从美国联邦信息系统安全防护政策看我国信息系统安全风险评估出处：测评中心作者：测评中心时间：2006-03-11网址：HYPERLINK"http://www.securitycn.net"http://www.securitycn.net江常青张利王贵驷彭勇邹琪信息化的发展，信息安全问题越来越重要。本文首先介绍了信息系统安全风险评估的概念及其意义，然后分析了美国联邦信息系统安全防护的政策和措施，最后根据我国信息化建设及管理的现状，对我国信息系统安全评估框架以及风险评估的作用进行了探讨。信息化是世界科学技术和社会发展的大趋势，是我国紧紧抓住并牢牢把握重要战略机遇期，积极应对日趋激烈的世界综合国力竞争的必然选择，也是全面建设小康社会、加快推进社会主义现代化的重大战略举措，必须毫不动摇地大力推进。随着国民经济和社会信息化进程的全面加快，国民经济和社会对信息和信息系统的依赖性越来越大，由此而产生的信息安全问题对国家安全的影响日益增加、日益突出，国家安全面临着新的挑战，对此必须高度重视，必须有充分的对策。党中央、国务院一贯高度重视信息安全问题，做出了一系列重要决策或部署。中央领导同志多次就加强信息安全保障工作做出重要指示。胡锦涛总书记要求“把信息安全放到至关重要的位置上，认真加以考虑和解决”。强调要从国家安全、社会稳定、经济发展的高度去认识信息安全问题的极端重要性。正是在此背景下，2003年7月召开的国家信息化领导小组第三次会议上，讨论了《关于加强信息安全保障工作的意见》。2003年9月，中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（简称27号文）。27号文在分析了我国当前信息安全保障工作的基本状况的基础上，为进一步提高信息安全保障工作的能力和水平，维护公众利益和国家安全，促进信息化建设健康发展，提出了加强信息安全保障工作的总体要求和主要原则并对下一步信息安全保障工作做了全面部署。其中信息安全风险评估是信息安全保障的重要基础性工作之一。27号文的发布，在社会各界引起了不同程度的反响，掀起了有关信息安全风险评估国家政策和标准规范制定、信息安全风险评估理论和方法研究以及信息安全风险评估技术与工具开发的热潮。本文首先介绍了信息系统安全风险评估的概念及其意义，然后分析了美国联邦信息系统安全防护的政策和措施，最后根据我国信息化建设及管理的现状，对我国信息系统安全评估框架以及风险评估的作用进行了探讨。一、信息系统安全风险评估的概念风险管理是管理者权衡保护措施的运行和经济成本与获得的收益之间关系的一个过程。这个过程并不是IT行业所独有的，实际上它遍及我们日常生活中需要做出决定的任何事情。进行风险管理的最终目的就是要在这种平衡关系下，将风险最小化，这也是在信息系统生命周期过程中需要实施信息安全风险管理的根本原因。所有与安全性相关的活动都是信息安全风险管理的组成部分。可以说，信息安全风险管理贯穿于系统生命周期的整个过程，即初始阶段、开发/获取阶段、实施阶段、运行/维护阶段。信息系统安全风险评估则是对系统进行信息安全风险管理的基础，也就是系统的使用单位或组织判定在系统的整个生命周期中有关风险级别的过程。这个过程的结果是残留风险和这个风险是否达到可接受水平的一个明确界定，或者是一个是否应当实施额外的安全控制以进一步降低风险的结论。安全风险定义为有害事件发生的可能性和该事件可能对组织的使命所产生影响的函数。为了确定这种可能性，需要对系统的威胁以及由此表现出来的脆弱性进行分析。影响则是按照系统在单位任务实施中的重要程度来确定的。具体的方法由图1给出。二、美国联邦信息系统安全防护政策及措施自9.11事件以来，美国政府高度重视信息安全问题。于2002年通过的《联邦信息安全管理法案》（FISMA)规定必须对联邦政府信息系统进行安全评估并备案，为美国政府机构信息系统改善信息安全问题设定了目标，也被称作美国电子政务法案。FISMA为美国联邦政府信息安全设定了目标，却没有规定如何实现这些目标。为此，美国国家技术与标准局（NIST）负责为实现这些目标制定最低的安全要求，NIST因此专门启动了信息系统安全认证认可计划，该计划近期已更名为信息系统安全计划。该计划分为两个阶段，在第一阶段将制定如下的标准和指南：联邦信息和信息系统的分类；联邦信息系统选择和规定安全控制；验证联邦信息系统安全控制的有效性；在第二阶段，将在美国国内建立一个国家级的，由经过认可的机构组成的网络，使这些机构能基于NIST的标准和指南为联邦政府提供经济高效的、高质量的安全评估服务。为此，NIST定义了总体的信息系统安全框架图，如图2所示：从图中可见，新建或再建的信息系统必须实施定期的风险评估(SP800-30)，以分析信息系统面临的威