(2)ITU:产业的风向标。ITU在引导电信产业发展方面,也制定了一系列的标准。尽管有的没有直接说成是安全管理、安全风险、风险评估,但在标准里都体现出这样的思想,因为通信、信息服务产业必须把安全管理作为其基本业务和基础服务的一部分。在安全体系和框架方面主要维护X.800系列标准;在信息安全管理方面已发布:《ITU-TX.1051信息安全管理系统–通信需求(ISMS-T)》;在安全通讯业务方面涉及所有网络与信息安全,主要集中在移动通信安全、P2P安全认证、Web服务安全等。已发布标准"ITU-TX.1121移动端到端数据通信安全技术框架"、"ITU-TX.1121基于PKI实施安全移动系统指南。"
(3)ISACA(国际信息系统审计与控制协会):行业的协调人。ISACA作为国际系统审计和控制行业中的牵头者。这些年来也公布了一系列标准和规范,应该说这些标准更符合商业的特色。比如:《信息系统风险评估》(2002),《控制风险的自评估》(2003),《安全评估:渗透性测试和脆弱性分析》(2004)等。
(4)风险管理中的新重点。
–充分认识高技术面临的低技术威胁。
–高度关注"神风敢死队"似的攻击者。
–认真对待"无国籍"力量的迅速兴起。
–网络效应使风险预警时间大大缩短。
(5)安全测度指标(Metrics)成为关注焦点。除了上述对国际风险管理工作的横向扫描外,我们还可以对国外的风险管理技术研究本身作一个纵向的观察。分析该领域近年来的发展,可以明显看出,近年的研究焦点便是对信息安全测度指标的研究。
①美国将其列为重中之重。
–2006年4月,美国发布了《联邦网络安全和信息保障研究开发规划》(Federal Plan for Cyber Security and Information Assurance Research and Development),提出需要用安全测度指标来衡量安全措施的有效性、改进安全审计、指导基于风险的安全投资。
–美国国家安全系统委员会(CNSS)2006年会,提出急需采用有效的安全测度指标以评估安全状况。
–美国信息安全研究委员会2005年11月发布的"难题清单"将"企业级的安全测度指标"确定为8大优先项目之一。
–美国总统信息化咨询委员会在2005年2月向布什总统提交的一份题为"Cyber Security:A Crisis of Prioritization"中,将"安全测度指标"确定为10大优先发展项目之一。
–国家研究委员会2003发表的《用于反恐的信息技术:防患于未然》报告提出要制定有效、实用的安全测度指标。
–国家研究委员会2002发表的《使国家更安全:科学技术在反恐中的作用》报告提出需要用安全测度指标来衡量IT安全措施的有效性。
②对测度指标的评价标准日见明确。由于信息安全的复杂性和不明显性,对信息安全风险测度指标的选择和评判一直是困扰理论界和实践界的瓶颈问题,经过多年的研究和实践,人们逐步在对测度指标的评判上形成一些可贵的共识,比如:
–测度指标应与业务目标和目的紧密关联,要能为一个机构的信息安全工作改进提供指导。
–测度指标应能产生有意义的、有用的结果,即要体现需要测度的相关内容。
–测度指标应充分考虑到不同使用者的不同需要,即要满足被评估方财务、技术、运营、法务和高层管理等不同层次和不同角色人的需要。
–测度指标应能为各种信息安全专业人士所接受和运用。
–测度指标应涵盖整个安全工程和生命周期。
–测度指标应能应用于多种不同的测度范围,即从单个的安全控制系统、网络到整个信息基础设施。
–测度指标应考虑到不同的资产价值,不同的威胁环境和不同的信息敏感层次。测度指标应既要相对客观独立,又要能相互结合以反映交叉问题。
–测度指标应有较好的逻辑结构和良好的可用性等等。
应该说,这些共识对信息安全风险的测度和评价而言,虽然很基础、甚至是很初步的,但都是十分重要的进展,值得我们关注。
(6)风险评估相关的研发工作模式发生转变。随着网络安全重要性的提升,各国纷纷实施战略调整,将网络与信息安全列为国家安全的重要内容。但是原有的科技研究和开发工作模式与信息安全形势下对技术研发开展大协作的要求之间存在差距,在一定程度上阻碍了信息安全战略的贯彻实施。传统的研发模式由个人对项目,即由项目主管直接面向社会分包项目,这种方式导致责任无法落实,自然人无法为项目的实施效果承担应有的法律责任;同时大量的研发资金分散到一些小项目中,尽管项目在数量上很可观,但是项目研发成果的实用效果差,失败率高,违背了信息安全对风险评估核心关键技术的高标准和高要求,而且过去分散式的管理造成研发缺少统一设计、需求与实践脱节,项目成果无法满足实际需要的局面。
原有技术研发模式的缺陷与信息安全大战略实施的不相适应,引发了一场研发组织管理模式的变革。这一变革主要体现在三个转变上:第一,项目管理的个人化转变为法人化;第二,阶段性研发管理转变为生命周期的研发管理;第三,分散式管理转变为政府的集中管控。网络安全研发模式的创新和转变实际上体现了网络安全战略大调整下政府管理模式的转变,它符合信息安全研究大协作的特点,并将逐渐成为信息化时代研发模式的发展趋势。
在新的模式中,由于机构对项目实行完整生命周期的法人化,有利于项目执行各阶段责任制的落实;实行集中统一的管理模式,通过设立研发项目技术总体设计和总成单位,对研发全生命周期进行有效的过程管理和监督,确保了实现网络安全技术的互操作性和无缝集成;由分散资金搞小项目转变为集中资金搞大项目协作,将主要资金集中在一些大的研发项目上,大大提高了项目的成功率和技术研发的效果。
美国在2004年之前执行的是旧有的网络安全研发模式,由国家科学基金会、国防部、国土安全部、商务部国家标准与技术研究所等承担国家网络安全职能的主管部门直接将研发项目分包给美国科研单位、企业、院校来承担。
2004年2月,美国出台《网络安全国家战略》,围绕美国在网络安全方面的大的战略性调整,对网络安全研发模式也作了相应转变。以国土安全部为例,2004年国土安全部在其行政序列中下设网络安全研发中心,专门负责国土安全部网络安全研发项目的管理以及协调工作。经过公开竞标,国土安全部选择SRI(设在斯坦福研究所内,长期以来与国防部、国土安全部等美国政府各部门都有合作,在网络安全技术开发上具有丰富的经验和强大的实力)作为研发项目的总体规划和总成单位,并由其管理国土安全部网络安全研发中心,负责协调和执行国土安全部的网络安全研发活动,执行国土安全部网络安全项目研发生命周期的全过程。
在预研阶段,SRI负责对研发需求进行调研,面向网络安全研发用户,包括国土安全部各职能部门(国家网络安全处、国家通信系统等)、涉及国家安全的关键基础网络和重要信息系统(金融、交通、电力等)以及基础设施提供商,确定研发方向。在项目实施阶段,SRI负责协调政府、学术界、企业界协作开展研发活动。在后研发阶段,对研发成果应用到实践演练当中。
目前由国土安全部和国家科学基金会提供资金,由SRI作为总体设计和集成单位,协调学术界、产业界和政府部门研究人员承担的两个大型网络安全研发项目DETER和EMIST(旨在创建、维护和支持网络安全研究协作模拟实验环境,建设风险评估测试床和开发科学严格的网络攻击和预防机制测试评估框架和方法)实施效果显著。