从美国联邦信息系统安全防护政策看我国信息系统安全风险评估.docx

从美国联邦信息系统安全防护政策看我国信息系统安全风险评估 Lele was written in 2021 从美国联邦信息系统安全防护政策看我国信息系统安全风险评估 出处：测评中心作者：测评中心时间： 2006-03-11 网址： 江常青张利王贵驷彭勇邹琪 信息化的发展，信息安全问题越来越重要。本文首先介绍了信息系 统 安全风险评估的概念及其意义， 然后分析了美国联邦信息系统安全防 护的政 策和措施， 最后根据我国信息化建设及管理的现状， 对我国信息 系统安全评 估框架以及风险评估的作用进行了探讨。 信息化是世界科学技术和社会发展的大趋势，是我国紧紧抓住并牢 牢 把握重要战略机遇期，积极应对F1趋激烈的世界综合国力竞争的必然 选择， 也是全面建设小康社会、 加快推进社会主义现代化的重大战略举 措，必须毫 不动摇地大力推进。 随着国民经济和社会信息化进程的全面 加快， 国民经济 和社会对信息和信息系统的依赖性越來越大， 由此而产 生的信息安全问题对 国家安全的影响日益增加、日益突出，国家安全面 临着新的挑战，对此必须 高度重视，必须有充分的对策。 党中央、国务 院一贯高度重视信息安全问题， 做出了一系列重要决策或部署。 中央领 导同志多次就加强信息安全保障工作 做出重要指示。胡锦涛总书记要求 “把信息安全放到至关重要的位置上，认真加以考虑和解决”。强调要 从国家安全、社会稳定、经济发展的高度去认识信息安全问题的极端重 要性。 正是在此背景下， 2003年 7月召开的国家信息化领导小组第三次会 议 上，讨论了《关于加强信息安全保障工作的意见》。 2003年 9月，中 共中 央办公厅、 国务院办公厅转发 《国家信息化领导小组关于加强信息 安全保障 工作的意见》（简称 27 号文）。 27 号文在分析了我国当前信息 安全保障工 作的基本状况的基础上， 为进一步提高信息安全保障工作的 能力和水平， 维 护公众利益和国家安全， 促进信息化建设健康发展， 提 出了加强信息安全保 障工作的总体要求和主要原则并对下一步信息安全 保障工作做了全面部署。 其中信息安全风险评估是信息安全保障的重要 基础性工作之一。 27 号文的 发布， 在社会各界引起了不同程度的反响， 掀起了有关信息安全风险评估国 家政策和标准规范制定、 信息安全风险 评估理论和方法研究以及信息安全风 险评估技术与工具开发的热潮。 本文首先介绍了信息系统安全风险评估的概念及其意义，然后分析 了 美国联邦信息系统安全防护的政策和措施， 最后根据我国信息化建设 及管理 的现状，对我国信息系统安全评估框架以及风险评估的作用进行 了探讨。 一、信息系统安全风险评估的概念 风险管理是管理者权衡保护措施的运行和经济成本与获得的收益之 间 关系的一个过程。这个过程并不是 IT 行业所独有的，实际上它遍及我 们口 常生活中需要做出决定的任何事情。 进行风险管理的最终目的就是 要在这种 平衡关系下， 将风险最小化， 这也是在信息系统生命周期过程 中需要实施信 息安全风险管理的根本原因。 所有与安全性相关的活动都 是信息安全风险管 理的组成部分。 可以说，信息安全风险管理贯穿于系 统生命周期的整个过程， 即初始阶段、开发 / 获取阶段、实施阶段、运 行/维护阶段。 信息系统安全风险评估则是对系统进行信息安全风险管理的基础， 就是系统的使用单位或组织判定在系统的整个生命周期中有关风险级 别的 过程。这个 过程的结果是残留风险和这个风险是否达到可接受水平 的一个 明确界定， 或者是一个是否应当实施额外的安全控制以进一步降 低风险的结 论。 安全风险定义为有害事件发生的可能性和该事件可能对组织的使命 所 产生影响的函数。 为了确定这种可能性， 需要对系统的威胁以及由此 表现出 来的脆弱性进行分析。 影响则是按照系统在单位任务实施中的重 要程度来确 定的。具体的方法由图 1 给出。 二、美国联邦信息系统安全防护政策及措施 自事件以来，美国政府高度重视信息安全问题。于 2002年通过的 《联邦信息安全管理法案》(FISN1A)规定必须对联邦政府信息系统进行 安 全评估并备案，为美国政府机构信息系统改善信息安全问题设定了目 标，也 被称作美国电子政务法案。FISMA为美国联邦政府信息安全设定了 目标，却 没有规定如何实现这些目标。为此，美国国家技术与标准局 (NIST)负责为实现这些目标制定最低的安全要求， NIST因此专门启动了信 息系统安全认证认可计 戈该计划近期已更名为信息系统安全计 戈【J。该计 划分为两个阶段，在第一阶段将制定如下的标准和指南：联邦信息和信息系 信息系统安全控制的有效性；在第二阶段，将在美国国内建立一个国家 级的， 由经过认可的机构组成的网络，使这些机构能基于 NIST的标准和