一、国际信息安全风险管理动态

　　风险管理是当今全球信息安全工作的一个热点。据不完全统计，目前关于风险管理的正式出版物、书籍有20多种，博士论文有50多篇，政府工作报告超过100份，能够从网络上查到的学术论文近千份。风险管理的核心内容目前在国际上基本包括以下四个方面：一是确立风险意识的文化；二要对风险进行现实的评估；三是要确立风险承担制；四是将风险管理纳入信息化建设的日常工作中。

　　尽管风险管理还称不上是一门精确的科学，但说它是一门富于高度不可预见性的艺术则不过分，美、欧、亚太和相关国际组织均在该领域进行积极有益的探索。

　　1.美国：独占鳌头，加强控管

　　众所周知，美国的信息化程度全球最高、在信息技术的主导权和网络上的话语权等方面占据先天优势，他们在风险管理以及政策支持方面也走在全球的前列：一是制定了从军政部门、公共部门和私营领域的风险管理政策和指南；二是形成了军、政、学、商分工协作的风险管理体系；三是国防部、商务部、审计署、预算管理等部门各司其职，形成了较为完整的风险分析、评估、监督、检查问责的工作机制。

　　（1）DOD：风险评估的领路者。纵观信息安全的历史，不难发现，美国国防部几乎影响了全世界的信息安全概念、观念和理念：1967年，DOD开始研究计算机安全问题，到1970年，即对当时的大型机、远程终端作了第一次比较大规模的风险评估。1977年，DOD提出了加强联邦政府和国防系统计算机安全的倡议。1983年，提出可信计算机系统评估准则（TCSEC），1987年，第一次对新发布的《计算机安全法》的执行情况进行部门级评估。1997年，美国国防部发布《国防部IT安全认证认可规程》（DITSCAP），该规程在2000年由国家安全委员会发布为《国家信息保障认证和认可规程》（NIACAP）。根据美国的网络安全国家战略计划，2007年将对政府各部门的信息安全状况进行更加全面的审计和评估。

　　（2）DOC/NIST：风险评估的推动者。在美国的信息安全风险管理领域，隶属于商务部的“国家标准与技术局”（NIST）扮演着十分重要的角色。2000年，NIST在《联邦IT安全评估框架》中提出了自评估的5个级别，并颁布了《IT系统安全自评估指南》（SP 800-26）。2002年，NIST发布了《IT系统风险管理指南》（SP 800-30），阐明了风险评估的步骤、风险缓解的控制和评估评价的方法。从2002年10月开始，NIST先后发布了《联邦IT系统安全认证和认可指南》（SP 800-37）、《联邦信息和信息系统的安全分类标准》（FIPS 199）、《联邦IT系统最小安全控制》（SP 800-53）、《将各种信息和信息系统映射到安全类别的指南》（SP 800-60）等多个文档，以风险管理思想为基础加强联邦政府的信息安全。

　　（3）OMB/GAO：风险评估的监督者。为了确保信息安全风险管理工作落到实处，美国政府在各部门年度财政预算中专门安排了风险评估的经费。

　　1978年，美国白宫管理和预算办公室（OMB）发布《联邦自动化信息系统的安全》（A-71）通告。1979年，颁布第一个联邦风险评估的标准：《自动数据处理系统（ADP）风险分析标准》（FIPS 65）。尤为重要的是，2002年，颁布了《联邦信息安全管理法案》（FISMA），要求联邦各机构必须进行定期的风险评估。

　　美国总审计署（GAO）根据“信息技术投资管理办法”（ITIM）每年对各政府部门的信息安全情况进行制度化的评估和审计，并公布结果。

　　（4）学术界：风险评估的探索者。美国政府通过信息安全法案确立了信息安全教育计划，他们资助20多所著名大学开展与信息安全风险管理相关的研究和人才培养工作。以卡内基梅隆大学为例：美国的国家安全计划和军方均对该校予以强有力的支持。我们非常熟悉的SSE—CMM（信息安全工程能力成熟度模型）以及这些年来为世界风险评估熟悉并采用的OCTAVE（信息安全风险评估方法），就是由该校研究提出的。

　　（5）商业界：风险评估的实践者。除了学术界，在美国，商界也积极参与到信息安全风险评估工作之中，它们不仅积极开展商业性质的风险评估服务，而且投入研究经费，开发专门用于风险评估的专用工具，比如：美国CSCI公司开发的RiskPAC在进行定性和定量风险评估上特色突出；美国RiskWatch公司的风险评估产品综合各类相关标准进行风险评估和风险管理，市场占有率极高；美国XACTA开发的产品主要依据NIACAP、DITSCAP进行C&A过程，在市场上较有影响。
2.欧洲：不甘落后，重在预防

　　欧洲在信息化方面的优势不如美国，但作为多个老牌大国的联合群体，欧洲不甘落后。他们在信息安全管理方面的做法是在充分利用美国引导的科技创新成果的基础上，加强预防。欧陆诸国在风险管理上一直探索走一条不同于美国的道路。“趋利避害”一直是欧洲各国在信息化进程中防范安全风险的共同策略。

　　信息安全风险管理和评估研究工作一直是欧盟投入的重点。2001年至2003年，欧盟投资，四个欧洲国家（德国、希腊、英国、挪威）的11个机构历时3年时间，完成了安全关键系统的风险分析平台项目CORAS（见图1）。该项目使用UML建模技术，开发了一个面向对象建模技术的风险评估框架，这是一个基于模型的风险评估方法。一期项目完成之后，欧盟继续投资为期三年的二期项目COMA，预计2007年完成。从一期项目的既有成果看，可以称其为欧洲经典，因为他们把广泛采用成熟的技术并用于管理实践，包括风险文档、风险管理过程、完整的风险管理和开发过程以及基于数据综合的工具集平台，整个风险评估框架鲁棒性强，闪现出前欧洲理性思想的光芒，值得我们关注。

图1　CORAS架构

　　（1）英国：BS7799享誉全球。英国标准管理部门（BSI）推出的BS 7799是大家熟悉的风险管理标准。该标准分为“BS7799-1：1999信息安全管理实施细则”和“BS7799-2：2002信息安全管理体系规范”两部分，是全球提出最早、影响面最广、接受程度最高的标准，目前已成国际标准。

　　英国不仅提出了BS 7799标准，而且还开发了相应的工具或软件：英国CCTA遵循BS7799开发了CRAMM风险评估工具；英国C&A系统安全公司推出了COBRA（Consultative，Objective and Bi-functional Risk Analysis）工具，由一系列风险分析、咨询和安全评价工具组成。无论从理论上还是从实践上看，BS7799的影响都是世界性的。

　　（2）德国：日尔曼人的“基线”防御。德国也不例外，《德国联邦IT基线防护手册（ITBPM）》就以德国人的严谨、周密而著称。1991年，德国建立了信息安全局（BSI），主要负责政府部门的信息安全风险管理和评估工作。1997年，德国颁布《信息和通信服务规范法》。这些年来，他们在风险评估方法上不断紧随BS 7799。

　　3.亚太：及时跟进，确保发展

　　亚洲各国多为信息化领域的发展中国家，它们大多采取抢抓信息化发展机遇，把发展放在首位的战略，风险管理工作均是为了更好地发展，比如：日本：在风险管理方面就综合美国和英国的做法，建立了“安全管理系统评估制度”（ISMS），作为日本标准（JIS），启用了ISO/IEC17799-1（BS7799）指导政府和民间的风险管理实践。韩国：主要参照美国的政策和方法，通过专门成立的信息安全局，强力推进风险管理的实践。新加坡：主要参照英国的做法，在信息安全风险评估方面依据BS 7799，并向亚洲邻国输出其信息安全风险管理的专门知识和服务。
4.国际组织：积极配合，重在规范

　　国际性组织在全球化、信息化进程中扮演着越来越重要的角色。它们在信息安全风险管理上发挥着企业、商业和行业上的自律和规范作用。ISO、ITU、ISACA的作用不可小视。

　　（1）ISO：专业的普通话。我们把ISO说成是“专业的普通话”。ISO一直致力于信息安全标准的制定，从最早的安全管理指南到现在推行的27000系列标准；从过去的成熟度模型（SSE-CMM）到安全评估通用准则（CC）。ISO在统一全球的认识、统一技术语言、统一实践行为方面做出了很大的努力，先后推出了一系列安全风险管理相关标准。

　　ISO/IEC 13335《IT安全管理指南》；ISO/IEC17799；ISO27000系列；ISO27000信息安全管理体系基本原理和词汇；ISO27001信息安全管理体系要求；ISO27002信息安全管理实践准则；ISO27003信息安全管理实施指南；ISO 27004信息安全管理的度量指标和衡量；ISO27005信息安全风险管理指南；ISO27006信息和通信技术灾难恢复和服务指南。ISO/IEC21827：2002（SSE-CMM）：信息安全工程能力成熟度模型。ISO/IEC15408：IT安全评估通用准则（CC）等标准。

　　（2）ITU：产业的风向标。ITU在引导电信产业发展方面，也制定了一系列的标准。尽管有的没有直接说成是安全管理、安全风险、风险评估，但在标准里都体现出这样的思想，因为通信、信息服务产业必须把安全管理作为其基本业务和基础服务的一部分。在安全体系和框架方面主要维护X.800系列标准；在信息安全管理方面已发布：《ITU-TX.1051信息安全管理系统——通信需求（ISMS-T）》；在安全通讯业务方面涉及所有网络与信息安全，主要集中在移动通信安全、P2P安全认证、Web服务安全等。已发布标准“ITU-TX.1121移动端到端数据通信安全技术框架”、“ITU-TX.1121基于PKI实施安全移动系统指南。”

　　（3）ISACA（国际信息系统审计与控制协会）：行业的协调人。ISACA作为国际系统审计和控制行业中的牵头者。这些年来也公布了一系列标准和规范，应该说这些标准更符合商业的特色。比如：《信息系统风险评估》（2002），《控制风险的自评估》（2003），《安全评估：渗透性测试和脆弱性分析》（2004）等。

　　（4）风险管理中的新重点。

　　——充分认识高技术面临的低技术威胁。

　　——高度关注“神风敢死队”似的攻击者。

　　——认真对待“无国籍”力量的迅速兴起。

　　——网络效应使风险预警时间大大缩短。

　　（5）安全测度指标（Metrics）成为关注焦点。除了上述对国际风险管理工作的横向扫描外，我们还可以对国外的风险管理技术研究本身作一个纵向的观察。分析该领域近年来的发展，可以明显看出，近年的研究焦点便是对信息安全测度指标的研究。

　　①美国将其列为重中之重。

　　——2006年4月，美国发布了《联邦网络安全和信息保障研究开发规划》（Federal Plan for Cyber Security and Information Assurance Research and Development），提出需要用安全测度指标来衡量安全措施的有效性、改进安全审计、指导基于风险的安全投资。

　　——美国国家安全系统委员会（CNSS）2006年会，提出急需采用有效的安全测度指标以评估安全状况。

　　——美国信息安全研究委员会2005年11月发布的“难题清单”将“企业级的安全测度指标”确定为8大优先项目之一。

　　——美国总统信息化咨询委员会在2005年2月向布什总统提交的一份题为“Cyber Security：A Crisis of Prioritization”中，将“安全测度指标”确定为10大优先发展项目之一。
——国家研究委员会2003发表的《用于反恐的信息技术：防患于未然》报告提出要制定有效、实用的安全测度指标。

　　——国家研究委员会2002发表的《使国家更安全：科学技术在反恐中的作用》报告提出需要用安全测度指标来衡量IT安全措施的有效性。

　　②对测度指标的评价标准日见明确。由于信息安全的复杂性和不明显性，对信息安全风险测度指标的选择和评判一直是困扰理论界和实践界的瓶颈问题，经过多年的研究和实践，人们逐步在对测度指标的评判上形成一些可贵的共识，比如：

　　——测度指标应与业务目标和目的紧密关联，要能为一个机构的信息安全工作改进提供指导。

　　——测度指标应能产生有意义的、有用的结果，即要体现需要测度的相关内容。

　　——测度指标应充分考虑到不同使用者的不同需要，即要满足被评估方财务、技术、运营、法务和高层管理等不同层次和不同角色人的需要。

　　——测度指标应能为各种信息安全专业人士所接受和运用。

　　——测度指标应涵盖整个安全工程和生命周期。

　　——测度指标应能应用于多种不同的测度范围，即从单个的安全控制系统、网络到整个信息基础设施。

　　——测度指标应考虑到不同的资产价值，不同的威胁环境和不同的信息敏感层次。测度指标应既要相对客观独立，又要能相互结合以反映交叉问题。

　　——测度指标应有较好的逻辑结构和良好的可用性等等。

　　应该说，这些共识对信息安全风险的测度和评价而言，虽然很基础、甚至是很初步的，但都是十分重要的进展，值得我们关注。

　　（6）风险评估相关的研发工作模式发生转变。随着网络安全重要性的提升，各国纷纷实施战略调整，将网络与信息安全列为国家安全的重要内容。但是原有的科技研究和开发工作模式与信息安全形势下对技术研发开展大协作的要求之间存在差距，在一定程度上阻碍了信息安全战略的贯彻实施。传统的研发模式由个人对项目，即由项目主管直接面向社会分包项目，这种方式导致责任无法落实，自然人无法为项目的实施效果承担应有的法律责任；同时大量的研发资金分散到一些小项目中，尽管项目在数量上很可观，但是项目研发成果的实用效果差，失败率高，违背了信息安全对风险评估核心关键技术的高标准和高要求，而且过去分散式的管理造成研发缺少统一设计、需求与实践脱节，项目成果无法满足实际需要的局面。

　　原有技术研发模式的缺陷与信息安全大战略实施的不相适应，引发了一场研发组织管理模式的变革。这一变革主要体现在三个转变上：第一，项目管理的个人化转变为法人化；第二，阶段性研发管理转变为生命周期的研发管理；第三，分散式管理转变为政府的集中管控。网络安全研发模式的创新和转变实际上体现了网络安全战略大调整下政府管理模式的转变，它符合信息安全研究大协作的特点，并将逐渐成为信息化时代研发模式的发展趋势。

　　在新的模式中，由于机构对项目实行完整生命周期的法人化，有利于项目执行各阶段责任制的落实；实行集中统一的管理模式，通过设立研发项目技术总体设计和总成单位，对研发全生命周期进行有效的过程管理和监督，确保了实现网络安全技术的互操作性和无缝集成；由分散资金搞小项目转变为集中资金搞大项目协作，将主要资金集中在一些大的研发项目上，大大提高了项目的成功率和技术研发的效果。

　　美国在2004年之前执行的是旧有的网络安全研发模式，由国家科学基金会、国防部、国土安全部、商务部国家标准与技术研究所等承担国家网络安全职能的主管部门直接将研发项目分包给美国科研单位、企业、院校来承担。

　　2004年2月，美国出台《网络安全国家战略》，围绕美国在网络安全方面的大的战略性调整，对网络安全研发模式也作了相应转变。以国土安全部为例，2004年国土安全部在其行政序列中下设网络安全研发中心，专门负责国土安全部网络安全研发项目的管理以及协调工作。经过公开竞标，国土安全部选择SRI（设在斯坦福研究所内，长期以来与国防部、国土安全部等美国政府各部门都有合作，在网络安全技术开发上具有丰富的经验和强大的实力）作为研发项目的总体规划和总成单位，并由其管理国土安全部网络安全研发中心，负责协调和执行国土安全部的网络安全研发活动，执行国土安全部网络安全项目研发生命周期的全过程。
在预研阶段，SRI负责对研发需求进行调研，面向网络安全研发用户，包括国土安全部各职能部门（国家网络安全处、国家通信系统等）、涉及国家安全的关键基础网络和重要信息系统（金融、交通、电力等）以及基础设施提供商，确定研发方向。在项目实施阶段，SRI负责协调政府、学术界、企业界协作开展研发活动。在后研发阶段，对研发成果应用到实践演练当中。

　　目前由国土安全部和国家科学基金会提供资金，由SRI作为总体设计和集成单位，协调学术界、产业界和政府部门研究人员承担的两个大型网络安全研发项目DETER和EMIST（旨在创建、维护和支持网络安全研究协作模拟实验环境，建设风险评估测试床和开发科学严格的网络攻击和预防机制测试评估框架和方法）实施效果显著。