聯(lián)邦信息系統(tǒng)和組織風險管理分析與研究

梁露露，賀 強，宋 璟，白云波，方 碩

(中國信息安全測評中心，北京 100085)

0 引言

2002年11月，美國電子政務法案獲得國會投票通過，并由總統(tǒng)簽署生效。該法案強調(diào)了信息安全對美國經(jīng)濟和國家安全利益的重要性，其中的第三款聯(lián)邦信息安全管理法案(FISMA，F(xiàn)ederal Information Security Management Act)賦予了美國國家標準和技術研究院(NIST，National Institute of Standards and Technology)制定聯(lián)邦政府安全標準和指南的職責。SP(Special Publication)800系列標準開始于1990年，主要研究計算機安全方面的標準。在NIST推動下，SP 800系列標準包含一整套計算機安全方面的標準和規(guī)范，包含訪問控制、審計、意識與培訓、安全評估等多個方面，其中風險管理是SP 800系列標準研究的一項重要的內(nèi)容。

SP 800－39［1］(信息系統(tǒng)風險管理:組織、任務、信息系統(tǒng)的角度)是NIST在FISMA基礎上開發(fā)的有關計算機安全的重要文檔。SP800－39為聯(lián)邦信息系統(tǒng)的風險管理提供了指導性建議，包括組織的運營(例如:任務、功能、形象和聲望)、評估等各個方面。其中，將風險管理分為四個部分:組織風險(Frame Risk)、評估風險(Assess Risk)、響應風險(Respond Risk)、監(jiān)控風險(Monitor Risk)。此外，SP 800－39提出三級風險管理組織架構，從組織、使命/業(yè)務和信息系統(tǒng)三個不同角度對風險管理的內(nèi)涵進行了闡釋。其中，信息系統(tǒng)級的風險管理是組織風險管理最復雜、最重要的一項內(nèi)容。

文中對美國信息系統(tǒng)的風險管理模型和原理進行了闡釋，對信息系統(tǒng)級的風險管理進行了重點研究和說明，接著對信息系統(tǒng)的風險管理框架(RMF，Risk Management Framework)分步驟進行了介紹，最后對全文做了總結。

1 風險管理框架簡介

信息系統(tǒng)的安全風險主要指對組織運營、資產(chǎn)、個人、其他組織、國家等產(chǎn)生的風險?；陲L險的安全控制選擇和具體化考慮了有效性、效率和聯(lián)邦法律、行政命令、指令、政策、條例、標準和指導方針的限制。為了將風險管理過程貫穿到整個組織架構，并且能夠更有效的解決使命/業(yè)務的問題，NIST提出了三層的風險管理模型:(i)組織級;(ii)使命/業(yè)務過程級;(iii)信息系統(tǒng)級。風險管理的過程始終貫穿著三層，實現(xiàn)對組織風險相關活動持續(xù)性改進，實現(xiàn)對組織使命/業(yè)務成功有著共同利益的人之間的層間和層內(nèi)部的通信。圖1描述了這三層的風險管理方法。

第一層(TIER1)組織級，根據(jù)組織使命/業(yè)務的功能不同進行優(yōu)先級劃分，同時可以為投資的策略和資金的資助提供參考，促進有價值、有效的信息技術解決方案符合組織的戰(zhàn)略目標。第二層(TIER2)使命/業(yè)務過程級，包括四點內(nèi)容:1)定義使命/業(yè)務過程，以支持組織的使命/業(yè)務功能;2)確定信息系統(tǒng)的安全分類，以實施使命/業(yè)務過程;3)將信息安全需求與使命/業(yè)務過程結合在一起;4)建立一個企業(yè)級架構(包括一個嵌入的信息安全架構)，方便在組織信息系統(tǒng)和系統(tǒng)運營環(huán)境中配置安全控制方法。第三層(TIER3)信息系統(tǒng)級，主要考慮信息系統(tǒng)相關風險。RMF(如圖2所示)正是為了解決信息系統(tǒng)的風險問題。

圖1 三層風險管理方法Fig.1 Three－tiered risk management approach

圖2 風險管理框架Fig.2 Risk management framework

RMF解決了與信息系統(tǒng)設計、開發(fā)、實施、運營和處理相關組織的安全性問題，主要包含以下六步:

步驟一:根據(jù)FIPS PUBS 199(FIPS，F(xiàn)ederal Information Processing Standard)［1］等標準對信息系統(tǒng)進行分類。

步驟二:根據(jù)信息系統(tǒng)的安全分類和定制指南(如果有可能，包含OVERLAYS的使用)，選擇安全控制方法的基線。

步驟三:實施安全控制方法，并對這些控制方法的設計、開發(fā)和實施細節(jié)進行文檔化。

步驟四:評估安全控制方法，確定準確實施的范圍，在滿足系統(tǒng)安全需求的情況下產(chǎn)出期望的收益。

步驟五:如果與信息系統(tǒng)操作和使用相關的組織、個人、國家的風險在可以接受的范圍，則授權系統(tǒng)正常運營。

步驟六:對信息系統(tǒng)安全控制方法和運營環(huán)境進行持續(xù)性監(jiān)控，確定控制方法的有效性，根據(jù)系統(tǒng)和環(huán)境進行改變，使其符合法律、行政命令、指令、政策、條例和標準。

下面將對風險管理框架的六個步驟的主要內(nèi)容分別作介紹。

2 風險管理框架

2.1 信息系統(tǒng)安全分類

風險評估框架的第一步就是對信息系統(tǒng)和系統(tǒng)中的信息進行安全分類。NIST將信息系統(tǒng)分為聯(lián)邦信息系統(tǒng)和國家安全系統(tǒng)兩種，其中FIPS PUBS 199［2］標準對聯(lián)邦信息系統(tǒng)的安全分類提供了參考，而CNSSI(Committee on National Security Systems Instruction)No.1253［3］則對國家安全系統(tǒng)的安全分類和控制方法選擇做了規(guī)范和進一步說明。文中討論的信息系統(tǒng)風險管理框架是針對聯(lián)邦信息系統(tǒng)。

美國聯(lián)邦信息和信息系統(tǒng)安全分類標準FIPS PUBS 199于2004年2月獲得美國商務部批準通過，是FISMA法案要求的第一個強制性安全標準。為配合FIPS PUBS 199的使用，美國國家標準和技術研究院NIST于2008年推出聯(lián)邦信息和信息系統(tǒng)安全分類指南 NIST SP 800－60［4］(最早 2004 年發(fā)布，2008年發(fā)布修訂版)，更詳細的介紹了聯(lián)邦信息系統(tǒng)中可能存在的信息類型，為信息系統(tǒng)分類提供參考。

FIPS PUBS 199標準要求聯(lián)邦機構針對安全目標的不同將信息和信息系統(tǒng)分為低影響(Low－Impact)、中影響(Moderate－Impact)和高影響(High－Impact)三級(詳見表1)。

FISMA為信息和信息系統(tǒng)定義了三種安全目標:

1)機密性:嚴格限制信息的訪問和公開，保護個人的隱私信息。

2)完整性:保護信息防止不恰當?shù)男薷暮蛽p壞，確保信息的不可否認性和真實性。

3)可用性:確保訪問可用信息的及時性和可靠性。

這種定義是基于某些事件的發(fā)生會對信息系統(tǒng)的安全目標產(chǎn)生潛在影響的這個假設，根據(jù)對不同安全目標的影響最終確定信息系統(tǒng)的類型。對聯(lián)邦信息系統(tǒng)的安全分類主要有以下四個步驟:

第一步，首先確定信息系統(tǒng)內(nèi)的信息類型。由于應用不同，信息系統(tǒng)可能含有多種不同信息，例如完成特定使命相關的信息、管理和運維的相關信息等。文獻 NIST SP 800－60［4］中的表 4、表 5和表 6對常見的信息類型進行了描述，組織根據(jù)實際需求識別并標識系統(tǒng)中的信息類型。

第二步，根據(jù)機密性、完整性、可用性的安全目標，為不同的信息類型分配潛在影響值，有低、中、高三種。信息類型的安全分類可用下面形式描述:

信息分類={(機密性，影響值)，(完整性，影響值)，(可用性，影響值)}

其中影響值有低、中、高和不適用四種。

第三步，對第二部中信息類型的分類進行審定和調(diào)整，確定信息類型的潛在影響值。這一步不可省略，信息類型的影響值可能隨著時間和應用場景的變化而不同。例如，合同信息合同完成之前機密性的潛在影響值為中，當合同結束后，其潛在影響值則為低。

第四步，確定信息系統(tǒng)的影響等級，對系統(tǒng)內(nèi)的信息類型進行整合，信息系統(tǒng)每個安全目標的影響值為系統(tǒng)內(nèi)所有信息類型在該安全目標的最大影響值。最終信息系統(tǒng)的安全分類可用如下形式描述:

信息系統(tǒng)分類={(機密性，影響值)，(完整性，影響值)，(可用性，影響值)}

接著，信息系統(tǒng)的分類按照如下規(guī)則確定:

1)當對三個安全目標的影響值都是低影響時，系統(tǒng)為低影響系統(tǒng)。

2)至少有一個安全目標的影響值是中影響且沒有一個安全目標是高影響時，系統(tǒng)為中影響系統(tǒng)。

3)至少有一個安全目標的影響值都是高影響時，系統(tǒng)為高影響系統(tǒng)。

2.2 安全控制方法的選擇

FIPS PUBS 199標準要求聯(lián)邦機構針對安全目標(機密性、完整性、可用性)的不同將信息系統(tǒng)分為低影響(Low－Impact)、中影響(Moderate－Impact)和高影響(High－Impact)三級。威脅事件會對信息系統(tǒng)的安全目標產(chǎn)生潛在負面影響，接著根據(jù)對不同安全目標的影響最終確定信息系統(tǒng)的類型。完成對信息系統(tǒng)的安全分類后，接下來根據(jù)分類結果進行安全控制方法的選擇。安全控制方法選擇的主要目的在于通過控制方法中的防護措施，保護組織信息系統(tǒng)、資產(chǎn)等安全，滿足一定的信息安全需求。

表1 聯(lián)邦信息或信息系統(tǒng)影響值［4］Table 1 Federal information and information systems impact value

為了方便使用安全控制的選擇和具體化過程，安全控制方法分為18類。兩個字母的標示符可以唯一地標識一類安全控制方法，例如人員安全(Personnel Security)可以用PS標識。安全控制可能涉及多個方面以全面保護信息和信息系統(tǒng)的機密性、完整性和可用性，F(xiàn)IPS PUBS 200［5］標準定義了涵蓋17個安全領域的最小安全需求。這些安全相關的領域包括:①訪問控制(AC);②意識與培訓(AT);③審計與可問責性(AU);④認證、鑒定、安全評估(CA);⑤配置管理(CM);⑥應急計劃(CP);⑦鑒別與認證(IA);⑧應急事件響應(IR);⑨運維(MA);⑩介質(zhì)保護(MP);?物理環(huán)境保護(PE);?計劃(PL);?人員安全(PS);?風險評估(RA);?系統(tǒng)和服務獲取(SA);?系統(tǒng)和通信保護(SC);?系統(tǒng)和信息的完整性(SI)。這17個最小安全需求加上項目管理(PM)共同構成了安全控制方法的18個分類。

接著我們可以根據(jù)安全分類結果，選擇合適的安全控制方法。

圖3顯示了安全控制方法選擇的整個流程。

圖3 安全控制選擇過程Fig.3 Security control selection process

首先，根據(jù)安全控制基線選擇初始安全控制方法基線。圖4顯示了SP 800－53［6］中附錄D的安全控制方法基線選擇表格的部分內(nèi)容。根據(jù)信息系統(tǒng)分類結果(LOW，MOD，HIGH)結合 SP 800－53附錄D的表格D－2可以確定控制方法的選擇。圖4中的P1，P2，P3等代表優(yōu)先級碼。Priority Code 1(P1)的控制方法比Priority Code 2(P2)的控制方法在實現(xiàn)時具有更高的優(yōu)先級，Priority Code 2(P2)的實現(xiàn)優(yōu)先級高于Priority Code 3(P3)。Pri-ority Code 0(P0)則代表任何基線都沒有選擇該安全控制方法。這個推薦的優(yōu)先級碼可以確保其他控制方法依賴的基礎安全控制方法優(yōu)先實現(xiàn)，這樣組織可以依據(jù)有限的資源更有效的實施控制方法。

圖4 安全控制基線部分示例(參見SP 800－53附錄D)Fig.4 Example of Security control baseline

注意，并不是所有的安全控制方法都分配給安全基線，例如TableD－2中的“Not Selected”。當然，也并不是所有的安全控制增強措施都分配給安全基線，例如SP 800－53中 TableD－3到 TableD－19中，分配的控制增強措施標記為“x”。我們用“基線”這個詞是有特殊含義的，所謂基線，即其中的安全控制方法和控制增強措施只是一個起點，用戶可以自行根據(jù)3.2節(jié)中的定制指南刪除、添加特定的控制方法和增強措施。

從SP 800－53的附錄D中選擇安全控制基線后，組織需要初始化定制過程，根據(jù)組織具體的應用情況分配合適的控制方法。定制過程主要包括六個方面:①標識并設計公共控制方法;②考慮剩余安全控制基線的應用范圍;③按需選擇補償性的安全控制方法;④安全控制方法的分配和選擇語句參數(shù)賦值;⑤按需用額外的安全控制方法和控制增強措施補充安全控制基線;⑥按需為控制方法的實現(xiàn)提供詳細的說明信息。定制過程的詳細過程參見SP 800－53中的3.2節(jié)。

最后，組織將安全控制選擇過程中的有關決定文檔化，并在文檔中為這些決定給出可靠的理由。當檢查對組織信息系統(tǒng)使命/業(yè)務影響的安全注意事項時，這個文檔是必不可少的。將安全控制選擇過程中的重要風險管理決策文檔化是非常重要的，有利于授權官員參考充足的信息為組織信息系統(tǒng)做出更為明智的決策。如果沒有這些信息，當信息系統(tǒng)狀態(tài)或運營環(huán)境改變時，支持這些風險管理決策的協(xié)議、假設、限制和基本原理很有可能不再適用。

2.3 安全控制方法的實現(xiàn)

在選擇安全控制方法后，需要實現(xiàn)相關的安全控制方法。這個步驟中主要包含兩個方面任務，一個是安全控制的實施，實施安全計劃中規(guī)定的安全控制;另一個是安全控制文檔化，適時地在安全計劃中記錄安全控制的實施，并為控制方法的實施過程提供一種功能性的描述，包括計劃中的輸入，預期的行為和輸出。

安全控制方法的實現(xiàn)與組織文化、信息安全架構密切相關。選擇安全控制方法后，組織需要將安全控制方法按其種類分配給信息系統(tǒng)不同的功能組件，以提供特定的安全功能。當然，并不是所有的安全控制方法都需要分配給某個信息系統(tǒng)組件，可以作為將來功能擴展。在信息系統(tǒng)中實現(xiàn)安全控制方法時，組織需要利用行業(yè)最佳實踐，例如系統(tǒng)和軟件工程方法論、安全工程原理、安全編碼技術等。此外，組織需要確保信息系統(tǒng)中的信息技術產(chǎn)品已經(jīng)做了一些強制的安全配置，例如口令復雜度策略等。

安全控制方法的文檔化可以將控制方法如何實現(xiàn)的過程完整記錄下來，這些控制方法包括在信息系統(tǒng)硬件、軟件、固件等使用的各種技術控制方法，記錄的內(nèi)容包括計劃輸入、預期行為、預期輸出等內(nèi)容。此外，安全控制方法實現(xiàn)的文檔化在開發(fā)信息系統(tǒng)過程中提供了一定審計功能和決策的可追溯性。

2.4 安全控制方法的評估

安全控制方法是管理上、運行上和技術上為信息系統(tǒng)提供防護設施或?qū)Σ?，以保護信息系統(tǒng)及其信息的保密性、完整性和可用性，以及抗抵賴性和可鑒別性。組織在實施安全控制方法后，利用安全控制方法評估來判斷實施者和運營商是否達到所需的安全目標。SP 800－53A［7］介紹了有關安全控制方法評估的基本概念，組織信息系統(tǒng)及其運營環(huán)境的安全控制措施評估過程以及與評估相關的評估方法、滲透測試準則和安全評估報告內(nèi)容等詳細信息。

系統(tǒng)開發(fā)生命周期主要包含五個階段［8］:①初始階段;②開發(fā)/獲取階段;③實施階段;④運營與維護階段;⑤廢棄處置階段。安全評估在系統(tǒng)開發(fā)生命周期的不同階段都能有效執(zhí)行，SP 800－53A為系統(tǒng)開發(fā)生命周期(SDLC)內(nèi)的安全評估活動提供一整套評估程序。在生命周期的開發(fā)/獲取階段，信息系統(tǒng)開發(fā)商和系統(tǒng)集成商會定期開展安全評估，保證定制的安全控制方法的有效性;在系統(tǒng)開發(fā)生命周期的實施階段，也許定期開展評估，確保安全控制方法是否有效實施;在系統(tǒng)開發(fā)生命周期的運營和維護階段，信息系統(tǒng)所有者、通用控制方法供應商、信息系統(tǒng)安全官員、獨立評估人員、審計員等也會定期進行安全評估，以確保安全控制方法在系統(tǒng)運行環(huán)境中有效性的持續(xù);最后，在系統(tǒng)開發(fā)生命周期的廢棄處置階段，確保在廢棄信息系統(tǒng)前已經(jīng)安全擦除重要的組織信息。

評估過程(Procedure)主要包含一系列評估目標(Objectives)的集合，每個評估目標由評估方法(Methods)和評估對象(Objects)組成。一個評估對象包含一系列評估安全控制方法的判決語句(Determination Statements)，這些判決語句與安全控制方法的具體內(nèi)容密切相關。評估過程結束后，會輸出評估結果，評估安全控制方法的整體有效性。

評估對象主要包括四種:規(guī)范、裝置、活動、個人。規(guī)范是指以文檔形式記錄下的流程、政策、策略、計劃、系統(tǒng)安全需求等規(guī)范性文檔;裝置的含義較廣，不僅包含信息系統(tǒng)中應用的硬件、軟件、固件等，還包括一些物理保護設備，例如鎖、安全攝像頭、消防設備、防水設備等?；顒邮侵溉斯けＷo信息系統(tǒng)的一些方法和行為，例如監(jiān)控網(wǎng)絡流量、應急演練等。個人是指跟上述規(guī)范、裝置以及活動相關的組織員工，評估他們的行為是否安全。

評估方法主要包括三種，檢查、訪談、測試。檢查方法主要用于審閱、檢驗、研究一個或多個評估對象。檢查的目的是方便評估人員加深對評估對象的理解，獲取評估原始證據(jù)，檢查包含評估對象的三個方面，規(guī)范、裝置、活動。訪談方法是指評估人員對組織的員工進行訪談，主要涉及評估對象中個人的因素。測試方法是指評估人員在特定場景下，對評估對象的一個或多個方面(活動、裝置)進行評估，查看其輸出是否是預期的結果。在這三個評估方法中，都是為了獲取證據(jù)，方便評估人員對判決語句做出判決，完成評估過程。評估方法和評估目標的完整描述可以參見SP 800－53A的附錄D［7］。

不同的評估方法還有一個評估的深度(Depth)和覆蓋度(Coverage)的問題。深度的屬性主要用來衡量檢查、訪談和測試過程的細節(jié)程度，其值有基本的(Basic)、聚焦的(Focused)、全面的(Comprehensive)三種。覆蓋度的屬性則用來衡量檢查、訪談和測試過程的范圍和廣度，包括規(guī)范、裝置、活動、個人的類型和數(shù)量。與深度類似，覆蓋度的屬性也有基本的、聚焦的、全面的三種取值。評估方法選擇什么樣的深度和覆蓋度與組織信息系統(tǒng)的安全保障需求有關，而安全保障需求則與安全控制方法的開發(fā)、實現(xiàn)等密切相關，也隨著評估活動的嚴謹性的提高而增加。SP 800－53A的附錄D對評估方法的屬性及其不同取值的含義有更為細致的闡釋。

SP 800－53和SP 800－53A是NIST風險評估框架中最重要的兩個文檔之一，對應與RMF中的第二步和第四步，是美國的聯(lián)邦信息系統(tǒng)提供選擇安全控制方法和評估安全控制方法的指導方針，為信息系統(tǒng)提供一致的、可比較的和可重復的方法指導風險評估。NIST于2013年4月發(fā)布SP 800－53第四版［9］，然而 SP 800－53A 最新發(fā)布版本是于2010年6月發(fā)布，是以2009年8月發(fā)布的SP 800－53第三版［6］為依據(jù)，對SP 800－53第三版中的安全控制方法進行評估。SP 800－53和SP 800－53A作為NIST制定的RMF風險管理框架的重要組成部分，結合NIST為風險管理等制定的系列標準，為美國的國家信息安全保障提供了強有力的支撐。

2.5 信息系統(tǒng)的授權

如果與信息系統(tǒng)操作和使用相關的組織、個人、國家的風險在可以接受的范圍，則授權系統(tǒng)正常運營。在第四步，安全控制方法評估結束后，應根據(jù)SP 800－53A附錄G［7］制定安全評估報告。安全評估報告為風險評估提供一個結構化、文檔化的標準方式，呈現(xiàn)出安全控制方法弱點或缺陷評估結果并給出相應的修改建議?；诎踩u估報告，授權信息系統(tǒng)這一步主要包含四個內(nèi)容:行動計劃及時間表、安全授權包、風險判決、風險接受。

首先，根據(jù)評估報告發(fā)現(xiàn)的弱點或缺陷和給出的建議準備行動計劃及時間表。行動計劃及時間表由信息系統(tǒng)所有者或通用控制方法供應商負責制定并完成，是安全授權過程的三個關鍵文檔之一，其主要目的在于標明信息系統(tǒng)中仍然存在的脆弱點，并修改評估報告指出的弱點或缺陷，給出修改證據(jù)。因此，行動計劃和時間表應該包含四個方面的內(nèi)容:①在信息系統(tǒng)啟用之前或之后需要完成的任務;②完成任務所需要的資源;③完成任務的其他時間表;④時間表的預期完成時間。利用行動計劃和時間表可以更有效的對評估報告中指出的脆弱點進行彌補，并可以對整改過程進行完成記錄。

安全計劃［10］、安全評估報告和行動計劃和時間表三個文檔組合在一起形成安全授權包(Security Authorization Package)，提交給相關授權官員。授權官員根據(jù)這三個文檔中的信息判決這個信息系統(tǒng)建設是否符合相關法律、法規(guī)。對于一些繼承來的通用控制方法，安全授權包也需包含這些通用控制方法的相關文檔。此外，當某些安全控制方法由第三方供應商提供時，組織需要確保第三方也能夠準確提供這些安全控制方法的相關信息。

接著，授權官員或指定的代表與高級信息安全官合作，評估信息系統(tǒng)所有者或通用控制方法供應商所提供的信息。組織通過風險評估(正式的或非正式的)獲取一些重要有價值的信息，例如威脅、脆弱點、潛在影響以及風險減輕建議等。此外，組織還通過信息系統(tǒng)的使命及業(yè)務功能以及風險管理戰(zhàn)略獲取其他風險相關重要信息。所謂的風險戰(zhàn)略主要包括:①組織內(nèi)如何實施風險評估(工具、技術、過程、方法論等);②從嚴重性或緊急性如何評價風險;③從組織信息系統(tǒng)和其他資源獲取的已知風險;④風險減輕的方法;⑤組織風險容忍度;⑥隨著時間推移如何持續(xù)性監(jiān)測風險。最后，授權官員或指定代表參考風險授權包以及上述獲取的其他重要信息做出最終的風險判決。

根據(jù)風險判決結果，授權官員需要確定該風險對組織的運營(主要包括使命、職責、名譽、聲望)、資產(chǎn)、個人、其他組織或國家的影響程度是否在可以接受的范圍，這個職責只能由授權官員行使，不允許指派給組織內(nèi)其他官員。組織官員審閱所有風險判決相關的信息，然后對信息系統(tǒng)和繼承來的通用控制方法發(fā)布授權決議。安全授權決議參考了安全授權包的內(nèi)容，必要時也需要組織其他重要官員(例如風險管理官)的幫助。安全授權決議最終形成授權決議文件，授權決議文件包含三個部分內(nèi)容:①授權決議;②授權條款和條件;③授權終止日期。授權決議是指該信息系統(tǒng)是否授權運營的決議，有授權運營或非授權運營兩種狀態(tài)。授權條款和條件是指該信息系統(tǒng)運營的一些限制性條件。授權終止日期則表明了此授權的使用期限。最后，授權官員將授權決議文件與安全授權一起發(fā)送給信息系統(tǒng)所有者。

2.6 安全控制方法的持續(xù)性監(jiān)測

信息系統(tǒng)得到授權后，表明安全控制方法的有效性得到滿足。然而，隨著時間的推移，部分安全控制方法的有效性將大大折扣。因此，我們需要對組織信息系統(tǒng)的安全控制方法持續(xù)性的監(jiān)測，當系統(tǒng)環(huán)境改變時仍然能夠保證控制方法的有效性，并使其符合相關法律、法規(guī)、政策或標準。

信息安全持續(xù)性監(jiān)測是指對信息安全、脆弱性、威脅保持持續(xù)性監(jiān)測。所謂的持續(xù)性監(jiān)測是指對安全控制方法和組織以一定頻率進行周期性的評估與分析，充分保護組織信息系統(tǒng)或信息的安全。具體來說，ISCM需要對安全控制方法的有效性和組織安全狀態(tài)進行持續(xù)性的分析與評估，使風險在組織可以承受的范圍之內(nèi)。安全控制方法的有效性是查看安全控制方法實施的準確性和充分性是否可以滿足組織安全需求，而組織安全狀態(tài)則是指組織信息和信息系統(tǒng)安全情形的最佳反映，包括組織應對已知威脅的能力。

ISCM是組織風險管理框架中非常重要的一個環(huán)節(jié)，維持組織安全相關信息的持續(xù)性更新。ISCM的持續(xù)性監(jiān)測包括對安全計劃、安全評估報告、行動計劃和時間表、硬件及軟件列表以及其他系統(tǒng)信息的持續(xù)性更新。NIST SP 800－137［11］標準聯(lián)邦信息系統(tǒng)和組織的信息安全持續(xù)性檢測(Information Security Continuous Monitoring(ISCM)for Federal Information Systems and Organizations)從組織、使命和業(yè)務、信息系統(tǒng)三個方面對ISCM進行了闡釋，并介紹了ISCM項目的具體實施方法。

3 結語

美國國家標準和技術研究院(NIST)經(jīng)過長時間努力已經(jīng)建立一套完善的風險管理體系，從組織、使命/業(yè)務、信息系統(tǒng)三個方面對風險進行科學評估和管理。文中首先介紹了風險管理的模型和相關概念，接著對NIST提出的風險管理框架的六個主要步驟進行了研究和歸納，對每個步驟涉及的相關標準以及標準的主要內(nèi)容進行了研究和介紹。近些年，我國日益重視信息系統(tǒng)風險評估工作，也做了一些信息安全控制策略方面的研究［12］，然而國內(nèi)風險評估相關標準建設較為滯后，無法適應當前新技術日益涌現(xiàn)的今天。文中對美國信息系統(tǒng)的風險管理進行了介紹，下一步將對美國風險評估體系進行進一步深入研究和分析，這對我國風險評估體系的建立和業(yè)務的開展有著重要意義。

［1］GALLAGHER Patrick D.SP800－39.ManagingInformation Security Risk:Organization，Mission，andInformation System View［S］.Gaithersburg:National Institute of Standards＆ Technology，2011.

［2］BEMENT Arden L.FIPS PUBS 199.Standards for Security Categorization of Federal Information and Information Systems［S］.Gaithersburg:National Institute of Standards＆ Technology，2004.

［3］PLUNKETT Debora A.Security Categorization and Control Selection for National Security Systems(version 2)［S］，Committee on National Security Systems Instruction(CNSSI)No.1253，2012.

［4］GALLAGHE RPatrick D.SP 800－60，Revision 1.Guide for Mapping Types of Information and Information Systems to Security Categories［S］.Gaithersburg:National Institute of Standards＆ Technology，2008.

［5］JEFFREY W.FIPS PUBS 200.Minimum Security Requirements for Federal Information and Information Systems［S］.Gaithersburg:National Institute of Standards＆ Technology，2006.

［6］GALLAGHER Patrick D.SP 800－53 revision 3.Recommended Security Controls for Federal Information Systems and Organizations［S］.Gaithersburg:National Institute of Standards＆ Technology，2009.

［7］GALLAGHER Patrick D.SP 800－53A，Revision 1 Guide for Assessing the Security Controls in Federal Information Systems and Organizations:Building Effective Security Assessment Plans［S］.Gaithersburg:National Institute of Standards＆ Technology，2010.

［8］GALLAGHER Patrick D.SP 800－37.Guide for Applying the Risk Management Framework to Federal Information Systems:A Security Life Cycle Approach［S］.Gaithersburg:National Institute of Standards ＆ Technology，2010.

［9］GALLAGHER Patrick D.SP 800－53 revision 4.Security and Privacy Controls for Federal InformationSystems and Organizations［S］.Gaithersburg:National Institute of Standards＆ Technology，2013.

［10］SWANSON M，HASH J，BOWEN P.SP 800－18，Revision 1.Guide for Developing Security Plans for Federal Information Systems［R］.Gaithersburg:National Institute of Standards ＆ Technology，2006.

［11］DEMPSEY K，CHAWLA N S，JOHNSON A，et al.SP 800－137.Information Security Continuous Monitoring for Federal Information Systems and Organizations［S］.Gaithersburg:National Institute of Standards＆Technology，2011.

［12］張同升.信息系統(tǒng)安全防護控制策略研究［J］.通信技術，2013，46(08):95－97.ZHANG Tong－sheng.Research on Safety Control Strategy of Information System［J］.Journal of Communications Technology，2013，08:95－97.