美國聯邦政府網絡安全風險評估特點分析

張哲宇 于盟 李敏

摘? ?要：文章介紹了美國聯邦政府網絡安全風險評估法律基礎、技術框架和標準體系，對美國聯邦信息安全管理法案及相關標準項目的提出、發展和演變進行了跟蹤。通過對美國聯邦政府多年的網絡安全報告進行分析研究，總結并提出了美國聯邦政府網絡安全評估的特點。

關鍵詞：網絡安全;風險評估;測試評估

中圖分類號：TP309? ? ? ? ? 文獻標識碼：A

Abstract： The article introduced the legal basis， technical framework and standards system of the United States federal government information security risk assessment， and tracked the development and evolution of the Federal Information Security Management Act and related standards. Through the analysis of the U.S. federal government's information security reports， it summarizes the characteristics and changes of the U.S. federal government information security assessment.

Key words： cyber security; risk assessment; test and evaluation

1 引言

21世紀以來，信息技術不斷融入生產生活、社會運轉、政府管理等各個方面，網絡與信息系統在經濟穩定運行、社會有序運轉中，越來越發揮著無可替代的支撐作用。網絡空間作為海、陸、空、天外的第五維空間列入國家安全的范疇已經成為全球共識。各個國家均開始加大網絡空間投入，建立網絡空間部隊、出臺網絡空間戰略，保障本國關鍵信息基礎設施在面對網絡安全攻擊中能保持安全穩定運行。政府和關鍵行業開展網絡安全測試與評估是掌握本國安全態勢，促進關鍵信息基礎設施網絡安全保障能力提升的重要手段。美國作為網絡空間的領先者，網絡技術應用較其他國家走在前列。美國在“9·11事件”之后，更是意識到了網絡空間安全的重要性，從2002年就開始布局聯邦信息安全檢查工作，并推出了一系列的法律法規和標準規范;2012年開始，又對相關法律進行了修訂，根據網絡安全形勢做出了系統性調整，形成了較為完善、能夠適應當前網絡安全風險評估工作體系;2018年，美國國防部更新《網絡空間安全測試與評估指南》，用以指導網絡安全測試評估工作的規劃、分析和實施。

2 美國聯邦政府網絡安全風險評估體系

2.1法律基礎

2002年，美國頒布了聯邦信息安全管理法（FISMA），是電子政務法案中的第三章。法案強調，信息安全對美國經濟和國家安全利益的重要性。法案要求每個聯邦機構均應開發、記錄并實施機構級的信息安全項目，從而為支持機構運營和資產的信息與信息系統（也包括由其它機構、合同商等其它方面為機構提供或管理的信息和信息系統）提供安全。法案明確了聯邦機構、NIST和預算管理辦公室的信息安全職責。要求美聯邦機構的領導者要實施相關策略和措施，降低信息技術安全風險到可接受的級別;要求各機構每年應總結信息安全項目執行情況，并將結果報告給預算管理辦公室。預算管理辦公室將根據結果數據形成報告并上報國會。

因全球信息安全威脅變化，美國聯邦政府認為僅僅從合規性方面評估聯邦機構網絡安全難以發揮實效，2012年開始對FISMA法案開始了相應的修訂工作，并于2014年通過了新的FISMA法案。調整并明確了由國土安全部負責監督聯邦機構信息安全，指導聯邦機構開展系統重要程度評估和網絡安全風險評估，促進信息共享，制定并執行全局防護計劃，預算管理辦公室則更偏向于網絡安全標準和要求的實施落地，負責檢查監督等職能部門信息安全實踐。在新的法案中，強調了聯邦政府的持續監測能力建設和風險評估的重要性，在上報數據中更加強調措施的有效性，并且明確將信息安全作為員工考核指標。

2.2 技術體系建設

為了促進FISMA條款在聯邦機構的實施落地，FISMA明確要求由NIST負責為聯邦機構（除國家安全系統之外）開發能為其運營和資產提供充足信息安全保障的標準、指南、相關方法和技術。2003年啟動了FISMA實施項目（FISMA Implementation Project），主導推出了針對信息系統和服務安全性的一系列標準以及評估、測試和驗證程序。

項目主要包括兩個部分。一是持續制定和更新安全標準和指南，有效滿足執行相關法例的需求。實施NIST制定的標準和指南將幫助各機構建立和維護健全的信息安全計劃，并有效管理機構運營、資產和人員的風險。該階段的成果主要包括FIPS和NIST的SP系列出版物。二是為聯邦機構各部門研發提供實施和評估輔助工具，簡化標準和指南落地難度，支持推廣風險管理框架的使用。這些輔助工具旨在幫助組織在聯邦信息系統的管理、運行和技術安全控制過程中實施NIST制定的標準和指南。安全評估輔助工具工作內容主要包括培訓計劃、支撐自動化工具開發、產品和服務最低安全基線、安全評估最低基線要求的制定等方面內容。

2.3 安全評估標準體系

目前在NIST主導下，已經完成并發布了一系列重要的安全準則和標準，主要包括信息和信息系統的分類標準（FIPS 199），每個類別的信息和信息系統的信息安全基線要求。從中可以看出，FISMA實施項目重視制定聯邦信息系統安全控制、應用風險管理框架、風險管理和評估方面的標準，并且通過制定安全內容自動化協議，支持、推廣安全自動化管理，提高標準落實的效率，加強執行力。通過十幾年的積累，在FISMA實踐方面，已經形成了一套符合信息系統生命周期的信息安全標準框架，為信息系統的分類，如何選擇和不容安全防護措施、如何實現、如何評估，如何監控和改進等工作提供了詳細參考。

3 美國聯邦政府網絡安全風險評估特點

3.1 從靜態評估轉向動態評估

在2009年以前，FISMA主要關注年度報告中對信息系統和安全狀態的靜態評估。2010年8月，OMB發布的FISMA報告指南備忘錄，對FISMA報告提出新要求：從2011年開始，各部門按月上報信息安全數據，明確要求各政府機構每月都需要直接向國土安全部管理的數據中心平臺上報一系列安全相關數據，而不再是每年匯報一次。這有利于各機構掌握即時信息安全相關信息，提高了數據的及時性和保真度。

自2009年，各機構開始實施動態連續監控，采用互動的信息安全數據收集平臺—CyberScope。數據平臺可保證數據上報的安全性和及時性，并實施安全指標以提前洞察安全態勢。2010年繼續使用推廣CyberScope，實施持續監測以收集實時數據。FISMA 2010財年報告闡述了及時掌握安全態勢、活動和威脅相關準確信息的重要性，強調進行徹底即時的安全控制評估。

美國聯邦政府信息安全評估從靜態轉向動態，說明了美國對聯邦信息安全的重視程度在不斷提升，美國試圖通過持續實施動態監測以收集實時數據，最大限度地提高安全相關信息的及時性和保真度，來構建一種防御性戰略，保護其信息和信息系統安全。

3.2 重視應用風險管理框架進行風險管理和評估

NIST出版的SP 800-37《聯邦信息系統應用風險管理框架指南：安全生命周期方法》中，將傳統的信息系統認證和認可（C&A）過程，轉變為一個具有六個步驟的風險管理框架，該框架有利于識別信息系統的運作和使用相關風險。“SP 800-37”要求聯邦信息系統應用風險管理框架，從以前的定期C&A過程發展為連續的安全授權（Authorization）過程。

自2010年，聯邦政府開始實施NIST“風險管理框架”概念，作為連續監測程序的一部分。2010年4月，OMB要求聯邦機構采用風險管理框架，并向CyberScope報告相關情況。在FISMA 2010財年報告中，專門闡述了實施風險管理框架的意義，通過采取具體的管理、可行和技術安全控制措施，維護信息系統的安全，并為高層領導人提供必要的信息。報告還專門統計了各機構實施“NIST 800-37”的IT安全成本狀況。此外，作為FISMA實施項目的成果，NIST還出臺了SP 800-53A 修訂版1、SP 800-39 最終版以及SP 800-30 修訂版1，作為風險管理框架的補充，指導各機構進行風險管理和評估。

從近年來FISMA年度報告看出，目前美國聯邦政府網絡安全評估，是基于資產識別、保護、檢測、響應、恢復的能力成熟度評估框架下開展，重點關注資產管理能力、漏洞管理能力、安全配置管理能力、身份驗證措施落實、反釣魚和惡意軟件防御能力。

3.3 提倡全生命周期的測試與評估

2018年4月美國國防部（DOD）公布了《網絡空間安全測試與評估指南2.0》，從理解網絡安全需求、網絡攻擊特征化、脆弱性識別協作、對抗性網絡安全測試評估、漏洞協作和滲透評估、對抗性評估六個階段，為全生命周期網絡安全測試評估提供了指導，如圖1所示。

為保證網絡安全測試評估的有效性，建議測試人員從第一階段開始參與規劃、分析、實施。同時，DOD也指出，由于系統架構及操作環境的變化，或在新威脅出現時，測試評估過程具有階段迭代特點。

3.4 逐步實現安全管理自動化

2010年OMB關于FISMA的備忘錄指出，各政府機構應具備監控安全相關信息的能力，這種能力應該是持續的、可管理及可控制的。為了做到這一點，各政府機構需要加快安全相關行動的自動化進程，使用安全管理工具確立安全相關信息之間的關系并進行分析。政府機構需要開發自動化的風險模型，并在安全管理工具中將風險模型應用于系統弱點和威脅的識別，要求將自動化工具整合到FISMA實施過程中。

根據FISMA的要求，NIST于2010年、2011年分別發布了SP 800-117：安全內容自動化協議（SCAP）1.0版本、SP 800-126 修訂版2：安全內容自動化協議（SCAP）技術規范：SCAP 1.2版本。這些標準/技術規范為各機構實施自動化安全管理工具提供指導。

FISMA報告指出自動化配置和漏洞管理工作是聯邦政府重要任務之一，并在NIST、NSA和聯邦CIO委員會的引導下，越來越多的公共和私營機構采用自動化工具來進行系統評估。從報告數據可以看出，聯邦機構在自動化資產管理和自動化漏洞管理方面取得了一定進展。

OMB備忘錄的指示、NIST出臺的標準以及近年FISMA報告內容，都體現了美國聯邦政府愈來愈重視實施自動化安全管理，以實時管理信息系統、修復系統漏洞，進行自動監控和系統評估，來滿足信息系統的安全需求。

3.5 注重信息安全措施的成效評估

為了進一步提高FISMA的執行效果，2009年OMB成立了一個工作小組，重新制定了政府機構報告應包含的安全衡量指標，這些新指標更注重信息安全措施的成效性。2010年的FISMA報告指南備忘錄要求：“應理解這些安全衡量指標指明了政府機構應該把資源集中于哪些內容，該工作組制定的安全衡量標準將推動政府機構審查其面臨的風險，大幅改進他們的安全狀況”。2011年的FISMA備忘錄明確規定，各機構必須在CyberScope平臺上回答一組涉及安全功能實施的評估和其成效衡量的信息安全問題。

自2016年以來，安全指標工作組每年制定網絡安全管理、個人隱私保護等方面的指標，以評估安全性能、衡量安全措施、個人隱私數據保護等措施的有效性并確定其風險水平。這些指標主要分為三類：執行層面的指標、成效層面指標和結果（影響）層面的指標。與2013年前不同的是，評估指標項目已經從關注工作落實向關注措施效果方面轉變，由聯邦機構的首席信息官根據檢查項目對安全能力進行評定，由督查官對整體防護能力成熟度進行評價，更加側重從結果角度去評估，關注重大事件的發生和處置情況。

3.6 關注新技術信息安全問題

近年來，FISMA的實施越來越重視新技術（主要是云計算）的信息安全問題。NIST在FISMA的指導下，出版了一系列關于云計算信息安全的準則/指南，包括SP 800-145：NIST關于云計算的定義和SP 800-144：公共云計算安全和隱私準則，SP 800-146：云計算概要和建議等。早在2009年和2010年的報告中，就已經強調重視云計算安全。

為了解決云安全問題，宏觀層面美國已經制定出了政府層面的解決方案，包括聯邦風險和授權管理計劃（FedRAMP），為云計算服務和產品提供標準途徑。FedRAMP允許政府和商業機構聯合授權，為跨機構的云計算系統提供持續的監控服務。云服務提供商的聯合授權導致共同安全風險模型，有利于聯邦政府審批。政府只需一次審批，就能保證云服務多次使用，確保各個機構從FedRAMP的授權中受益。此外，NIST也與相關部門合作，在云安全、可移植性和互操作性的標準化方面達成共識，這些舉措以及FISMA的實施，將保證聯邦政府的云安全。

4 結束語

伴隨著全球信息化、云計算和大數據等技術的應用和發展，網絡安全問題已逐步上升至國家戰略層面，而風險評估是識別網絡安全風險、評估網絡安全影響范圍的重要方法。本文通過對美國聯邦政府網絡安全風險評估的法律基礎、技術框架和標準進行體系化分析，總結并提出了美國聯邦政府網絡安全風險評估特點，為完善我國網絡安全風險評估工作提供了參考和補充。

參考文獻

[1] Office of Management and Budget[EB/OL]. http：//www.whitehouse.gov/omb/，2018.

[2] Federal Information Security Modernization Act[EB/OL]. https：//www.dhs.gov/fisma，2019.

[3] FY 2018 CIO FISMA Metrics[EB/OL]. https：//www.dhs.gov/sites/default/files/publications/FY%202018%20CIO%20FISMA%20Metrics_V1_Final%20508.pdf，2018.

[4] FY 2017 CIO FISMA Metrics[EB/OL]. https：//www.dhs.gov/sites/default/files/publications/FY%202017%20CIO%20FISMA%20Metrics-%20508%20Compliant.pdf，2017.

[5] FY 2017 IG FISMA Metrics[EB/OL]. https：//www.dhs.gov/sites/default/files/publications/Final%20FY%202017%20OIG%20FISMA%20Metrics%20v1.0%20dhs%20formatted-%20508%20compliant%20v2.pdf，2017.

[6] 郭臣.安全檢查保障信息系統安全[J].信息安全與技術，2010（7）：6-9.

[7]. 美國聯邦信息系統安全標準制定實施規劃研究[J].保密科學技術，2012（10）：27-32+1.

[8] 楊碧瑤，王鵬.從《聯邦信息安全管理法案》看美國信息安全管理[J].保密科學技術，2012（8）：37-39.

[9] 許玉娜.美國家標準和技術研究院信息安全標準化系列研究（七） 聯邦信息安全管理法案實施項目進展研究[J].信息技術與標準化，2011（10）：35-39.

[10] 張明天，王惠蒞，楊晨，楊建軍.美國國家標準和技術研究院信息安全標準化系列研究（四） FIPS 199《聯邦信息和信息系統安全分類》標準解讀[J].信息技術與標準化，2011（7）：52-55.

[11] 嚴霄鳳，高熾揚.美國聯邦信息安全風險管理框架及其相關標準研究[J].信息安全與通信保密，2009（2）：40-44.