在美國等西方發(fā)達國家的信息安全建設(shè)中,關(guān)鍵基礎(chǔ)設(shè)施安全始終是重中之重。但是,由于絕大多數(shù)關(guān)鍵基礎(chǔ)設(shè)施不由政府所控制,這些國家多次強調(diào)要使政府自身信息安全成為全國各部門、各行業(yè)信息安全的榜樣,以次帶動關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的信息安全工作。因此,大力發(fā)展電子政務(wù),確保電子政府安全,已經(jīng)成為西方發(fā)達國家政府日常運轉(zhuǎn)中的重要任務(wù)。那么,“榜樣”究竟表現(xiàn)如何?2006年3月16日,依據(jù)最新的電子政務(wù)信息安全指標(biāo)體系,美國眾議院政府改革委員會發(fā)布了2005財年聯(lián)邦政府各部門信息安全評分結(jié)果。在24個被考察的政府部門中,正可謂“幾家歡喜幾家愁”。

  1、電子政府信息安全評分制度的法律依據(jù)
 以辦公自動化為起點的電子政務(wù)開展以來,美國聯(lián)邦政府就授權(quán)管理和預(yù)算辦公室(OMB)負責(zé)開展與政府信息資源管理有關(guān)的工作,OMB也先后在此方面制定了多項規(guī)章制度。OMB所定義的信息資源包括了所有類型的信息以及由各種軟、硬件構(gòu)成的信息系統(tǒng),信息安全是其中的重大問題,因此OMB在歷史上逐漸成為美國電子政務(wù)信息安全的主要管理部門。2000年,美國頒布了《政府信息安全改革法案》(GISRA),以法律形式規(guī)定了政府各部門必須對其電子信息系統(tǒng)進行風(fēng)險評估,并定期向OMB報告。
 
 2002年,基于GISRA以來的經(jīng)驗,美國將GISRA更新為《聯(lián)邦信息安全管理法案》(FISMA),并將其作為《電子政府法案》的第三章。FISMA正式確立了對聯(lián)邦政府各部門的信息安全進行年度評估并向OMB報告的框架。根據(jù)這一法案,OMB報告的來源有兩方面,一為聯(lián)邦政府各部門的負責(zé)人,另一來源則為政府各部門內(nèi)的總檢查長(簡稱IG,該職位受審計部門委派,由總統(tǒng)任免,與政府各部門相獨立),從而確保了評估報告的可靠性。
 
 OMB會在每年夏季發(fā)布本財年的報告指南,近年來還特別針對各部門負責(zé)人和總檢查長分別制定了報告模版,要求各部門在9月之前提交負責(zé)人和總檢查長的報告。根據(jù)這些報告,OMB將撰寫聯(lián)邦政府信息安全狀況的總報告,提交國會審議。
 
 除OMB提交的總報告外,社會各界還可以看到另外一份電子政府信息安全評估報告,這就是電子政府信息安全評分表。不同的是,前者由作為政府組成部分的OMB做出,而后者則由國會眾議院政府改革委員會做出。電子政府信息安全評分表的基礎(chǔ)數(shù)據(jù)來源也是各部門提交的報告,但其評價方法是量化的。政府改革委員會特地制定了一套電子政務(wù)信息安全指標(biāo)體系,評分后可以直觀地了解政府各部門電子政府信息安全的基本情況。2005年以前,這套指標(biāo)體系尚未成熟,一直沒有公開,只能查詢到各部門最終得分情況。在本次公開的資料中,已經(jīng)可以看到包括指標(biāo)體系在內(nèi)的全部資料。
 2、2005財年電子政務(wù)信息安全評分結(jié)果
 電子政務(wù)信息安全評分表的結(jié)構(gòu)比較簡單,其背后則是幾經(jīng)改進并逐步穩(wěn)定下來的一套科學(xué)的指標(biāo)體系。表1顯示了自GISRA和FISMA先后頒布以來國會對政府各部門的評分結(jié)果。
 
 表1說明,政府各部門的安全狀況在不斷改進,雖然絕大多數(shù)部門在2001和2002財年得分不及格(等級為F),但自2003財年開始,24個部門的平均分已經(jīng)超過及格線,并發(fā)展到D+。而且,在2005財年,有若干個單位得到了A或A+的好成績,甚至有一個單位得到了滿分。
 
 但表1也同時暴露出了一些非常嚴峻的問題。2005財年,仍有8個部門的信息安全等級為F,其中竟然有國防部、能源部、國土安全部、國務(wù)院這4個敏感部門。因此,眾議院公布本次的評分結(jié)果后,對這些部門的批評便一直不斷。
表1  2001-2005財年各部門評分結(jié)果
部門
2005財年
2004財年
2003財年
2002財年
2001財年
分數(shù)
等級
分數(shù)
等級
分數(shù)
等級
分數(shù)
等級
分數(shù)
等級
農(nóng)業(yè)部
24
F
49.5
F
40
F
36
F
31
F
國際發(fā)展局
100
A+
99
A+
70.5
C-
52
F
22
F
商務(wù)部
67
D+
56.5
F
72.5
C-
68
D+
51
F
國防部*
38.75
F
65
D
65.5
D
38
F
40
F
教育部
71
C-
76.5
C
77
C+
66
D
33
F
能源部
46.75
F
48.5
F
59.5
F
41
F
51
F
環(huán)境保護局
97.5
A+
84
B
74.5
C
63
D-
69
D+
總務(wù)管理局
92.5
A-
79.5
C+
65
D
64
D
66
D
衛(wèi)生和公眾服務(wù)部
45.5
F
49.5
F
54
F
61
D-
43
F
國土安全部
33.5
F
20.5
F
34
F
--
--
--
--
住房和城市發(fā)展部
67.5
D+
28
F
40
F
48
F
66
D
內(nèi)務(wù)部
41.5
F
77
C+
43
F
37
F
48
F
司法部
66.5
D
82.5
B-
55.5
F
56
F
50
F
勞工部
99
A+
83
B-
86.5
B
79
C+
56
F
國家宇航管理局
80
B-
60
D-
60.5
D-
68
D+
70
C-
原子能管理委員會
60.5
D-
88
B+
94.5
A
74
C
34
F
國家科學(xué)基金會
95
A
77.5
C+
90.5
A-
63
D-
87
B+
人事管理辦公室
98
A+
72.5
C-
61.5
D-
52
F
39
F
小型商業(yè)管理局
78
C+
60
D-
71
C-
48
F
48
F
社會安全管理局
99
A+
86
B
88
B+
82
B-
79
C+
國務(wù)院
37.5
F
69.5
D+
39.5
F
54
F
69
D+
運輸部
71.5
C-
91.5
A-
69
D+
28
F
48
F
財政部*
60.5
D-
68
D+
64
D
48
F
54
F
退伍軍人事務(wù)部*
46
F
50
F
76.5
C
50
F
44
F
平均分
67.4
D+
67.3
D+
65
D
55
F
53
F
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
  * 國防部、財政部和退 伍軍人事務(wù)部沒有提交2003財年的IG獨立評估報告,因此這三個部的相應(yīng)數(shù)據(jù)只能依據(jù)其自評估報告得出。
 
3、指標(biāo)體系評分方法和內(nèi)容概述
政府改革委員會采取的評分方法與OMB每財年向聯(lián)邦政府各部門下發(fā)的報告指南密切相關(guān)。OMB要求各部門回答的問題中,絕大多數(shù)都是以百分比作為考量。某項工作的得分與該工作在單位內(nèi)實施的范圍成正比,滿分則為100。例如,0分表示比例小于最低要求,例如只有29%甚至更低比率的雇員接受過安全培訓(xùn)。不同的比例范圍將被賦予不同的分數(shù),總分數(shù)則由各單項分數(shù)匯總而成。最后,根據(jù)總分評出24個部門各自的級別。
總分與等級的對應(yīng)如下:
90到93 = A-,94到96 = A,97到100 = A+
80到83 = B-,84到86 = B,87到89 = B+
70到73 = C-,74到76 = C,77到79 = C+
60到63 = D-,64到66 = D,67到69 = D+
59及59分以下= F
表2顯示了2005財年的詳細評分內(nèi)容。該表主要由6部分組成,因篇幅所限,表2中只詳列了前兩部分的內(nèi)容。
需要指出,為求完善,OMB一直在通過更新每財年的報告指南來改進這些評分項目和賦值權(quán)重,所以各年度的評分內(nèi)容稍有不同,但OMB同時也在極力確保各財年之間結(jié)果的一致性和可比性。
表2  2005財年評分內(nèi)容
評分要點
得分
A.年度測試
20
1.被檢查的信息系統(tǒng)所占比例
1).本部門對多少信息系統(tǒng)進行過檢查
高影響級系統(tǒng)
6
90-100%
6
75-89%
4
60-74%
2
45-59%
0.5
44%及以下
0
中影響級系統(tǒng)
3
90-100%
3
75-89%
2
60-74%
1
45-59%
0.5
44%及以下
0
低影響級系統(tǒng)
1
96-100%
1
51-95%
0.5
50%及以下
0
2).合同商對多少系統(tǒng)操作過程和設(shè)施進行過檢查
高影響級系統(tǒng)
6
90-100%
6
75-89%
4
60-74%
2
45-59%
0.5
44%及以下
0
中影響級系統(tǒng)
3
90-100%
3
75-89%
2
60-74%
1
45-59%
0.5
44%及以下
0
低影響級系統(tǒng)
1
96-100%
1
51-95%
0.5
50%及以下
0
3).是否對合同商使用或運行的系統(tǒng)依照有關(guān)政策和指南進行了檢查
96-100%(不扣分)
-0
51-95%(A.1得分扣除50%)
-50%
50%及以下(A.1得分全部扣除)
-100%
B.行動和里程碑計劃(POA&M
15
2.本部門是否制定了整個部門范圍內(nèi)的行動和里程碑計劃
1).POA&M是整個部門范圍內(nèi)的過程,考慮了信息系統(tǒng)中所有已知的安全不足
幾乎總是,即96-100%的時間
3
大部分時間是,即81-95%的時間
2
經(jīng)常是,即71-80%的時間
1
有時是,即51-70%的時間
0.5
很少,即50%及以下的時間
0
2).當(dāng)發(fā)現(xiàn)安全不足時,有關(guān)人員要為其系統(tǒng)制定、實施和管理POA&M
幾乎總是,即96-100%的時間
4
大部分時間是,即81-95%的時間
2
經(jīng)常是,即71-80%的時間
1
有時是,即51-70%的時間
0.5
很少,即50%及以下的時間
0
3).有關(guān)人員是否經(jīng)常就信息安全補救工作的情況向首席信息官匯報
幾乎總是,即96-100%的時間
1
經(jīng)常是,即51-95%的時間
0.5
很少,即50%及以下的時間
0
4).首席信息官是否每季度跟蹤、維護和檢查POA&M活動
幾乎總是,即96-100%的時間
2
大部分時間是,即81-95%的時間
1.5
經(jīng)常是,即71-80%的時間
1
有時是,即51-70%的時間
0.5
很少,即50%及以下的時間
0
5).總檢查長的發(fā)現(xiàn)是否納入了POA&M過程中
幾乎總是,即96-100%的時間
2
經(jīng)常是,即51-95%的時間
1
很少,即50%及以下的時間
0
6).是否對所發(fā)現(xiàn)的安全不足的緊要程度進行了排列
幾乎總是,即96-100%的時間
3
大部分時間是,即81-95%的時間
2
經(jīng)常是,即71-80%的時間
1
有時是,即51-70%的時間
0.5
很少,即50%及以下的時間
0
C.認證和認可(C&A
20
3.信息系統(tǒng)安全認證和認可
1).經(jīng)過認證和認可的系統(tǒng)比例
(略)
12
2).其安全控制在一年內(nèi)經(jīng)過測試和評估的系統(tǒng)比例
(略)
4
3).其應(yīng)急計劃經(jīng)過演練的系統(tǒng)比例
(略)
4
D.配置管理
20
4.配置管理
是否有覆蓋整個部門的配置策略
(略)
20
E.事件檢測和響應(yīng)
15
事件檢測和響應(yīng)
1).是否有記錄在案的事件檢測和報告流程
(略)
7
2). 是否有記錄在案的向執(zhí)法機構(gòu)的報告流程
(略)
4
3).是否有向US-CERT報告的流程
(略)
4
F.培訓(xùn)
10
是否能確保包括合同商在內(nèi)的所有人員均受到信息安全培訓(xùn)
1).機構(gòu)的雇員(包括合同商)接受培訓(xùn)的比例
(略)
4
2).具有高級安全知識的雇員
(略)
4
3).2005財年是否提供了足夠的培訓(xùn)經(jīng)費
(略)
1
4).是否在安全意識培訓(xùn)、道德培訓(xùn)或其它培訓(xùn)中解釋了對等文件共享政策
(略)
1

 4、評分結(jié)果反映的主要問題
 針對這套指標(biāo)體系的評分結(jié)果,政府改革委員會總結(jié)出了聯(lián)邦政府電子政府信息安全存在的以下不足:
?。?)年度測試
 某些部門還有大量系統(tǒng)沒有進行分類;雖然大多數(shù)部門對應(yīng)急計劃的演習(xí)做出了積極努力,但仍有若干部門對高影響級系統(tǒng)應(yīng)急計劃的演習(xí)比例低于60%。
?。?)配置管理
 大多數(shù)部門已經(jīng)開始制定或已經(jīng)實施了配置管理策略,但其中一些部門的實施水平較低。
 (3)事件報告
 各部門的事件報告工作很不理想。一些部門甚至沒有報告任何安全事件,一些部門報告的安全事件則比USCERT掌握的一半還要低。
?。?)培訓(xùn)
 雖然大多數(shù)部門已經(jīng)對雇員實施了安全培訓(xùn),但安全崗位上的人員還普遍缺乏專門的訓(xùn)練。
?。?)信息系統(tǒng)清單
 有相當(dāng)多的部門沒有制定主要IT系統(tǒng)的清單。

 5、結(jié)語

 美國電子政府信息安全評分制度本身屬于一種較宏觀的風(fēng)險評估形式,具有很強的系統(tǒng)性特點。其指標(biāo)體系充分依賴了此前已經(jīng)開展的基礎(chǔ)工作,例如NIST發(fā)布的800-26、800-37、800-53等。從評分結(jié)果看,美國聯(lián)邦政府各部門的信息安全狀況在2001年和2002年普遍沒有達到及格線,但這并不等于其電子政務(wù)安全“不堪一擊”,而是反映出主管部門在當(dāng)時尚未就信息安全自評估、認證認可、應(yīng)急處理、培訓(xùn)等工作做出統(tǒng)一、明確的規(guī)定。自從FISMA、FIPS 199、800-53系列等法規(guī)、標(biāo)準(zhǔn)和指南發(fā)布后,這種局面已大為改觀。評分表上,近三年成績的穩(wěn)固增長已經(jīng)有了很強的說服力。由此可見,一套行之有效的信息安全指標(biāo)體系必須建立在牢固的信息安全基礎(chǔ)性工作之上。指標(biāo)體系的制定,也要具備合適的時機。
責(zé)任編輯:admin