如今,风险管理已经是信息安全保障工作的一个主流范式。信息安全防范工作越来越基于风险管理。互联网的飞速发展使得公众网络的应用越来越广泛,在公众网络中间构建相对可信的网络,成为世界各国发展信息化的主要需求。如何有效地管理信息安全风险,自然成为各方面都十分关注的问题,本文对国内外信息安全风险管理的动态和趋势作一简要勾勒,供大家参考。
一、国际信息安全风险管理动态
风险管理是当今全球信息安全工作的一个热点。据不完全统计,目前关于风险管理的正式出版物、书籍有20多种,博士论文有50多篇,政府工作报告超过100份,能够从网络上查到的学术论文近千份。风险管理的核心内容目前在国际上基本包括以下四个方面:一是确立风险意识的文化;二要对风险进行现实的评估;三是要确立风险承担制;四是将风险管理纳入信息化建设的日常工作中。
尽管风险管理还称不上是一门精确的科学,但说它是一门富于高度不可预见性的艺术则不过分,美、欧、亚太和相关国际组织均在该领域进行积极有益的探索。
1.美国:独占鳌头,加强控管
众所周知,美国的信息化程度全球最高、在信息技术的主导权和网络上的话语权等方面占据先天优势,他们在风险管理以及政策支持方面也走在全球的前列:一是制定了从军政部门、公共部门和私营领域的风险管理政策和指南;二是形成了军、政、学、商分工协作的风险管理体系;三是国防部、商务部、审计署、预算管理等部门各司其职,形成了较为完整的风险分析、评估、监督、检查问责的工作机制。
(1)DOD:风险评估的领路者。纵观信息安全的历史,不难发现,美国国防部几乎影响了全世界的信息安全概念、观念和理念:1967年,DOD开始研究计算机安全问题,到1970年,即对当时的大型机、远程终端作了第一次比较大规模的风险评估。1977年,DOD提出了加强联邦政府和国防系统计算机安全的倡议。1983年,提出可信计算机系统评估准则(TCSEC),1987年,第一次对新发布的《计算机安全法》的执行情况进行部门级评估。1997年,美国国防部发布《国防部IT安全认证认可规程》(DITSCAP),该规程在2000年由国家安全委员会发布为《国家信息保障认证和认可规程》(NIACAP)。根据美国的网络安全国家战略计划,2007年将对政府各部门的信息安全状况进行更加全面的审计和评估。
(2)DOC/NIST:风险评估的推动者。在美国的信息安全风险管理领域,隶属于商务部的"国家标准与技术局"(NIST)扮演着十分重要的角色。2000年,NIST在《联邦IT安全评估框架》中提出了自评估的5个级别,并颁布了《IT系统安全自评估指南》(SP 800-26)。2002年,NIST发布了《IT系统风险管理指南》(SP 800-30),阐明了风险评估的步骤、风险缓解的控制和评估评价的方法。从2002年10月开始,NIST先后发布了《联邦IT系统安全认证和认可指南》(SP 800-37)、《联邦信息和信息系统的安全分类标准》(FIPS 199)、《联邦IT系统最小安全控制》(SP 800-53)、《将各种信息和信息系统映射到安全类别的指南》(SP 800-60)等多个文档,以风险管理思想为基础加强联邦政府的信息安全。
(3)OMB/GAO:风险评估的监督者。为了确保信息安全风险管理工作落到实处,美国政府在各部门年度财政预算中专门安排了风险评估的经费。
1978年,美国白宫管理和预算办公室(OMB)发布《联邦自动化信息系统的安全》(A-71)通告。1979年,颁布第一个联邦风险评估的标准:《自动数据处理系统(ADP)风险分析标准》(FIPS 65)。尤为重要的是,2002年,颁布了《联邦信息安全管理法案》(FISMA),要求联邦各机构必须进行定期的风险评估。
美国总审计署(GAO)根据"信息技术投资管理办法"(ITIM)每年对各政府部门的信息安全情况进行制度化的评估和审计,并公布结果。
(4)学术界:风险评估的探索者。美国政府通过信息安全法案确立了信息安全教育计划,他们资助20多所著名大学开展与信息安全风险管理相关的研究和人才培养工作。以卡内基梅隆大学为例:美国的国家安全计划和军方均对该校予以强有力的支持。我们非常熟悉的SSE-CMM(信息安全工程能力成熟度模型)以及这些年来为世界风险评估熟悉并采用的OCTAVE(信息安全风险评估方法),就是由该校研究提出的。
(5)商业界:风险评估的实践者。除了学术界,在美国,商界也积极参与到信息安全风险评估工作之中,它们不仅积极开展商业性质的风险评估服务,而且投入研究经费,开发专门用于风险评估的专用工具,比如:美国CSCI公司开发的RiskPAC在进行定性和定量风险评估上特色突出;美国RiskWatch公司的风险评估产品综合各类相关标准进行风险评估和风险管理,市场占有率极高;美国XACTA开发的产品主要依据NIACAP、DITSCAP进行C&A过程,在市场上较有影响。
2.欧洲:不甘落后,重在预防
欧洲在信息化方面的优势不如美国,但作为多个老牌大国的联合群体,欧洲不甘落后。他们在信息安全管理方面的做法是在充分利用美国引导的科技创新成果的基础上,加强预防。欧陆诸国在风险管理上一直探索走一条不同于美国的道路。"趋利避害"一直是欧洲各国在信息化进程中防范安全风险的共同策略。
信息安全风险管理和评估研究工作一直是欧盟投入的重点。2001年至2003年,欧盟投资,四个欧洲国家(德国、希腊、英国、挪威)的11个机构历时3年时间,完成了安全关键系统的风险分析平台项目CORAS。该项目使用UML建模技术,开发了一个面向对象建模技术的风险评估框架,这是一个基于模型的风险评估方法。一期项目完成之后,欧盟继续投资为期三年的二期项目COMA,预计2007年完成。从一期项目的既有成果看,可以称其为欧洲经典,因为他们把广泛采用成熟的技术并用于管理实践,包括风险文档、风险管理过程、完整的风险管理和开发过程以及基于数据综合的工具集平台,整个风险评估框架鲁棒性强,闪现出前欧洲理性思想的光芒,值得我们关注。
(1)英国:BS7799享誉全球。英国标准管理部门(BSI)推出的BS 7799是大家熟悉的风险管理标准。该标准分为"BS7799-1:1999信息安全管理实施细则"和"BS7799-2:2002信息安全管理体系规范"两部分,是全球提出最早、影响面最广、接受程度最高的标准,目前已成国际标准。
英国不仅提出了BS 7799标准,而且还开发了相应的工具或软件:英国CCTA遵循BS7799开发了CRAMM风险评估工具;英国C&A系统安全公司推出了COBRA(Consultative,Objective and Bi-functional Risk Analysis)工具,由一系列风险分析、咨询和安全评价工具组成。无论从理论上还是从实践上看,BS7799的影响都是世界性的。
(2)德国:日尔曼人的"基线"防御。德国也不例外,《德国联邦IT基线防护手册(ITBPM)》就以德国人的严谨、周密而著称。1991年,德国建立了信息安全局(BSI),主要负责政府部门的信息安全风险管理和评估工作。1997年,德国颁布《信息和通信服务规范法》。这些年来,他们在风险评估方法上不断紧随BS 7799。
3.亚太:及时跟进,确保发展
亚洲各国多为信息化领域的发展中国家,它们大多采取抢抓信息化发展机遇,把发展放在首位的战略,风险管理工作均是为了更好地发展,比如:日本:在风险管理方面就综合美国和英国的做法,建立了"安全管理系统评估制度"(ISMS),作为日本标准(JIS),启用了ISO/IEC17799-1(BS7799)指导政府和民间的风险管理实践。韩国:主要参照美国的政策和方法,通过专门成立的信息安全局,强力推进风险管理的实践。新加坡:主要参照英国的做法,在信息安全风险评估方面依据BS 7799,并向亚洲邻国输出其信息安全风险管理的专门知识和服务。
4.国际组织:积极配合,重在规范
国际性组织在全球化、信息化进程中扮演着越来越重要的角色。它们在信息安全风险管理上发挥着企业、商业和行业上的自律和规范作用。ISO、ITU、ISACA的作用不可小视。
(1)ISO:专业的普通话。我们把ISO说成是"专业的普通话"。ISO一直致力于信息安全标准的制定,从最早的安全管理指南到现在推行的27000系列标准;从过去的成熟度模型(SSE-CMM)到安全评估通用准则(CC)。ISO在统一全球的认识、统一技术语言、统一实践行为方面做出了很大的努力,先后推出了一系列安全风险管理相关标准。
ISO/IEC 13335《IT安全管理指南》;ISO/IEC17799;ISO27000系列;ISO27000信息安全管理体系基本原理和词汇;ISO27001信息安全管理体系要求;ISO27002信息安全管理实践准则;ISO27003信息安全管理实施指南;ISO 27004信息安全管理的度量指标和衡量;ISO27005信息安全风险管理指南;ISO27006信息和通信技术灾难恢复和服务指南。ISO/IEC21827:2002(SSE-CMM):信息安全工程能力成熟度模型。ISO/IEC15408:IT安全评估通用准则(CC)等标准。