在美國(guó)等西方發(fā)達(dá)國(guó)家的信息安全建設(shè)中,關(guān)鍵基礎(chǔ)設(shè)施安全始終是重中之重。但是,由于絕大多數(shù)關(guān)鍵基礎(chǔ)設(shè)施不由政府所控制,這些國(guó)家多次強(qiáng)調(diào)要使政府自身信息安全成為全國(guó)各部門、各行業(yè)信息安全的榜樣,以次帶動(dòng)關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的信息安全工作。因此,大力發(fā)展電子政務(wù),確保電子政府安全,已經(jīng)成為西方發(fā)達(dá)國(guó)家政府日常運(yùn)轉(zhuǎn)中的重要任務(wù)。那么,“榜樣”究竟表現(xiàn)如何?2006年3月16日,依據(jù)最新的電子政務(wù)信息安全指標(biāo)體系,美國(guó)眾議院政府改革委員會(huì)發(fā)布了2005財(cái)年聯(lián)邦政府各部門信息安全評(píng)分結(jié)果。在24個(gè)被考察的政府部門中,正可謂“幾家歡喜幾家愁”。

  1、電子政府信息安全評(píng)分制度的法律依據(jù)
 以辦公自動(dòng)化為起點(diǎn)的電子政務(wù)開(kāi)展以來(lái),美國(guó)聯(lián)邦政府就授權(quán)管理和預(yù)算辦公室(OMB)負(fù)責(zé)開(kāi)展與政府信息資源管理有關(guān)的工作,OMB也先后在此方面制定了多項(xiàng)規(guī)章制度。OMB所定義的信息資源包括了所有類型的信息以及由各種軟、硬件構(gòu)成的信息系統(tǒng),信息安全是其中的重大問(wèn)題,因此OMB在歷史上逐漸成為美國(guó)電子政務(wù)信息安全的主要管理部門。2000年,美國(guó)頒布了《政府信息安全改革法案》(GISRA),以法律形式規(guī)定了政府各部門必須對(duì)其電子信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估,并定期向OMB報(bào)告。
 
 2002年,基于GISRA以來(lái)的經(jīng)驗(yàn),美國(guó)將GISRA更新為《聯(lián)邦信息安全管理法案》(FISMA),并將其作為《電子政府法案》的第三章。FISMA正式確立了對(duì)聯(lián)邦政府各部門的信息安全進(jìn)行年度評(píng)估并向OMB報(bào)告的框架。根據(jù)這一法案,OMB報(bào)告的來(lái)源有兩方面,一為聯(lián)邦政府各部門的負(fù)責(zé)人,另一來(lái)源則為政府各部門內(nèi)的總檢查長(zhǎng)(簡(jiǎn)稱IG,該職位受審計(jì)部門委派,由總統(tǒng)任免,與政府各部門相獨(dú)立),從而確保了評(píng)估報(bào)告的可靠性。
 
 OMB會(huì)在每年夏季發(fā)布本財(cái)年的報(bào)告指南,近年來(lái)還特別針對(duì)各部門負(fù)責(zé)人和總檢查長(zhǎng)分別制定了報(bào)告模版,要求各部門在9月之前提交負(fù)責(zé)人和總檢查長(zhǎng)的報(bào)告。根據(jù)這些報(bào)告,OMB將撰寫(xiě)聯(lián)邦政府信息安全狀況的總報(bào)告,提交國(guó)會(huì)審議。
 
 除OMB提交的總報(bào)告外,社會(huì)各界還可以看到另外一份電子政府信息安全評(píng)估報(bào)告,這就是電子政府信息安全評(píng)分表。不同的是,前者由作為政府組成部分的OMB做出,而后者則由國(guó)會(huì)眾議院政府改革委員會(huì)做出。電子政府信息安全評(píng)分表的基礎(chǔ)數(shù)據(jù)來(lái)源也是各部門提交的報(bào)告,但其評(píng)價(jià)方法是量化的。政府改革委員會(huì)特地制定了一套電子政務(wù)信息安全指標(biāo)體系,評(píng)分后可以直觀地了解政府各部門電子政府信息安全的基本情況。2005年以前,這套指標(biāo)體系尚未成熟,一直沒(méi)有公開(kāi),只能查詢到各部門最終得分情況。在本次公開(kāi)的資料中,已經(jīng)可以看到包括指標(biāo)體系在內(nèi)的全部資料。
 2、2005財(cái)年電子政務(wù)信息安全評(píng)分結(jié)果
 電子政務(wù)信息安全評(píng)分表的結(jié)構(gòu)比較簡(jiǎn)單,其背后則是幾經(jīng)改進(jìn)并逐步穩(wěn)定下來(lái)的一套科學(xué)的指標(biāo)體系。表1顯示了自GISRA和FISMA先后頒布以來(lái)國(guó)會(huì)對(duì)政府各部門的評(píng)分結(jié)果。
 
 表1說(shuō)明,政府各部門的安全狀況在不斷改進(jìn),雖然絕大多數(shù)部門在2001和2002財(cái)年得分不及格(等級(jí)為F),但自2003財(cái)年開(kāi)始,24個(gè)部門的平均分已經(jīng)超過(guò)及格線,并發(fā)展到D+。而且,在2005財(cái)年,有若干個(gè)單位得到了A或A+的好成績(jī),甚至有一個(gè)單位得到了滿分。
 
 但表1也同時(shí)暴露出了一些非常嚴(yán)峻的問(wèn)題。2005財(cái)年,仍有8個(gè)部門的信息安全等級(jí)為F,其中竟然有國(guó)防部、能源部、國(guó)土安全部、國(guó)務(wù)院這4個(gè)敏感部門。因此,眾議院公布本次的評(píng)分結(jié)果后,對(duì)這些部門的批評(píng)便一直不斷。
表1  2001-2005財(cái)年各部門評(píng)分結(jié)果
部門
2005財(cái)年
2004財(cái)年
2003財(cái)年
2002財(cái)年
2001財(cái)年
分?jǐn)?shù)
等級(jí)
分?jǐn)?shù)
等級(jí)
分?jǐn)?shù)
等級(jí)
分?jǐn)?shù)
等級(jí)
分?jǐn)?shù)
等級(jí)
農(nóng)業(yè)部
24
F
49.5
F
40
F
36
F
31
F
國(guó)際發(fā)展局
100
A+
99
A+
70.5
C-
52
F
22
F
商務(wù)部
67
D+
56.5
F
72.5
C-
68
D+
51
F
國(guó)防部*
38.75
F
65
D
65.5
D
38
F
40
F
教育部
71
C-
76.5
C
77
C+
66
D
33
F
能源部
46.75
F
48.5
F
59.5
F
41
F
51
F
環(huán)境保護(hù)局
97.5
A+
84
B
74.5
C
63
D-
69
D+
總務(wù)管理局
92.5
A-
79.5
C+
65
D
64
D
66
D
衛(wèi)生和公眾服務(wù)部
45.5
F
49.5
F
54
F
61
D-
43
F
國(guó)土安全部
33.5
F
20.5
F
34
F
--
--
--
--
住房和城市發(fā)展部
67.5
D+
28
F
40
F
48
F
66
D
內(nèi)務(wù)部
41.5
F
77
C+
43
F
37
F
48
F
司法部
66.5
D
82.5
B-
55.5
F
56
F
50
F
勞工部
99
A+
83
B-
86.5
B
79
C+
56
F
國(guó)家宇航管理局
80
B-
60
D-
60.5
D-
68
D+
70
C-
原子能管理委員會(huì)
60.5
D-
88
B+
94.5
A
74
C
34
F
國(guó)家科學(xué)基金會(huì)
95
A
77.5
C+
90.5
A-
63
D-
87
B+
人事管理辦公室
98
A+
72.5
C-
61.5
D-
52
F
39
F
小型商業(yè)管理局
78
C+
60
D-
71
C-
48
F
48
F
社會(huì)安全管理局
99
A+
86
B
88
B+
82
B-
79
C+
國(guó)務(wù)院
37.5
F
69.5
D+
39.5
F
54
F
69
D+
運(yùn)輸部
71.5
C-
91.5
A-
69
D+
28
F
48
F
財(cái)政部*
60.5
D-
68
D+
64
D
48
F
54
F
退伍軍人事務(wù)部*
46
F
50
F
76.5
C
50
F
44
F
平均分
67.4
D+
67.3
D+
65
D
55
F
53
F
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
  * 國(guó)防部、財(cái)政部和退 伍軍人事務(wù)部沒(méi)有提交2003財(cái)年的IG獨(dú)立評(píng)估報(bào)告,因此這三個(gè)部的相應(yīng)數(shù)據(jù)只能依據(jù)其自評(píng)估報(bào)告得出。
 
3、指標(biāo)體系評(píng)分方法和內(nèi)容概述
政府改革委員會(huì)采取的評(píng)分方法與OMB每財(cái)年向聯(lián)邦政府各部門下發(fā)的報(bào)告指南密切相關(guān)。OMB要求各部門回答的問(wèn)題中,絕大多數(shù)都是以百分比作為考量。某項(xiàng)工作的得分與該工作在單位內(nèi)實(shí)施的范圍成正比,滿分則為100。例如,0分表示比例小于最低要求,例如只有29%甚至更低比率的雇員接受過(guò)安全培訓(xùn)。不同的比例范圍將被賦予不同的分?jǐn)?shù),總分?jǐn)?shù)則由各單項(xiàng)分?jǐn)?shù)匯總而成。最后,根據(jù)總分評(píng)出24個(gè)部門各自的級(jí)別。
總分與等級(jí)的對(duì)應(yīng)如下:
90到93 = A-,94到96 = A,97到100 = A+
80到83 = B-,84到86 = B,87到89 = B+
70到73 = C-,74到76 = C,77到79 = C+
60到63 = D-,64到66 = D,67到69 = D+
59及59分以下= F
表2顯示了2005財(cái)年的詳細(xì)評(píng)分內(nèi)容。該表主要由6部分組成,因篇幅所限,表2中只詳列了前兩部分的內(nèi)容。
需要指出,為求完善,OMB一直在通過(guò)更新每財(cái)年的報(bào)告指南來(lái)改進(jìn)這些評(píng)分項(xiàng)目和賦值權(quán)重,所以各年度的評(píng)分內(nèi)容稍有不同,但OMB同時(shí)也在極力確保各財(cái)年之間結(jié)果的一致性和可比性。
表2  2005財(cái)年評(píng)分內(nèi)容
評(píng)分要點(diǎn)
得分
A.年度測(cè)試
20
1.被檢查的信息系統(tǒng)所占比例
1).本部門對(duì)多少信息系統(tǒng)進(jìn)行過(guò)檢查
高影響級(jí)系統(tǒng)
6
90-100%
6
75-89%
4
60-74%
2
45-59%
0.5
44%及以下
0
中影響級(jí)系統(tǒng)
3
90-100%
3
75-89%
2
60-74%
1
45-59%
0.5
44%及以下
0
低影響級(jí)系統(tǒng)
1
96-100%
1
51-95%
0.5
50%及以下
0
2).合同商對(duì)多少系統(tǒng)操作過(guò)程和設(shè)施進(jìn)行過(guò)檢查
高影響級(jí)系統(tǒng)
6
90-100%
6
75-89%
4
60-74%
2
45-59%
0.5
44%及以下
0
中影響級(jí)系統(tǒng)
3
90-100%
3
75-89%
2
60-74%
1
45-59%
0.5
44%及以下
0
低影響級(jí)系統(tǒng)
1
96-100%
1
51-95%
0.5
50%及以下
0
3).是否對(duì)合同商使用或運(yùn)行的系統(tǒng)依照有關(guān)政策和指南進(jìn)行了檢查
96-100%(不扣分)
-0
51-95%(A.1得分扣除50%)
-50%
50%及以下(A.1得分全部扣除)
-100%
B.行動(dòng)和里程碑計(jì)劃(POA&M
15
2.本部門是否制定了整個(gè)部門范圍內(nèi)的行動(dòng)和里程碑計(jì)劃
1).POA&M是整個(gè)部門范圍內(nèi)的過(guò)程,考慮了信息系統(tǒng)中所有已知的安全不足
幾乎總是,即96-100%的時(shí)間
3
大部分時(shí)間是,即81-95%的時(shí)間
2
經(jīng)常是,即71-80%的時(shí)間
1
有時(shí)是,即51-70%的時(shí)間
0.5
很少,即50%及以下的時(shí)間
0
2).當(dāng)發(fā)現(xiàn)安全不足時(shí),有關(guān)人員要為其系統(tǒng)制定、實(shí)施和管理POA&M
幾乎總是,即96-100%的時(shí)間
4
大部分時(shí)間是,即81-95%的時(shí)間
2
經(jīng)常是,即71-80%的時(shí)間
1
有時(shí)是,即51-70%的時(shí)間
0.5
很少,即50%及以下的時(shí)間
0
3).有關(guān)人員是否經(jīng)常就信息安全補(bǔ)救工作的情況向首席信息官匯報(bào)
幾乎總是,即96-100%的時(shí)間
1
經(jīng)常是,即51-95%的時(shí)間
0.5
很少,即50%及以下的時(shí)間
0
4).首席信息官是否每季度跟蹤、維護(hù)和檢查POA&M活動(dòng)
幾乎總是,即96-100%的時(shí)間
2
大部分時(shí)間是,即81-95%的時(shí)間
1.5
經(jīng)常是,即71-80%的時(shí)間
1
有時(shí)是,即51-70%的時(shí)間
0.5
很少,即50%及以下的時(shí)間
0
5).總檢查長(zhǎng)的發(fā)現(xiàn)是否納入了POA&M過(guò)程中
幾乎總是,即96-100%的時(shí)間
2
經(jīng)常是,即51-95%的時(shí)間
1
很少,即50%及以下的時(shí)間
0
6).是否對(duì)所發(fā)現(xiàn)的安全不足的緊要程度進(jìn)行了排列
幾乎總是,即96-100%的時(shí)間
3
大部分時(shí)間是,即81-95%的時(shí)間
2
經(jīng)常是,即71-80%的時(shí)間
1
有時(shí)是,即51-70%的時(shí)間
0.5
很少,即50%及以下的時(shí)間
0
C.認(rèn)證和認(rèn)可(C&A
20
3.信息系統(tǒng)安全認(rèn)證和認(rèn)可
1).經(jīng)過(guò)認(rèn)證和認(rèn)可的系統(tǒng)比例
(略)
12
2).其安全控制在一年內(nèi)經(jīng)過(guò)測(cè)試和評(píng)估的系統(tǒng)比例
(略)
4
3).其應(yīng)急計(jì)劃經(jīng)過(guò)演練的系統(tǒng)比例
(略)
4
D.配置管理
20
4.配置管理
是否有覆蓋整個(gè)部門的配置策略
(略)
20
E.事件檢測(cè)和響應(yīng)
15
事件檢測(cè)和響應(yīng)
1).是否有記錄在案的事件檢測(cè)和報(bào)告流程
(略)
7
2). 是否有記錄在案的向執(zhí)法機(jī)構(gòu)的報(bào)告流程
(略)
4
3).是否有向US-CERT報(bào)告的流程
(略)
4
F.培訓(xùn)
10
是否能確保包括合同商在內(nèi)的所有人員均受到信息安全培訓(xùn)
1).機(jī)構(gòu)的雇員(包括合同商)接受培訓(xùn)的比例
(略)
4
2).具有高級(jí)安全知識(shí)的雇員
(略)
4
3).2005財(cái)年是否提供了足夠的培訓(xùn)經(jīng)費(fèi)
(略)
1
4).是否在安全意識(shí)培訓(xùn)、道德培訓(xùn)或其它培訓(xùn)中解釋了對(duì)等文件共享政策
(略)
1

 4、評(píng)分結(jié)果反映的主要問(wèn)題
 針對(duì)這套指標(biāo)體系的評(píng)分結(jié)果,政府改革委員會(huì)總結(jié)出了聯(lián)邦政府電子政府信息安全存在的以下不足:
 (1)年度測(cè)試
 某些部門還有大量系統(tǒng)沒(méi)有進(jìn)行分類;雖然大多數(shù)部門對(duì)應(yīng)急計(jì)劃的演習(xí)做出了積極努力,但仍有若干部門對(duì)高影響級(jí)系統(tǒng)應(yīng)急計(jì)劃的演習(xí)比例低于60%。
?。?)配置管理
 大多數(shù)部門已經(jīng)開(kāi)始制定或已經(jīng)實(shí)施了配置管理策略,但其中一些部門的實(shí)施水平較低。
?。?)事件報(bào)告
 各部門的事件報(bào)告工作很不理想。一些部門甚至沒(méi)有報(bào)告任何安全事件,一些部門報(bào)告的安全事件則比USCERT掌握的一半還要低。
 (4)培訓(xùn)
 雖然大多數(shù)部門已經(jīng)對(duì)雇員實(shí)施了安全培訓(xùn),但安全崗位上的人員還普遍缺乏專門的訓(xùn)練。
?。?)信息系統(tǒng)清單
 有相當(dāng)多的部門沒(méi)有制定主要IT系統(tǒng)的清單。

 5、結(jié)語(yǔ)

 美國(guó)電子政府信息安全評(píng)分制度本身屬于一種較宏觀的風(fēng)險(xiǎn)評(píng)估形式,具有很強(qiáng)的系統(tǒng)性特點(diǎn)。其指標(biāo)體系充分依賴了此前已經(jīng)開(kāi)展的基礎(chǔ)工作,例如NIST發(fā)布的800-26、800-37、800-53等。從評(píng)分結(jié)果看,美國(guó)聯(lián)邦政府各部門的信息安全狀況在2001年和2002年普遍沒(méi)有達(dá)到及格線,但這并不等于其電子政務(wù)安全“不堪一擊”,而是反映出主管部門在當(dāng)時(shí)尚未就信息安全自評(píng)估、認(rèn)證認(rèn)可、應(yīng)急處理、培訓(xùn)等工作做出統(tǒng)一、明確的規(guī)定。自從FISMA、FIPS 199、800-53系列等法規(guī)、標(biāo)準(zhǔn)和指南發(fā)布后,這種局面已大為改觀。評(píng)分表上,近三年成績(jī)的穩(wěn)固增長(zhǎng)已經(jīng)有了很強(qiáng)的說(shuō)服力。由此可見(jiàn),一套行之有效的信息安全指標(biāo)體系必須建立在牢固的信息安全基礎(chǔ)性工作之上。指標(biāo)體系的制定,也要具備合適的時(shí)機(jī)。
責(zé)任編輯:admin