|
美國電子政府信息安全指標(biāo)體系及其應(yīng)用
出處:計(jì)算機(jī)安全 日期:2006-7-1
在美國等西方發(fā)達(dá)國家的信息安全建設(shè)中�����,關(guān)鍵基礎(chǔ)設(shè)施安全始終是重中之重���。但是,由于絕大多數(shù)關(guān)鍵基礎(chǔ)設(shè)施不由政府所控制����,這些國家多次強(qiáng)調(diào)要使政府自身信息安全成為全國各部門、各行業(yè)信息安全的榜樣�,以次帶動關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的信息安全工作。因此���,大力發(fā)展電子政務(wù)��,確保電子政府安全�����,已經(jīng)成為西方發(fā)達(dá)國家政府日常運(yùn)轉(zhuǎn)中的重要任務(wù)��。那么�����,“榜樣”究竟表現(xiàn)如何���?2006年3月16日�,依據(jù)最新的電子政務(wù)信息安全指標(biāo)體系��,美國眾議院政府改革委員會發(fā)布了2005財(cái)年聯(lián)邦政府各部門信息安全評分結(jié)果���。在24個被考察的政府部門中����,正可謂“幾家歡喜幾家愁”��。
1��、電子政府信息安全評分制度的法律依據(jù)
以辦公自動化為起點(diǎn)的電子政務(wù)開展以來���,美國聯(lián)邦政府就授權(quán)管理和預(yù)算辦公室(OMB)負(fù)責(zé)開展與政府信息資源管理有關(guān)的工作�,OMB也先后在此方面制定了多項(xiàng)規(guī)章制度����。OMB所定義的信息資源包括了所有類型的信息以及由各種軟、硬件構(gòu)成的信息系統(tǒng)��,信息安全是其中的重大問題����,因此OMB在歷史上逐漸成為美國電子政務(wù)信息安全的主要管理部門。2000年���,美國頒布了《政府信息安全改革法案》(GISRA)��,以法律形式規(guī)定了政府各部門必須對其電子信息系統(tǒng)進(jìn)行風(fēng)險評估����,并定期向OMB報(bào)告���。
2002年����,基于GISRA以來的經(jīng)驗(yàn),美國將GISRA更新為《聯(lián)邦信息安全管理法案》(FISMA)�,并將其作為《電子政府法案》的第三章。FISMA正式確立了對聯(lián)邦政府各部門的信息安全進(jìn)行年度評估并向OMB報(bào)告的框架��。根據(jù)這一法案�����,OMB報(bào)告的來源有兩方面�����,一為聯(lián)邦政府各部門的負(fù)責(zé)人�����,另一來源則為政府各部門內(nèi)的總檢查長(簡稱IG����,該職位受審計(jì)部門委派,由總統(tǒng)任免����,與政府各部門相獨(dú)立),從而確保了評估報(bào)告的可靠性����。
OMB會在每年夏季發(fā)布本財(cái)年的報(bào)告指南,近年來還特別針對各部門負(fù)責(zé)人和總檢查長分別制定了報(bào)告模版�,要求各部門在9月之前提交負(fù)責(zé)人和總檢查長的報(bào)告。根據(jù)這些報(bào)告���,OMB將撰寫聯(lián)邦政府信息安全狀況的總報(bào)告�����,提交國會審議����。
除OMB提交的總報(bào)告外��,社會各界還可以看到另外一份電子政府信息安全評估報(bào)告�����,這就是電子政府信息安全評分表��。不同的是����,前者由作為政府組成部分的OMB做出����,而后者則由國會眾議院政府改革委員會做出���。電子政府信息安全評分表的基礎(chǔ)數(shù)據(jù)來源也是各部門提交的報(bào)告���,但其評價方法是量化的。政府改革委員會特地制定了一套電子政務(wù)信息安全指標(biāo)體系��,評分后可以直觀地了解政府各部門電子政府信息安全的基本情況�。2005年以前,這套指標(biāo)體系尚未成熟�����,一直沒有公開���,只能查詢到各部門最終得分情況�。在本次公開的資料中��,已經(jīng)可以看到包括指標(biāo)體系在內(nèi)的全部資料�����。
2��、2005財(cái)年電子政務(wù)信息安全評分結(jié)果
電子政務(wù)信息安全評分表的結(jié)構(gòu)比較簡單,其背后則是幾經(jīng)改進(jìn)并逐步穩(wěn)定下來的一套科學(xué)的指標(biāo)體系�。表1顯示了自GISRA和FISMA先后頒布以來國會對政府各部門的評分結(jié)果��。
表1說明����,政府各部門的安全狀況在不斷改進(jìn),雖然絕大多數(shù)部門在2001和2002財(cái)年得分不及格(等級為F)��,但自2003財(cái)年開始���,24個部門的平均分已經(jīng)超過及格線�����,并發(fā)展到D+��。而且�,在2005財(cái)年����,有若干個單位得到了A或A+的好成績���,甚至有一個單位得到了滿分。
但表1也同時暴露出了一些非常嚴(yán)峻的問題��。2005財(cái)年���,仍有8個部門的信息安全等級為F���,其中竟然有國防部、能源部�����、國土安全部��、國務(wù)院這4個敏感部門���。因此��,眾議院公布本次的評分結(jié)果后�,對這些部門的批評便一直不斷。
表1 2001-2005財(cái)年各部門評分結(jié)果
|
部門
|
2005財(cái)年
|
2004財(cái)年
|
2003財(cái)年
|
2002財(cái)年
|
2001財(cái)年
|
|
分?jǐn)?shù)
|
等級
|
分?jǐn)?shù)
|
等級
|
分?jǐn)?shù)
|
等級
|
分?jǐn)?shù)
|
等級
|
分?jǐn)?shù)
|
等級
|
|
農(nóng)業(yè)部
|
24
|
F
|
49.5
|
F
|
40
|
F
|
36
|
F
|
31
|
F
|
|
國際發(fā)展局
|
100
|
A+
|
99
|
A+
|
70.5
|
C-
|
52
|
F
|
22
|
F
|
|
商務(wù)部
|
67
|
D+
|
56.5
|
F
|
72.5
|
C-
|
68
|
D+
|
51
|
F
|
|
國防部*
|
38.75
|
F
|
65
|
D
|
65.5
|
D
|
38
|
F
|
40
|
F
|
|
教育部
|
71
|
C-
|
76.5
|
C
|
77
|
C+
|
66
|
D
|
33
|
F
|
|
能源部
|
46.75
|
F
|
48.5
|
F
|
59.5
|
F
|
41
|
F
|
51
|
F
|
|
環(huán)境保護(hù)局
|
97.5
|
A+
|
84
|
B
|
74.5
|
C
|
63
|
D-
|
69
|
D+
|
|
總務(wù)管理局
|
92.5
|
A-
|
79.5
|
C+
|
65
|
D
|
64
|
D
|
66
|
D
|
|
衛(wèi)生和公眾服務(wù)部
|
45.5
|
F
|
49.5
|
F
|
54
|
F
|
61
|
D-
|
43
|
F
|
|
國土安全部
|
33.5
|
F
|
20.5
|
F
|
34
|
F
|
--
|
--
|
--
|
--
|
|
住房和城市發(fā)展部
|
67.5
|
D+
|
28
|
F
|
40
|
F
|
48
|
F
|
66
|
D
|
|
內(nèi)務(wù)部
|
41.5
|
F
|
77
|
C+
|
43
|
F
|
37
|
F
|
48
|
F
|
|
司法部
|
66.5
|
D
|
82.5
|
B-
|
55.5
|
F
|
56
|
F
|
50
|
F
|
|
勞工部
|
99
|
A+
|
83
|
B-
|
86.5
|
B
|
79
|
C+
|
56
|
F
|
|
國家宇航管理局
|
80
|
B-
|
60
|
D-
|
60.5
|
D-
|
68
|
D+
|
70
|
C-
|
|
原子能管理委員會
|
60.5
|
D-
|
88
|
B+
|
94.5
|
A
|
74
|
C
|
34
|
F
|
|
國家科學(xué)基金會
|
95
|
A
|
77.5
|
C+
|
90.5
|
A-
|
63
|
D-
|
87
|
B+
|
|
人事管理辦公室
|
98
|
A+
|
72.5
|
C-
|
61.5
|
D-
|
52
|
F
|
39
|
F
|
|
小型商業(yè)管理局
|
78
|
C+
|
60
|
D-
|
71
|
C-
|
48
|
F
|
48
|
F
|
|
社會安全管理局
|
99
|
A+
|
86
|
B
|
88
|
B+
|
82
|
B-
|
79
|
C+
|
|
國務(wù)院
|
37.5
|
F
|
69.5
|
D+
|
39.5
|
F
|
54
|
F
|
69
|
D+
|
|
運(yùn)輸部
|
71.5
|
C-
|
91.5
|
A-
|
69
|
D+
|
28
|
F
|
48
|
F
|
|
財(cái)政部*
|
60.5
|
D-
|
68
|
D+
|
64
|
D
|
48
|
F
|
54
|
F
|
|
退伍軍人事務(wù)部*
|
46
|
F
|
50
|
F
|
76.5
|
C
|
50
|
F
|
44
|
F
|
|
平均分
|
67.4
|
D+
|
67.3
|
D+
|
65
|
D
|
55
|
F
|
53
|
F
|
* 國防部�、財(cái)政部和退 伍軍人事務(wù)部沒有提交2003財(cái)年的IG獨(dú)立評估報(bào)告,因此這三個部的相應(yīng)數(shù)據(jù)只能依據(jù)其自評估報(bào)告得出��。
3��、指標(biāo)體系評分方法和內(nèi)容概述
政府改革委員會采取的評分方法與OMB每財(cái)年向聯(lián)邦政府各部門下發(fā)的報(bào)告指南密切相關(guān)�����。OMB要求各部門回答的問題中����,絕大多數(shù)都是以百分比作為考量��。某項(xiàng)工作的得分與該工作在單位內(nèi)實(shí)施的范圍成正比����,滿分則為100。例如��,0分表示比例小于最低要求���,例如只有29%甚至更低比率的雇員接受過安全培訓(xùn)�。不同的比例范圍將被賦予不同的分?jǐn)?shù)�,總分?jǐn)?shù)則由各單項(xiàng)分?jǐn)?shù)匯總而成��。最后��,根據(jù)總分評出24個部門各自的級別���。
總分與等級的對應(yīng)如下:
90到93 = A-,94到96 = A����,97到100 = A+
80到83 = B-,84到86 = B���,87到89 = B+
70到73 = C-�,74到76 = C����,77到79 = C+
60到63 = D-,64到66 = D���,67到69 = D+
59及59分以下= F
表2顯示了2005財(cái)年的詳細(xì)評分內(nèi)容�����。該表主要由6部分組成�����,因篇幅所限�,表2中只詳列了前兩部分的內(nèi)容。
需要指出�����,為求完善���,OMB一直在通過更新每財(cái)年的報(bào)告指南來改進(jìn)這些評分項(xiàng)目和賦值權(quán)重,所以各年度的評分內(nèi)容稍有不同���,但OMB同時也在極力確保各財(cái)年之間結(jié)果的一致性和可比性�����。
表2 2005財(cái)年評分內(nèi)容
|
評分要點(diǎn)
|
得分
|
|
A.年度測試
|
20
|
|
1.被檢查的信息系統(tǒng)所占比例
|
1).本部門對多少信息系統(tǒng)進(jìn)行過檢查
|
高影響級系統(tǒng)
|
6
|
|
90-100%
|
6
|
|
75-89%
|
4
|
|
60-74%
|
2
|
|
45-59%
|
0.5
|
|
44%及以下
|
0
|
|
中影響級系統(tǒng)
|
3
|
|
90-100%
|
3
|
|
75-89%
|
2
|
|
60-74%
|
1
|
|
45-59%
|
0.5
|
|
44%及以下
|
0
|
|
低影響級系統(tǒng)
|
1
|
|
96-100%
|
1
|
|
51-95%
|
0.5
|
|
50%及以下
|
0
|
|
2).合同商對多少系統(tǒng)操作過程和設(shè)施進(jìn)行過檢查
|
高影響級系統(tǒng)
|
6
|
|
90-100%
|
6
|
|
75-89%
|
4
|
|
60-74%
|
2
|
|
45-59%
|
0.5
|
|
44%及以下
|
0
|
|
中影響級系統(tǒng)
|
3
|
|
90-100%
|
3
|
|
75-89%
|
2
|
|
60-74%
|
1
|
|
45-59%
|
0.5
|
|
44%及以下
|
0
|
|
低影響級系統(tǒng)
|
1
|
|
96-100%
|
1
|
|
51-95%
|
0.5
|
|
50%及以下
|
0
|
|
3).是否對合同商使用或運(yùn)行的系統(tǒng)依照有關(guān)政策和指南進(jìn)行了檢查
|
96-100%(不扣分)
|
-0
|
|
51-95%(A.1得分扣除50%)
|
-50%
|
|
50%及以下(A.1得分全部扣除)
|
-100%
|
|
B.行動和里程碑計(jì)劃(POA&M)
|
15
|
|
2.本部門是否制定了整個部門范圍內(nèi)的行動和里程碑計(jì)劃
|
1).POA&M是整個部門范圍內(nèi)的過程��,考慮了信息系統(tǒng)中所有已知的安全不足
|
幾乎總是�����,即96-100%的時間
|
3
|
|
大部分時間是�,即81-95%的時間
|
2
|
|
經(jīng)常是,即71-80%的時間
|
1
|
|
有時是����,即51-70%的時間
|
0.5
|
|
很少,即50%及以下的時間
|
0
|
|
2).當(dāng)發(fā)現(xiàn)安全不足時����,有關(guān)人員要為其系統(tǒng)制定、實(shí)施和管理POA&M
|
幾乎總是�����,即96-100%的時間
|
4
|
|
大部分時間是���,即81-95%的時間
|
2
|
|
經(jīng)常是��,即71-80%的時間
|
1
|
|
有時是����,即51-70%的時間
|
0.5
|
|
很少����,即50%及以下的時間
|
0
|
|
3).有關(guān)人員是否經(jīng)常就信息安全補(bǔ)救工作的情況向首席信息官匯報(bào)
|
幾乎總是�����,即96-100%的時間
|
1
|
|
經(jīng)常是��,即51-95%的時間
|
0.5
|
|
很少��,即50%及以下的時間
|
0
|
|
4).首席信息官是否每季度跟蹤���、維護(hù)和檢查POA&M活動
|
幾乎總是,即96-100%的時間
|
2
|
|
大部分時間是�,即81-95%的時間
|
1.5
|
|
經(jīng)常是,即71-80%的時間
|
1
|
|
有時是���,即51-70%的時間
|
0.5
|
|
很少���,即50%及以下的時間
|
0
|
|
5).總檢查長的發(fā)現(xiàn)是否納入了POA&M過程中
|
幾乎總是����,即96-100%的時間
|
2
|
|
經(jīng)常是,即51-95%的時間
|
1
|
|
很少�,即50%及以下的時間
|
0
|
|
6).是否對所發(fā)現(xiàn)的安全不足的緊要程度進(jìn)行了排列
|
幾乎總是,即96-100%的時間
|
3
|
|
大部分時間是�����,即81-95%的時間
|
2
|
|
經(jīng)常是,即71-80%的時間
|
1
|
|
有時是���,即51-70%的時間
|
0.5
|
|
很少��,即50%及以下的時間
|
0
|
|
C.認(rèn)證和認(rèn)可(C&A)
|
20
|
|
3.信息系統(tǒng)安全認(rèn)證和認(rèn)可
|
1).經(jīng)過認(rèn)證和認(rèn)可的系統(tǒng)比例
|
(略)
|
12
|
|
2).其安全控制在一年內(nèi)經(jīng)過測試和評估的系統(tǒng)比例
|
(略)
|
4
|
|
3).其應(yīng)急計(jì)劃經(jīng)過演練的系統(tǒng)比例
|
(略)
|
4
|
|
D.配置管理
|
20
|
|
4.配置管理
|
是否有覆蓋整個部門的配置策略
|
(略)
|
20
|
|
E.事件檢測和響應(yīng)
|
15
|
|
事件檢測和響應(yīng)
|
1).是否有記錄在案的事件檢測和報(bào)告流程
|
(略)
|
7
|
|
2). 是否有記錄在案的向執(zhí)法機(jī)構(gòu)的報(bào)告流程
|
(略)
|
4
|
|
3).是否有向US-CERT報(bào)告的流程
|
(略)
|
4
|
|
F.培訓(xùn)
|
10
|
|
是否能確保包括合同商在內(nèi)的所有人員均受到信息安全培訓(xùn)
|
1).機(jī)構(gòu)的雇員(包括合同商)接受培訓(xùn)的比例
|
(略)
|
4
|
|
2).具有高級安全知識的雇員
|
(略)
|
4
|
|
3).2005財(cái)年是否提供了足夠的培訓(xùn)經(jīng)費(fèi)
|
(略)
|
1
|
|
4).是否在安全意識培訓(xùn)����、道德培訓(xùn)或其它培訓(xùn)中解釋了對等文件共享政策
|
(略)
|
1
|
4����、評分結(jié)果反映的主要問題
針對這套指標(biāo)體系的評分結(jié)果,政府改革委員會總結(jié)出了聯(lián)邦政府電子政府信息安全存在的以下不足:
?����。?)年度測試
某些部門還有大量系統(tǒng)沒有進(jìn)行分類�;雖然大多數(shù)部門對應(yīng)急計(jì)劃的演習(xí)做出了積極努力,但仍有若干部門對高影響級系統(tǒng)應(yīng)急計(jì)劃的演習(xí)比例低于60%����。
(2)配置管理
大多數(shù)部門已經(jīng)開始制定或已經(jīng)實(shí)施了配置管理策略�,但其中一些部門的實(shí)施水平較低�。
?�。?)事件報(bào)告
各部門的事件報(bào)告工作很不理想��。一些部門甚至沒有報(bào)告任何安全事件�����,一些部門報(bào)告的安全事件則比USCERT掌握的一半還要低����。
(4)培訓(xùn)
雖然大多數(shù)部門已經(jīng)對雇員實(shí)施了安全培訓(xùn)����,但安全崗位上的人員還普遍缺乏專門的訓(xùn)練。
?。?)信息系統(tǒng)清單
有相當(dāng)多的部門沒有制定主要IT系統(tǒng)的清單。
5�、結(jié)語
美國電子政府信息安全評分制度本身屬于一種較宏觀的風(fēng)險評估形式,具有很強(qiáng)的系統(tǒng)性特點(diǎn)��。其指標(biāo)體系充分依賴了此前已經(jīng)開展的基礎(chǔ)工作���,例如NIST發(fā)布的800-26��、800-37���、800-53等。從評分結(jié)果看���,美國聯(lián)邦政府各部門的信息安全狀況在2001年和2002年普遍沒有達(dá)到及格線����,但這并不等于其電子政務(wù)安全“不堪一擊”�����,而是反映出主管部門在當(dāng)時尚未就信息安全自評估�、認(rèn)證認(rèn)可、應(yīng)急處理���、培訓(xùn)等工作做出統(tǒng)一�、明確的規(guī)定�����。自從FISMA����、FIPS 199�����、800-53系列等法規(guī)�����、標(biāo)準(zhǔn)和指南發(fā)布后���,這種局面已大為改觀。評分表上���,近三年成績的穩(wěn)固增長已經(jīng)有了很強(qiáng)的說服力����。由此可見�����,一套行之有效的信息安全指標(biāo)體系必須建立在牢固的信息安全基礎(chǔ)性工作之上�。指標(biāo)體系的制定,也要具備合適的時機(jī)。
|
