–國家研究委員會2003發(fā)表的《用于反恐的信息技術:防患于未然》報告提出要制定有效、實用的安全測度指標���。
–國家研究委員會2002發(fā)表的《使國家更安全:科學技術在反恐中的作用》報告提出需要用安全測度指標來衡量IT安全措施的有效性��。
②對測度指標的評價標準日見明確��。由于信息安全的復雜性和不明顯性�,對信息安全風險測度指標的選擇和評判一直是困擾理論界和實踐界的瓶頸問題,經(jīng)過多年的研究和實踐�,人們逐步在對測度指標的評判上形成一些可貴的共識,比如:
–測度指標應與業(yè)務目標和目的緊密關聯(lián)���,要能為一個機構的信息安全工作改進提供指導。
–測度指標應能產生有意義的��、有用的結果����,即要體現(xiàn)需要測度的相關內容。
–測度指標應充分考慮到不同使用者的不同需要��,即要滿足被評估方財務���、技術����、運營、法務和高層管理等不同層次和不同角色人的需要���。
–測度指標應能為各種信息安全專業(yè)人士所接受和運用��。
–測度指標應涵蓋整個安全工程和生命周期���。
–測度指標應能應用于多種不同的測度范圍,即從單個的安全控制系統(tǒng)��、網(wǎng)絡到整個信息基礎設施����。
–測度指標應考慮到不同的資產價值,不同的威脅環(huán)境和不同的信息敏感層次�。測度指標應既要相對客觀獨立,又要能相互結合以反映交叉問題���。
–測度指標應有較好的邏輯結構和良好的可用性等等����。
應該說�����,這些共識對信息安全風險的測度和評價而言,雖然很基礎���、甚至是很初步的�,但都是十分重要的進展����,值得我們關注。
(6)風險評估相關的研發(fā)工作模式發(fā)生轉變���。隨著網(wǎng)絡安全重要性的提升����,各國紛紛實施戰(zhàn)略調整�,將網(wǎng)絡與信息安全列為國家安全的重要內容�����。但是原有的科技研究和開發(fā)工作模式與信息安全形勢下對技術研發(fā)開展大協(xié)作的要求之間存在差距�����,在一定程度上阻礙了信息安全戰(zhàn)略的貫徹實施����。傳統(tǒng)的研發(fā)模式由個人對項目�,即由項目主管直接面向社會分包項目����,這種方式導致責任無法落實,自然人無法為項目的實施效果承擔應有的法律責任��;同時大量的研發(fā)資金分散到一些小項目中���,盡管項目在數(shù)量上很可觀���,但是項目研發(fā)成果的實用效果差,失敗率高��,違背了信息安全對風險評估核心關鍵技術的高標準和高要求���,而且過去分散式的管理造成研發(fā)缺少統(tǒng)一設計��、需求與實踐脫節(jié)�����,項目成果無法滿足實際需要的局面���。
原有技術研發(fā)模式的缺陷與信息安全大戰(zhàn)略實施的不相適應����,引發(fā)了一場研發(fā)組織管理模式的變革���。這一變革主要體現(xiàn)在三個轉變上:第一��,項目管理的個人化轉變?yōu)榉ㄈ嘶?;第二��,階段性研發(fā)管理轉變?yōu)樯芷诘难邪l(fā)管理���;第三��,分散式管理轉變?yōu)檎募泄芸?��。網(wǎng)絡安全研發(fā)模式的創(chuàng)新和轉變實際上體現(xiàn)了網(wǎng)絡安全戰(zhàn)略大調整下政府管理模式的轉變����,它符合信息安全研究大協(xié)作的特點,并將逐漸成為信息化時代研發(fā)模式的發(fā)展趨勢�。
在新的模式中����,由于機構對項目實行完整生命周期的法人化���,有利于項目執(zhí)行各階段責任制的落實���;實行集中統(tǒng)一的管理模式,通過設立研發(fā)項目技術總體設計和總成單位�����,對研發(fā)全生命周期進行有效的過程管理和監(jiān)督�,確保了實現(xiàn)網(wǎng)絡安全技術的互操作性和無縫集成;由分散資金搞小項目轉變?yōu)榧匈Y金搞大項目協(xié)作�,將主要資金集中在一些大的研發(fā)項目上,大大提高了項目的成功率和技術研發(fā)的效果����。
美國在2004年之前執(zhí)行的是舊有的網(wǎng)絡安全研發(fā)模式,由國家科學基金會���、國防部�����、國土安全部���、商務部國家標準與技術研究所等承擔國家網(wǎng)絡安全職能的主管部門直接將研發(fā)項目分包給美國科研單位��、企業(yè)���、院校來承擔。
2004年2月��,美國出臺《網(wǎng)絡安全國家戰(zhàn)略》�����,圍繞美國在網(wǎng)絡安全方面的大的戰(zhàn)略性調整���,對網(wǎng)絡安全研發(fā)模式也作了相應轉變�����。以國土安全部為例�,2004年國土安全部在其行政序列中下設網(wǎng)絡安全研發(fā)中心����,專門負責國土安全部網(wǎng)絡安全研發(fā)項目的管理以及協(xié)調工作。經(jīng)過公開競標�,國土安全部選擇SRI(設在斯坦福研究所內,長期以來與國防部���、國土安全部等美國政府各部門都有合作��,在網(wǎng)絡安全技術開發(fā)上具有豐富的經(jīng)驗和強大的實力)作為研發(fā)項目的總體規(guī)劃和總成單位�����,并由其管理國土安全部網(wǎng)絡安全研發(fā)中心�,負責協(xié)調和執(zhí)行國土安全部的網(wǎng)絡安全研發(fā)活動����,執(zhí)行國土安全部網(wǎng)絡安全項目研發(fā)生命周期的全過程。
在預研階段���,SRI負責對研發(fā)需求進行調研�����,面向網(wǎng)絡安全研發(fā)用戶���,包括國土安全部各職能部門(國家網(wǎng)絡安全處�����、國家通信系統(tǒng)等)����、涉及國家安全的關鍵基礎網(wǎng)絡和重要信息系統(tǒng)(金融�����、交通�、電力等)以及基礎設施提供商,確定研發(fā)方向����。在項目實施階段,SRI負責協(xié)調政府���、學術界�����、企業(yè)界協(xié)作開展研發(fā)活動��。在后研發(fā)階段���,對研發(fā)成果應用到實踐演練當中。
目前由國土安全部和國家科學基金會提供資金�����,由SRI作為總體設計和集成單位����,協(xié)調學術界、產業(yè)界和政府部門研究人員承擔的兩個大型網(wǎng)絡安全研發(fā)項目DETER和EMIST(旨在創(chuàng)建��、維護和支持網(wǎng)絡安全研究協(xié)作模擬實驗環(huán)境��,建設風險評估測試床和開發(fā)科學嚴格的網(wǎng)絡攻擊和預防機制測試評估框架和方法)實施效果顯著���。
