張哲宇 于盟 李敏

摘? ?要：文章介紹了美國聯(lián)邦政府網(wǎng)絡(luò)安全風(fēng)險評估法律基礎(chǔ)、技術(shù)框架和標(biāo)準(zhǔn)體系，對美國聯(lián)邦信息安全管理法案及相關(guān)標(biāo)準(zhǔn)項目的提出、發(fā)展和演變進(jìn)行了跟蹤。通過對美國聯(lián)邦政府多年的網(wǎng)絡(luò)安全報告進(jìn)行分析研究，總結(jié)并提出了美國聯(lián)邦政府網(wǎng)絡(luò)安全評估的特點。

關(guān)鍵詞：網(wǎng)絡(luò)安全;風(fēng)險評估;測試評估

中圖分類號：TP309? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A

Abstract： The article introduced the legal basis， technical framework and standards system of the United States federal government information security risk assessment， and tracked the development and evolution of the Federal Information Security Management Act and related standards. Through the analysis of the U.S. federal government's information security reports， it summarizes the characteristics and changes of the U.S. federal government information security assessment.

Key words： cyber security; risk assessment; test and evaluation

1 引言

21世紀(jì)以來，信息技術(shù)不斷融入生產(chǎn)生活、社會運轉(zhuǎn)、政府管理等各個方面，網(wǎng)絡(luò)與信息系統(tǒng)在經(jīng)濟(jì)穩(wěn)定運行、社會有序運轉(zhuǎn)中，越來越發(fā)揮著無可替代的支撐作用。網(wǎng)絡(luò)空間作為海、陸、空、天外的第五維空間列入國家安全的范疇已經(jīng)成為全球共識。各個國家均開始加大網(wǎng)絡(luò)空間投入，建立網(wǎng)絡(luò)空間部隊、出臺網(wǎng)絡(luò)空間戰(zhàn)略，保障本國關(guān)鍵信息基礎(chǔ)設(shè)施在面對網(wǎng)絡(luò)安全攻擊中能保持安全穩(wěn)定運行。政府和關(guān)鍵行業(yè)開展網(wǎng)絡(luò)安全測試與評估是掌握本國安全態(tài)勢，促進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障能力提升的重要手段。美國作為網(wǎng)絡(luò)空間的領(lǐng)先者，網(wǎng)絡(luò)技術(shù)應(yīng)用較其他國家走在前列。美國在“9·11事件”之后，更是意識到了網(wǎng)絡(luò)空間安全的重要性，從2002年就開始布局聯(lián)邦信息安全檢查工作，并推出了一系列的法律法規(guī)和標(biāo)準(zhǔn)規(guī)范;2012年開始，又對相關(guān)法律進(jìn)行了修訂，根據(jù)網(wǎng)絡(luò)安全形勢做出了系統(tǒng)性調(diào)整，形成了較為完善、能夠適應(yīng)當(dāng)前網(wǎng)絡(luò)安全風(fēng)險評估工作體系;2018年，美國國防部更新《網(wǎng)絡(luò)空間安全測試與評估指南》，用以指導(dǎo)網(wǎng)絡(luò)安全測試評估工作的規(guī)劃、分析和實施。

2 美國聯(lián)邦政府網(wǎng)絡(luò)安全風(fēng)險評估體系

2.1法律基礎(chǔ)

2002年，美國頒布了聯(lián)邦信息安全管理法（FISMA），是電子政務(wù)法案中的第三章。法案強(qiáng)調(diào)，信息安全對美國經(jīng)濟(jì)和國家安全利益的重要性。法案要求每個聯(lián)邦機(jī)構(gòu)均應(yīng)開發(fā)、記錄并實施機(jī)構(gòu)級的信息安全項目，從而為支持機(jī)構(gòu)運營和資產(chǎn)的信息與信息系統(tǒng)（也包括由其它機(jī)構(gòu)、合同商等其它方面為機(jī)構(gòu)提供或管理的信息和信息系統(tǒng)）提供安全。法案明確了聯(lián)邦機(jī)構(gòu)、NIST和預(yù)算管理辦公室的信息安全職責(zé)。要求美聯(lián)邦機(jī)構(gòu)的領(lǐng)導(dǎo)者要實施相關(guān)策略和措施，降低信息技術(shù)安全風(fēng)險到可接受的級別;要求各機(jī)構(gòu)每年應(yīng)總結(jié)信息安全項目執(zhí)行情況，并將結(jié)果報告給預(yù)算管理辦公室。預(yù)算管理辦公室將根據(jù)結(jié)果數(shù)據(jù)形成報告并上報國會。

因全球信息安全威脅變化，美國聯(lián)邦政府認(rèn)為僅僅從合規(guī)性方面評估聯(lián)邦機(jī)構(gòu)網(wǎng)絡(luò)安全難以發(fā)揮實效，2012年開始對FISMA法案開始了相應(yīng)的修訂工作，并于2014年通過了新的FISMA法案。調(diào)整并明確了由國土安全部負(fù)責(zé)監(jiān)督聯(lián)邦機(jī)構(gòu)信息安全，指導(dǎo)聯(lián)邦機(jī)構(gòu)開展系統(tǒng)重要程度評估和網(wǎng)絡(luò)安全風(fēng)險評估，促進(jìn)信息共享，制定并執(zhí)行全局防護(hù)計劃，預(yù)算管理辦公室則更偏向于網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和要求的實施落地，負(fù)責(zé)檢查監(jiān)督等職能部門信息安全實踐。在新的法案中，強(qiáng)調(diào)了聯(lián)邦政府的持續(xù)監(jiān)測能力建設(shè)和風(fēng)險評估的重要性，在上報數(shù)據(jù)中更加強(qiáng)調(diào)措施的有效性，并且明確將信息安全作為員工考核指標(biāo)。

2.2 技術(shù)體系建設(shè)

為了促進(jìn)FISMA條款在聯(lián)邦機(jī)構(gòu)的實施落地，F(xiàn)ISMA明確要求由NIST負(fù)責(zé)為聯(lián)邦機(jī)構(gòu)（除國家安全系統(tǒng)之外）開發(fā)能為其運營和資產(chǎn)提供充足信息安全保障的標(biāo)準(zhǔn)、指南、相關(guān)方法和技術(shù)。2003年啟動了FISMA實施項目（FISMA Implementation Project），主導(dǎo)推出了針對信息系統(tǒng)和服務(wù)安全性的一系列標(biāo)準(zhǔn)以及評估、測試和驗證程序。

項目主要包括兩個部分。一是持續(xù)制定和更新安全標(biāo)準(zhǔn)和指南，有效滿足執(zhí)行相關(guān)法例的需求。實施NIST制定的標(biāo)準(zhǔn)和指南將幫助各機(jī)構(gòu)建立和維護(hù)健全的信息安全計劃，并有效管理機(jī)構(gòu)運營、資產(chǎn)和人員的風(fēng)險。該階段的成果主要包括FIPS和NIST的SP系列出版物。二是為聯(lián)邦機(jī)構(gòu)各部門研發(fā)提供實施和評估輔助工具，簡化標(biāo)準(zhǔn)和指南落地難度，支持推廣風(fēng)險管理框架的使用。這些輔助工具旨在幫助組織在聯(lián)邦信息系統(tǒng)的管理、運行和技術(shù)安全控制過程中實施NIST制定的標(biāo)準(zhǔn)和指南。安全評估輔助工具工作內(nèi)容主要包括培訓(xùn)計劃、支撐自動化工具開發(fā)、產(chǎn)品和服務(wù)最低安全基線、安全評估最低基線要求的制定等方面內(nèi)容。

2.3 安全評估標(biāo)準(zhǔn)體系

目前在NIST主導(dǎo)下，已經(jīng)完成并發(fā)布了一系列重要的安全準(zhǔn)則和標(biāo)準(zhǔn)，主要包括信息和信息系統(tǒng)的分類標(biāo)準(zhǔn)（FIPS 199），每個類別的信息和信息系統(tǒng)的信息安全基線要求。從中可以看出，F(xiàn)ISMA實施項目重視制定聯(lián)邦信息系統(tǒng)安全控制、應(yīng)用風(fēng)險管理框架、風(fēng)險管理和評估方面的標(biāo)準(zhǔn)，并且通過制定安全內(nèi)容自動化協(xié)議，支持、推廣安全自動化管理，提高標(biāo)準(zhǔn)落實的效率，加強(qiáng)執(zhí)行力。通過十幾年的積累，在FISMA實踐方面，已經(jīng)形成了一套符合信息系統(tǒng)生命周期的信息安全標(biāo)準(zhǔn)框架，為信息系統(tǒng)的分類，如何選擇和不容安全防護(hù)措施、如何實現(xiàn)、如何評估，如何監(jiān)控和改進(jìn)等工作提供了詳細(xì)參考。

3 美國聯(lián)邦政府網(wǎng)絡(luò)安全風(fēng)險評估特點

3.1 從靜態(tài)評估轉(zhuǎn)向動態(tài)評估

在2009年以前，F(xiàn)ISMA主要關(guān)注年度報告中對信息系統(tǒng)和安全狀態(tài)的靜態(tài)評估。2010年8月，OMB發(fā)布的FISMA報告指南備忘錄，對FISMA報告提出新要求：從2011年開始，各部門按月上報信息安全數(shù)據(jù)，明確要求各政府機(jī)構(gòu)每月都需要直接向國土安全部管理的數(shù)據(jù)中心平臺上報一系列安全相關(guān)數(shù)據(jù)，而不再是每年匯報一次。這有利于各機(jī)構(gòu)掌握即時信息安全相關(guān)信息，提高了數(shù)據(jù)的及時性和保真度。

自2009年，各機(jī)構(gòu)開始實施動態(tài)連續(xù)監(jiān)控，采用互動的信息安全數(shù)據(jù)收集平臺—CyberScope。數(shù)據(jù)平臺可保證數(shù)據(jù)上報的安全性和及時性，并實施安全指標(biāo)以提前洞察安全態(tài)勢。2010年繼續(xù)使用推廣CyberScope，實施持續(xù)監(jiān)測以收集實時數(shù)據(jù)。FISMA 2010財年報告闡述了及時掌握安全態(tài)勢、活動和威脅相關(guān)準(zhǔn)確信息的重要性，強(qiáng)調(diào)進(jìn)行徹底即時的安全控制評估。

美國聯(lián)邦政府信息安全評估從靜態(tài)轉(zhuǎn)向動態(tài)，說明了美國對聯(lián)邦信息安全的重視程度在不斷提升，美國試圖通過持續(xù)實施動態(tài)監(jiān)測以收集實時數(shù)據(jù)，最大限度地提高安全相關(guān)信息的及時性和保真度，來構(gòu)建一種防御性戰(zhàn)略，保護(hù)其信息和信息系統(tǒng)安全。

3.2 重視應(yīng)用風(fēng)險管理框架進(jìn)行風(fēng)險管理和評估

NIST出版的SP 800-37《聯(lián)邦信息系統(tǒng)應(yīng)用風(fēng)險管理框架指南：安全生命周期方法》中，將傳統(tǒng)的信息系統(tǒng)認(rèn)證和認(rèn)可（C&A）過程，轉(zhuǎn)變?yōu)橐粋€具有六個步驟的風(fēng)險管理框架，該框架有利于識別信息系統(tǒng)的運作和使用相關(guān)風(fēng)險。“SP 800-37”要求聯(lián)邦信息系統(tǒng)應(yīng)用風(fēng)險管理框架，從以前的定期C&A過程發(fā)展為連續(xù)的安全授權(quán)（Authorization）過程。

自2010年，聯(lián)邦政府開始實施NIST“風(fēng)險管理框架”概念，作為連續(xù)監(jiān)測程序的一部分。2010年4月，OMB要求聯(lián)邦機(jī)構(gòu)采用風(fēng)險管理框架，并向CyberScope報告相關(guān)情況。在FISMA 2010財年報告中，專門闡述了實施風(fēng)險管理框架的意義，通過采取具體的管理、可行和技術(shù)安全控制措施，維護(hù)信息系統(tǒng)的安全，并為高層領(lǐng)導(dǎo)人提供必要的信息。報告還專門統(tǒng)計了各機(jī)構(gòu)實施“NIST 800-37”的IT安全成本狀況。此外，作為FISMA實施項目的成果，NIST還出臺了SP 800-53A 修訂版1、SP 800-39 最終版以及SP 800-30 修訂版1，作為風(fēng)險管理框架的補(bǔ)充，指導(dǎo)各機(jī)構(gòu)進(jìn)行風(fēng)險管理和評估。

從近年來FISMA年度報告看出，目前美國聯(lián)邦政府網(wǎng)絡(luò)安全評估，是基于資產(chǎn)識別、保護(hù)、檢測、響應(yīng)、恢復(fù)的能力成熟度評估框架下開展，重點關(guān)注資產(chǎn)管理能力、漏洞管理能力、安全配置管理能力、身份驗證措施落實、反釣魚和惡意軟件防御能力。

3.3 提倡全生命周期的測試與評估

2018年4月美國國防部（DOD）公布了《網(wǎng)絡(luò)空間安全測試與評估指南2.0》，從理解網(wǎng)絡(luò)安全需求、網(wǎng)絡(luò)攻擊特征化、脆弱性識別協(xié)作、對抗性網(wǎng)絡(luò)安全測試評估、漏洞協(xié)作和滲透評估、對抗性評估六個階段，為全生命周期網(wǎng)絡(luò)安全測試評估提供了指導(dǎo)，如圖1所示。

為保證網(wǎng)絡(luò)安全測試評估的有效性，建議測試人員從第一階段開始參與規(guī)劃、分析、實施。同時，DOD也指出，由于系統(tǒng)架構(gòu)及操作環(huán)境的變化，或在新威脅出現(xiàn)時，測試評估過程具有階段迭代特點。

3.4 逐步實現(xiàn)安全管理自動化

2010年OMB關(guān)于FISMA的備忘錄指出，各政府機(jī)構(gòu)應(yīng)具備監(jiān)控安全相關(guān)信息的能力，這種能力應(yīng)該是持續(xù)的、可管理及可控制的。為了做到這一點，各政府機(jī)構(gòu)需要加快安全相關(guān)行動的自動化進(jìn)程，使用安全管理工具確立安全相關(guān)信息之間的關(guān)系并進(jìn)行分析。政府機(jī)構(gòu)需要開發(fā)自動化的風(fēng)險模型，并在安全管理工具中將風(fēng)險模型應(yīng)用于系統(tǒng)弱點和威脅的識別，要求將自動化工具整合到FISMA實施過程中。

根據(jù)FISMA的要求，NIST于2010年、2011年分別發(fā)布了SP 800-117：安全內(nèi)容自動化協(xié)議（SCAP）1.0版本、SP 800-126 修訂版2：安全內(nèi)容自動化協(xié)議（SCAP）技術(shù)規(guī)范：SCAP 1.2版本。這些標(biāo)準(zhǔn)/技術(shù)規(guī)范為各機(jī)構(gòu)實施自動化安全管理工具提供指導(dǎo)。

FISMA報告指出自動化配置和漏洞管理工作是聯(lián)邦政府重要任務(wù)之一，并在NIST、NSA和聯(lián)邦CIO委員會的引導(dǎo)下，越來越多的公共和私營機(jī)構(gòu)采用自動化工具來進(jìn)行系統(tǒng)評估。從報告數(shù)據(jù)可以看出，聯(lián)邦機(jī)構(gòu)在自動化資產(chǎn)管理和自動化漏洞管理方面取得了一定進(jìn)展。

OMB備忘錄的指示、NIST出臺的標(biāo)準(zhǔn)以及近年FISMA報告內(nèi)容，都體現(xiàn)了美國聯(lián)邦政府愈來愈重視實施自動化安全管理，以實時管理信息系統(tǒng)、修復(fù)系統(tǒng)漏洞，進(jìn)行自動監(jiān)控和系統(tǒng)評估，來滿足信息系統(tǒng)的安全需求。

3.5 注重信息安全措施的成效評估

為了進(jìn)一步提高FISMA的執(zhí)行效果，2009年OMB成立了一個工作小組，重新制定了政府機(jī)構(gòu)報告應(yīng)包含的安全衡量指標(biāo)，這些新指標(biāo)更注重信息安全措施的成效性。2010年的FISMA報告指南備忘錄要求：“應(yīng)理解這些安全衡量指標(biāo)指明了政府機(jī)構(gòu)應(yīng)該把資源集中于哪些內(nèi)容，該工作組制定的安全衡量標(biāo)準(zhǔn)將推動政府機(jī)構(gòu)審查其面臨的風(fēng)險，大幅改進(jìn)他們的安全狀況”。2011年的FISMA備忘錄明確規(guī)定，各機(jī)構(gòu)必須在CyberScope平臺上回答一組涉及安全功能實施的評估和其成效衡量的信息安全問題。

自2016年以來，安全指標(biāo)工作組每年制定網(wǎng)絡(luò)安全管理、個人隱私保護(hù)等方面的指標(biāo)，以評估安全性能、衡量安全措施、個人隱私數(shù)據(jù)保護(hù)等措施的有效性并確定其風(fēng)險水平。這些指標(biāo)主要分為三類：執(zhí)行層面的指標(biāo)、成效層面指標(biāo)和結(jié)果（影響）層面的指標(biāo)。與2013年前不同的是，評估指標(biāo)項目已經(jīng)從關(guān)注工作落實向關(guān)注措施效果方面轉(zhuǎn)變，由聯(lián)邦機(jī)構(gòu)的首席信息官根據(jù)檢查項目對安全能力進(jìn)行評定，由督查官對整體防護(hù)能力成熟度進(jìn)行評價，更加側(cè)重從結(jié)果角度去評估，關(guān)注重大事件的發(fā)生和處置情況。

3.6 關(guān)注新技術(shù)信息安全問題

近年來，F(xiàn)ISMA的實施越來越重視新技術(shù)（主要是云計算）的信息安全問題。NIST在FISMA的指導(dǎo)下，出版了一系列關(guān)于云計算信息安全的準(zhǔn)則/指南，包括SP 800-145：NIST關(guān)于云計算的定義和SP 800-144：公共云計算安全和隱私準(zhǔn)則，SP 800-146：云計算概要和建議等。早在2009年和2010年的報告中，就已經(jīng)強(qiáng)調(diào)重視云計算安全。

為了解決云安全問題，宏觀層面美國已經(jīng)制定出了政府層面的解決方案，包括聯(lián)邦風(fēng)險和授權(quán)管理計劃（FedRAMP），為云計算服務(wù)和產(chǎn)品提供標(biāo)準(zhǔn)途徑。FedRAMP允許政府和商業(yè)機(jī)構(gòu)聯(lián)合授權(quán)，為跨機(jī)構(gòu)的云計算系統(tǒng)提供持續(xù)的監(jiān)控服務(wù)。云服務(wù)提供商的聯(lián)合授權(quán)導(dǎo)致共同安全風(fēng)險模型，有利于聯(lián)邦政府審批。政府只需一次審批，就能保證云服務(wù)多次使用，確保各個機(jī)構(gòu)從FedRAMP的授權(quán)中受益。此外，NIST也與相關(guān)部門合作，在云安全、可移植性和互操作性的標(biāo)準(zhǔn)化方面達(dá)成共識，這些舉措以及FISMA的實施，將保證聯(lián)邦政府的云安全。

4 結(jié)束語

伴隨著全球信息化、云計算和大數(shù)據(jù)等技術(shù)的應(yīng)用和發(fā)展，網(wǎng)絡(luò)安全問題已逐步上升至國家戰(zhàn)略層面，而風(fēng)險評估是識別網(wǎng)絡(luò)安全風(fēng)險、評估網(wǎng)絡(luò)安全影響范圍的重要方法。本文通過對美國聯(lián)邦政府網(wǎng)絡(luò)安全風(fēng)險評估的法律基礎(chǔ)、技術(shù)框架和標(biāo)準(zhǔn)進(jìn)行體系化分析，總結(jié)并提出了美國聯(lián)邦政府網(wǎng)絡(luò)安全風(fēng)險評估特點，為完善我國網(wǎng)絡(luò)安全風(fēng)險評估工作提供了參考和補(bǔ)充。

參考文獻(xiàn)

[1] Office of Management and Budget[EB/OL]. http：//www.whitehouse.gov/omb/，2018.

[2] Federal Information Security Modernization Act[EB/OL]. https：//www.dhs.gov/fisma，2019.

[3] FY 2018 CIO FISMA Metrics[EB/OL]. https：//www.dhs.gov/sites/default/files/publications/FY%202018%20CIO%20FISMA%20Metrics_V1_Final%20508.pdf，2018.

[4] FY 2017 CIO FISMA Metrics[EB/OL]. https：//www.dhs.gov/sites/default/files/publications/FY%202017%20CIO%20FISMA%20Metrics-%20508%20Compliant.pdf，2017.

[5] FY 2017 IG FISMA Metrics[EB/OL]. https：//www.dhs.gov/sites/default/files/publications/Final%20FY%202017%20OIG%20FISMA%20Metrics%20v1.0%20dhs%20formatted-%20508%20compliant%20v2.pdf，2017.

[6] 郭臣.安全檢查保障信息系統(tǒng)安全[J].信息安全與技術(shù)，2010（7）：6-9.

[7]. 美國聯(lián)邦信息系統(tǒng)安全標(biāo)準(zhǔn)制定實施規(guī)劃研究[J].保密科學(xué)技術(shù)，2012（10）：27-32+1.

[8] 楊碧瑤，王鵬.從《聯(lián)邦信息安全管理法案》看美國信息安全管理[J].保密科學(xué)技術(shù)，2012（8）：37-39.

[9] 許玉娜.美國家標(biāo)準(zhǔn)和技術(shù)研究院信息安全標(biāo)準(zhǔn)化系列研究（七） 聯(lián)邦信息安全管理法案實施項目進(jìn)展研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2011（10）：35-39.

[10] 張明天，王惠蒞，楊晨，楊建軍.美國國家標(biāo)準(zhǔn)和技術(shù)研究院信息安全標(biāo)準(zhǔn)化系列研究（四） FIPS 199《聯(lián)邦信息和信息系統(tǒng)安全分類》標(biāo)準(zhǔn)解讀[J].信息技術(shù)與標(biāo)準(zhǔn)化，2011（7）：52-55.

[11] 嚴(yán)霄鳳，高熾揚.美國聯(lián)邦信息安全風(fēng)險管理框架及其相關(guān)標(biāo)準(zhǔn)研究[J].信息安全與通信保密，2009（2）：40-44.