITSCAP)�����,該規(guī)程在2000年由國家安全委員會(huì)發(fā)布為《國家信息保障認(rèn)證和認(rèn)可規(guī)程》(NIACAP)�����。根據(jù)美國的網(wǎng)絡(luò)安全國家戰(zhàn)略計(jì)劃�,2007年將對(duì)政府各部門的信息安全狀況進(jìn)行更加全面的審計(jì)和評(píng)估。
(2)DOC/NIST:風(fēng)險(xiǎn)評(píng)估的推動(dòng)者��。在美國的信息安全風(fēng)險(xiǎn)管理領(lǐng)域�����,隸屬于商務(wù)部的"國家標(biāo)準(zhǔn)與技術(shù)局"(NIST)扮演著十分重要的角色。2000年��,NIST在《聯(lián)邦I(lǐng)T安全評(píng)估框架》中提出了自評(píng)估的5個(gè)級(jí)別�,并頒布了《IT系統(tǒng)安全自評(píng)估指南》(SP 800-26)�����。2002年�,NIST發(fā)布了《IT系統(tǒng)風(fēng)險(xiǎn)管理指南》(SP 800-30),闡明了風(fēng)險(xiǎn)評(píng)估的步驟����、風(fēng)險(xiǎn)緩解的控制和評(píng)估評(píng)價(jià)的方法。從2002年10月開始�����,NIST先后發(fā)布了《聯(lián)邦I(lǐng)T系統(tǒng)安全認(rèn)證和認(rèn)可指南》(SP 800-37)��、《聯(lián)邦信息和信息系統(tǒng)的安全分類標(biāo)準(zhǔn)》(FIPS 199)���、《聯(lián)邦I(lǐng)T系統(tǒng)最小安全控制》(SP 800-53)����、《將各種信息和信息系統(tǒng)映射到安全類別的指南》(SP 800-60)等多個(gè)文檔,以風(fēng)險(xiǎn)管理思想為基礎(chǔ)加強(qiáng)聯(lián)邦政府的信息安全�����。
(3)OMB/GAO:風(fēng)險(xiǎn)評(píng)估的監(jiān)督者����。為了確保信息安全風(fēng)險(xiǎn)管理工作落到實(shí)處,美國政府在各部門年度財(cái)政預(yù)算中專門安排了風(fēng)險(xiǎn)評(píng)估的經(jīng)費(fèi)��。
1978年���,美國白宮管理和預(yù)算辦公室(OMB)發(fā)布《聯(lián)邦自動(dòng)化信息系統(tǒng)的安全》(A-71)通告����。1979年���,頒布第一個(gè)聯(lián)邦風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn):《自動(dòng)數(shù)據(jù)處理系統(tǒng)(ADP)風(fēng)險(xiǎn)分析標(biāo)準(zhǔn)》(FIPS 65)�。尤為重要的是���,2002年�����,頒布了《聯(lián)邦信息安全管理法案》(FISMA)�,要求聯(lián)邦各機(jī)構(gòu)必須進(jìn)行定期的風(fēng)險(xiǎn)評(píng)估。
美國總審計(jì)署(GAO)根據(jù)"信息技術(shù)投資管理辦法"(ITIM)每年對(duì)各政府部門的信息安全情況進(jìn)行制度化的評(píng)估和審計(jì)��,并公布結(jié)果���。
(4)學(xué)術(shù)界:風(fēng)險(xiǎn)評(píng)估的探索者�。美國政府通過信息安全法案確立了信息安全教育計(jì)劃��,他們資助20多所著名大學(xué)開展與信息安全風(fēng)險(xiǎn)管理相關(guān)的研究和人才培養(yǎng)工作����。以卡內(nèi)基梅隆大學(xué)為例:美國的國家安全計(jì)劃和軍方均對(duì)該校予以強(qiáng)有力的支持����。我們非常熟悉的SSE-CMM(信息安全工程能力成熟度模型)以及這些年來為世界風(fēng)險(xiǎn)評(píng)估熟悉并采用的OCTAVE(信息安全風(fēng)險(xiǎn)評(píng)估方法),就是由該校研究提出的����。
(5)商業(yè)界:風(fēng)險(xiǎn)評(píng)估的實(shí)踐者。除了學(xué)術(shù)界�,在美國,商界也積極參與到信息安全風(fēng)險(xiǎn)評(píng)估工作之中�����,它們不僅積極開展商業(yè)性質(zhì)的風(fēng)險(xiǎn)評(píng)估服務(wù),而且投入研究經(jīng)費(fèi)�����,開發(fā)專門用于風(fēng)險(xiǎn)評(píng)估的專用工具���,比如:美國CSCI公司開發(fā)的RiskPAC在進(jìn)行定性和定量風(fēng)險(xiǎn)評(píng)估上特色突出����;美國RiskWatch公司的風(fēng)險(xiǎn)評(píng)估產(chǎn)品綜合各類相關(guān)標(biāo)準(zhǔn)進(jìn)行風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理�,市場(chǎng)占有率極高;美國XACTA開發(fā)的產(chǎn)品主要依據(jù)NIACAP����、DITSCAP進(jìn)行C&A過程,在市場(chǎng)上較有影響����。
2.歐洲:不甘落后,重在預(yù)防
歐洲在信息化方面的優(yōu)勢(shì)不如美國�����,但作為多個(gè)老牌大國的聯(lián)合群體,歐洲不甘落后����。他們?cè)谛畔踩芾矸矫娴淖龇ㄊ窃诔浞掷妹绹龑?dǎo)的科技創(chuàng)新成果的基礎(chǔ)上,加強(qiáng)預(yù)防����。歐陸諸國在風(fēng)險(xiǎn)管理上一直探索走一條不同于美國的道路。"趨利避害"一直是歐洲各國在信息化進(jìn)程中防范安全風(fēng)險(xiǎn)的共同策略���。
信息安全風(fēng)險(xiǎn)管理和評(píng)估研究工作一直是歐盟投入的重點(diǎn)�。2001年至2003年���,歐盟投資,四個(gè)歐洲國家(德國�、希臘、英國�、挪威)的11個(gè)機(jī)構(gòu)歷時(shí)3年時(shí)間,完成了安全關(guān)鍵系統(tǒng)的風(fēng)險(xiǎn)分析平臺(tái)項(xiàng)目CORAS��。該項(xiàng)目使用UML建模技術(shù)���,開發(fā)了一個(gè)面向?qū)ο蠼<夹g(shù)的風(fēng)險(xiǎn)評(píng)估框架���,這是一個(gè)基于模型的風(fēng)險(xiǎn)評(píng)估方法�����。一期項(xiàng)目完成之后���,歐盟繼續(xù)投資為期三年的二期項(xiàng)目COMA,預(yù)計(jì)2007年完成��。從一期項(xiàng)目的既有成果看�����,可以稱其為歐洲經(jīng)典�,因?yàn)樗麄儼褟V泛采用成熟的技術(shù)并用于管理實(shí)踐,包括風(fēng)險(xiǎn)文檔�����、風(fēng)險(xiǎn)管理過程�、完整的風(fēng)險(xiǎn)管理和開發(fā)過程以及基于數(shù)據(jù)綜合的工具集平臺(tái),整個(gè)風(fēng)險(xiǎn)評(píng)估框架魯棒性強(qiáng)����,閃現(xiàn)出前歐洲理性思想的光芒�,值得我們關(guān)注�。
(1)英國:BS7799享譽(yù)全球。英國標(biāo)準(zhǔn)管理部門(BSI)推出的BS 7799是大家熟悉的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)���。該標(biāo)準(zhǔn)分為"BS7799-1:1999信息安全管理實(shí)施細(xì)則"和"BS7799-2:2002信息安全管理體系規(guī)范"兩部分��,是全球提出最早��、影響面最廣�、接受程度最高的標(biāo)準(zhǔn)�����,目前已成國際標(biāo)準(zhǔn)�����。
英國不僅提出了BS 7799標(biāo)準(zhǔn)���,而且還開發(fā)了相應(yīng)的工具或軟件:英國CCTA遵循BS7799開發(fā)了CRAMM風(fēng)險(xiǎn)評(píng)估工具;英國C&A系統(tǒng)安全公司推出了COBRA(Consultative�����,Objective and Bi-functional Risk Analysis)工具,由一系列風(fēng)險(xiǎn)分析�����、咨詢和安全評(píng)價(jià)工具組成��。無論從理論上還是從實(shí)踐上看���,BS7799的影響都是世界性的����。
(2)德國:日爾曼人的"基線"防御���。德國也不例外���,《德國聯(lián)邦I(lǐng)T基線防護(hù)手冊(cè)(ITBPM)》就以德國人的嚴(yán)謹(jǐn)、周密而著稱�。1991年,德國建立了信息安全局(BSI)�����,主要負(fù)責(zé)政府部門的信息安全風(fēng)險(xiǎn)管理和評(píng)估工作。1997年����,德國頒布《信息和通信服務(wù)規(guī)范法》。這些年來���,他們?cè)陲L(fēng)險(xiǎn)評(píng)估方法上不斷緊隨BS 7799����。
3.亞太:及時(shí)跟進(jìn)�����,確保發(fā)展
亞洲各國多為信息化領(lǐng)域的發(fā)展中國家�,它們大多采取搶抓信息化發(fā)展機(jī)遇,把發(fā)展放在首位的戰(zhàn)略�,風(fēng)險(xiǎn)管理工作均是為了更好地發(fā)展,比如:日本:在風(fēng)險(xiǎn)管理方面就綜合美國和英國的做法�����,建立了"安全管理系統(tǒng)評(píng)估制度"(ISMS)�,作為日本標(biāo)準(zhǔn)(JIS)���,啟用了ISO/IEC17799-1(BS7799)指導(dǎo)政府和民間的風(fēng)險(xiǎn)管理實(shí)踐��。韓國:主要參照美國的政策和方法���,通過專門成立的信息安全局�,強(qiáng)力推進(jìn)風(fēng)險(xiǎn)管理的實(shí)踐��。新加坡:主要參照英國的做法����,在信息安全風(fēng)險(xiǎn)評(píng)估方面依據(jù)BS 7799,并向亞洲鄰國輸出其信息安全風(fēng)險(xiǎn)管理的專門知識(shí)和服務(wù)�。
4.國際組織:積極配合,重在規(guī)范
國際性組織在全球化�����、信息化進(jìn)程中扮演著越來越重要的角色��。它們?cè)谛畔踩L(fēng)險(xiǎn)管理上發(fā)揮著企業(yè)���、商業(yè)和行業(yè)上的自律和規(guī)范作用�����。ISO�、ITU、ISACA的作用不可小視�。
(1)ISO:專業(yè)的普通話。我們把ISO說成是"專業(yè)的普通話"���。ISO一直致力于信息安全標(biāo)準(zhǔn)的制定���,從最早的安全管理指南到現(xiàn)在推行的27000系列標(biāo)準(zhǔn);從過去的成熟度模型(SSE-CMM)到安全評(píng)估通用準(zhǔn)則(CC)��。ISO在統(tǒng)一全球的認(rèn)識(shí)�����、統(tǒng)一技術(shù)語言���、統(tǒng)一實(shí)踐行為方面做出了很大的努力��,先后推出了一系列安全風(fēng)險(xiǎn)管理相關(guān)標(biāo)準(zhǔn)����。
ISO/IEC 13335《IT安全管理指南》�����;ISO/IEC17799���;ISO27000系列��;ISO27000信息安全管理體系基本原理和詞匯���;ISO27001信息安全管理體系要求;ISO27002信息安全管理實(shí)踐準(zhǔn)則��;ISO27003信息安全管理實(shí)施指南�;ISO 27004信息安全管理的度量指標(biāo)和衡量;ISO27005信息安全風(fēng)險(xiǎn)管理指南����;ISO27006信息和通信技術(shù)災(zāi)難恢復(fù)和服務(wù)指南。ISO/IEC21827:2002(SSE-CMM):信息安全工程能力成熟度模型���。ISO/IEC15408:IT安全評(píng)估通用準(zhǔn)則(CC)等標(biāo)準(zhǔn)�。
