美国联邦政府网络安全风险评估特点分析

张哲宇 于盟 李敏

摘   要：文章介绍了美国联邦政府网络安全风险评估法律基础、技术框架和标准体系，对美国联邦信息安全管理法案及相关标准项目的提出、发展和演变进行了跟踪。通过对美国联邦政府多年的网络安全报告进行分析研究，总结并提出了美国联邦政府网络安全评估的特点。

关键词：网络安全;风险评估;测试评估

中图分类号：TP309          文献标识码：A

Abstract： The article introduced the legal basis， technical framework and standards system of the United States federal government information security risk assessment， and tracked the development and evolution of the Federal Information Security Management Act and related standards. Through the analysis of the U.S. federal government's information security reports， it summarizes the characteristics and changes of the U.S. federal government information security assessment.

Key words： cyber security; risk assessment; test and evaluation

1 引言

21世纪以来，信息技术不断融入生产生活、社会运转、政府管理等各个方面，网络与信息系统在经济稳定运行、社会有序运转中，越来越发挥着无可替代的支撑作用。网络空间作为海、陆、空、天外的第五维空间列入国家安全的范畴已经成为全球共识。各个国家均开始加大网络空间投入，建立网络空间部队、出台网络空间战略，保障本国关键信息基础设施在面对网络安全攻击中能保持安全稳定运行。政府和关键行业开展网络安全测试与评估是掌握本国安全态势，促进关键信息基础设施网络安全保障能力提升的重要手段。美国作为网络空间的领先者，网络技术应用较其他国家走在前列。美国在“9·11事件”之后，更是意识到了网络空间安全的重要性，从2002年就开始布局联邦信息安全检查工作，并推出了一系列的法律法规和标准规范;2012年开始，又对相关法律进行了修订，根据网络安全形势做出了系统性调整，形成了较为完善、能够适应当前网络安全风险评估工作体系;2018年，美国国防部更新《网络空间安全测试与评估指南》，用以指导网絡安全测试评估工作的规划、分析和实施。

2 美国联邦政府网络安全风险评估体系

2.1法律基础

2002年，美国颁布了联邦信息安全管理法（FISMA），是电子政务法案中的第三章。法案强调，信息安全对美国经济和国家安全利益的重要性。法案要求每个联邦机构均应开发、记录并实施机构级的信息安全项目，从而为支持机构运营和资产的信息与信息系统（也包括由其它机构、合同商等其它方面为机构提供或管理的信息和信息系统）提供安全。法案明确了联邦机构、NIST和预算管理办公室的信息安全职责。要求美联邦机构的领导者要实施相关策略和措施，降低信息技术安全风险到可接受的级别;要求各机构每年应总结信息安全项目执行情况，并将结果报告给预算管理办公室。预算管理办公室将根据结果数据形成报告并上报国会。

因全球信息安全威胁变化，美国联邦政府认为仅仅从合规性方面评估联邦机构网络安全难以发挥实效，2012年开始对FISMA法案开始了相应的修订工作，并于2014年通过了新的FISMA法案。调整并明确了由国土安全部负责监督联邦机构信息安全，指导联邦机构开展系统重要程度评估和网络安全风险评估，促进信息共享，制定并执行全局防护计划，预算管理办公室则更偏向于网络安全标准和要求的实施落地，负责检查监督等职能部门信息安全实践。在新的法案中，强调了联邦政府的持续监测能力建设和风险评估的重要性，在上报数据中更加强调措施的有效性，并且明确将信息安全作为员工考核指标。

2.2 技术体系建设

为了促进FISMA条款在联邦机构的实施落地，FISMA明确要求由NIST负责为联邦机构（除国家安全系统之外）开发能为其运营和资产提供充足信息安全保障的标准、指南、相关方法和技术。2003年启动了FISMA实施项目（FISMA Implementation Project），主导推出了针对信息系统和服务安全性的一系列标准以及评估、测试和验证程序。

项目主要包括两个部分。一是持续制定和更新安全标准和指南，有效满足执行相关法例的需求。实施NIST制定的标准和指南将帮助各机构建立和维护健全的信息安全计划，并有效管理机构运营、资产和人员的风险。该阶段的成果主要包括FIPS和NIST的SP系列出版物。二是为联邦机构各部门研发提供实施和评估辅助工具，简化标准和指南落地难度，支持推广风险管理框架的使用。这些辅助工具旨在帮助组织在联邦信息系统的管理、运行和技术安全控制过程中实施NIST制定的标准和指南。安全评估辅助工具工作内容主要包括培训计划、支撑自动化工具开发、产品和服务最低安全基线、安全评估最低基线要求的制定等方面内容。

2.3 安全评估标准体系

目前在NIST主导下，已经完成并发布了一系列重要的安全准则和标准，主要包括信息和信息系统的分类标准（FIPS 199），每个类别的信息和信息系统的信息安全基线要求。从中可以看出，FISMA实施项目重视制定联邦信息系统安全控制、应用风险管理框架、风险管理和评估方面的标准，并且通过制定安全内容自动化协议，支持、推广安全自动化管理，提高标准落实的效率，加强执行力。通过十几年的积累，在FISMA实践方面，已经形成了一套符合信息系统生命周期的信息安全标准框架，为信息系统的分类，如何选择和不容安全防护措施、如何实现、如何评估，如何监控和改进等工作提供了详细参考。

3 美国联邦政府网络安全风险评估特点

3.1 从静态评估转向动态评估

在2009年以前，FISMA主要关注年度报告中对信息系统和安全状态的静态评估。2010年8月，OMB发布的FISMA报告指南备忘录，对FISMA报告提出新要求：从2011年开始，各部门按月上报信息安全数据，明确要求各政府机构每月都需要直接向国土安全部管理的数据中心平台上报一系列安全相关数据，而不再是每年汇报一次。这有利于各机构掌握即时信息安全相关信息，提高了数据的及时性和保真度。

自2009年，各机构开始实施动态连续监控，采用互动的信息安全数据收集平台—CyberScope。数据平台可保证数据上报的安全性和及时性，并实施安全指标以提前洞察安全态势。2010年继续使用推广CyberScope，实施持续监测以收集实时数据。FISMA 2010财年报告阐述了及时掌握安全态势、活动和威胁相关准确信息的重要性，强调进行彻底即时的安全控制评估。

美国联邦政府信息安全评估从静态转向动态，说明了美国对联邦信息安全的重视程度在不断提升，美国试图通过持续实施动态监测以收集实时数据，最大限度地提高安全相关信息的及时性和保真度，来构建一种防御性战略，保护其信息和信息系统安全。

3.2 重视应用风险管理框架进行风险管理和评估

NIST出版的SP 800-37《联邦信息系统应用风险管理框架指南：安全生命周期方法》中，将传统的信息系统认证和认可（C&A）过程，转变为一个具有六个步骤的风险管理框架，该框架有利于识别信息系统的运作和使用相关风险。“SP 800-37”要求联邦信息系统应用风险管理框架，从以前的定期C&A过程发展为连续的安全授权（Authorization）過程。

自2010年，联邦政府开始实施NIST“风险管理框架”概念，作为连续监测程序的一部分。2010年4月，OMB要求联邦机构采用风险管理框架，并向CyberScope报告相关情况。在FISMA 2010财年报告中，专门阐述了实施风险管理框架的意义，通过采取具体的管理、可行和技术安全控制措施，维护信息系统的安全，并为高层领导人提供必要的信息。报告还专门统计了各机构实施“NIST 800-37”的IT安全成本状况。此外，作为FISMA实施项目的成果，NIST还出台了SP 800-53A 修订版1、SP 800-39 最终版以及SP 800-30 修订版1，作为风险管理框架的补充，指导各机构进行风险管理和评估。

从近年来FISMA年度报告看出，目前美国联邦政府网络安全评估，是基于资产识别、保护、检测、响应、恢复的能力成熟度评估框架下开展，重点关注资产管理能力、漏洞管理能力、安全配置管理能力、身份验证措施落实、反钓鱼和恶意软件防御能力。

3.3 提倡全生命周期的测试与评估

2018年4月美国国防部（DOD）公布了《网络空间安全测试与评估指南2.0》，从理解网络安全需求、网络攻击特征化、脆弱性识别协作、对抗性网络安全测试评估、漏洞协作和渗透评估、对抗性评估六个阶段，为全生命周期网络安全测试评估提供了指导，如图1所示。

为保证网络安全测试评估的有效性，建议测试人员从第一阶段开始参与规划、分析、实施。同时，DOD也指出，由于系统架构及操作环境的变化，或在新威胁出现时，测试评估过程具有阶段迭代特点。

3.4 逐步实现安全管理自动化

2010年OMB关于FISMA的备忘录指出，各政府机构应具备监控安全相关信息的能力，这种能力应该是持续的、可管理及可控制的。为了做到这一点，各政府机构需要加快安全相关行动的自动化进程，使用安全管理工具确立安全相关信息之间的关系并进行分析。政府机构需要开发自动化的风险模型，并在安全管理工具中将风险模型应用于系统弱点和威胁的识别，要求将自动化工具整合到FISMA实施过程中。

根据FISMA的要求，NIST于2010年、2011年分别发布了SP 800-117：安全内容自动化协议（SCAP）1.0版本、SP 800-126 修订版2：安全内容自动化协议（SCAP）技术规范：SCAP 1.2版本。这些标准/技术规范为各机构实施自动化安全管理工具提供指导。

FISMA报告指出自动化配置和漏洞管理工作是联邦政府重要任务之一，并在NIST、NSA和联邦CIO委员会的引导下，越来越多的公共和私营机构采用自动化工具来进行系统评估。从报告数据可以看出，联邦机构在自动化资产管理和自动化漏洞管理方面取得了一定进展。

OMB备忘录的指示、NIST出台的标准以及近年FISMA报告内容，都体现了美国联邦政府愈来愈重视实施自动化安全管理，以实时管理信息系统、修复系统漏洞，进行自动监控和系统评估，来满足信息系统的安全需求。

3.5 注重信息安全措施的成效评估

为了进一步提高FISMA的执行效果，2009年OMB成立了一个工作小组，重新制定了政府机构报告应包含的安全衡量指标，这些新指标更注重信息安全措施的成效性。2010年的FISMA报告指南备忘录要求：“应理解这些安全衡量指标指明了政府机构应该把资源集中于哪些内容，该工作组制定的安全衡量标准将推动政府机构审查其面临的风险，大幅改进他们的安全状况”。2011年的FISMA备忘录明确规定，各机构必须在CyberScope平台上回答一组涉及安全功能实施的评估和其成效衡量的信息安全问题。

自2016年以来，安全指标工作组每年制定网络安全管理、个人隐私保护等方面的指标，以评估安全性能、衡量安全措施、个人隐私数据保护等措施的有效性并确定其风险水平。这些指标主要分为三类：执行层面的指标、成效层面指标和结果（影响）层面的指标。与2013年前不同的是，评估指标项目已经从关注工作落实向关注措施效果方面转变，由联邦机构的首席信息官根据检查项目对安全能力进行评定，由督查官对整体防护能力成熟度进行评价，更加侧重从结果角度去评估，关注重大事件的发生和处置情况。

3.6 关注新技术信息安全问题

近年来，FISMA的实施越来越重视新技术（主要是云计算）的信息安全问题。NIST在FISMA的指导下，出版了一系列关于云计算信息安全的准则/指南，包括SP 800-145：NIST关于云计算的定义和SP 800-144：公共云计算安全和隐私准则，SP 800-146：云计算概要和建议等。早在2009年和2010年的报告中，就已经强调重视云计算安全。

为了解决云安全问题，宏观层面美国已经制定出了政府层面的解决方案，包括联邦风险和授权管理计划（FedRAMP），为云计算服务和产品提供标准途径。FedRAMP允许政府和商业机构联合授权，为跨机构的云计算系统提供持续的监控服务。云服务提供商的联合授权导致共同安全风险模型，有利于联邦政府审批。政府只需一次审批，就能保证云服务多次使用，确保各个机构从FedRAMP的授权中受益。此外，NIST也与相关部门合作，在云安全、可移植性和互操作性的标准化方面达成共识，这些举措以及FISMA的实施，将保证联邦政府的云安全。

4 结束语

伴随着全球信息化、云计算和大数据等技术的应用和发展，网络安全问题已逐步上升至国家战略层面，而风险评估是识别網络安全风险、评估网络安全影响范围的重要方法。本文通过对美国联邦政府网络安全风险评估的法律基础、技术框架和标准进行体系化分析，总结并提出了美国联邦政府网络安全风险评估特点，为完善我国网络安全风险评估工作提供了参考和补充。

参考文献

[1] Office of Management and Budget[EB/OL]. http：//www.whitehouse.gov/omb/，2018.

[2] Federal Information Security Modernization Act[EB/OL]. https：//www.dhs.gov/fisma，2019.

[3] FY 2018 CIO FISMA Metrics[EB/OL]. https：//www.dhs.gov/sites/default/files/publications/FY%202018%20CIO%20FISMA%20Metrics_V1_Final%20508.pdf，2018.

[4] FY 2017 CIO FISMA Metrics[EB/OL]. https：//www.dhs.gov/sites/default/files/publications/FY%202017%20CIO%20FISMA%20Metrics-%20508%20Compliant.pdf，2017.

[5] FY 2017 IG FISMA Metrics[EB/OL]. https：//www.dhs.gov/sites/default/files/publications/Final%20FY%202017%20OIG%20FISMA%20Metrics%20v1.0%20dhs%20formatted-%20508%20compliant%20v2.pdf，2017.

[6] 郭臣.安全检查保障信息系统安全[J].信息安全与技术，2010（7）：6-9.

[7]. 美国联邦信息系统安全标准制定实施规划研究[J].保密科学技术，2012（10）：27-32+1.

[8] 杨碧瑶，王鹏.从《联邦信息安全管理法案》看美国信息安全管理[J].保密科学技术，2012（8）：37-39.

[9] 许玉娜.美国家标准和技术研究院信息安全标准化系列研究（七） 联邦信息安全管理法案实施项目进展研究[J].信息技术与标准化，2011（10）：35-39.

[10] 张明天，王惠莅，杨晨，杨建军.美国国家标准和技术研究院信息安全标准化系列研究（四） FIPS 199《联邦信息和信息系统安全分类》标准解读[J].信息技术与标准化，2011（7）：52-55.

[11] 严霄凤，高炽扬.美国联邦信息安全风险管理框架及其相关标准研究[J].信息安全与通信保密，2009（2）：40-44.