引言

美国作为当今信息化高度发达的国家，在信息安全领域也一直保持着领先水平，十分重视信息安全问题的相关研究。本文尝试从2002年美国颁布关于信息安全的立法入手，从技术发展角度，介绍nist提出的信息安全风险管理框架和研发的一系列支持标准。

1. 什么是fisma

fisma（the federal inbbbbation security management act of 2002，联邦信息安全管理法案）是2002年颁布的电子政务法案中的第三章。fisma认可了信息安全对美国经济和国家安全利益的重要性。该法案要求每个联邦机构开发、记录并实施机构范围内的信息安全程序，为它的信息和支持运营和资产的信息系统（也包括由其它机构、合同商等其它方面为机构提供或管理的信息和信息系统）提供信息安全支持。

fisma明确强调“基于风险策略的安全成本-收益”。而且，为了加强信息系统安全，fisma给联邦机构、nist（national institute of standards and technology，国家标准研究院）和omb(office of management and budget，预算与管理办公室)都指派了特定的职责，其中，特别要求每个机构的领导者要实施相关策略和程序有成本收益的减少信息技术安全风险到可接受的级别，并要求机构每年回顾信息安全程序的执行情况，并将结果报告给omb，omb根据这些数据进行监督，并将情况报告给国会相关机构。

2. fisma实施项目

根据fisma要求，nist应帮助美国的联邦机构遵守fisma，并负责为所有联邦机构（除国家安全系统之外）开发能为其运营和资产提供充足信息安全保障的标准、指南、相关方法和技术。因此，nist于2003年启动了fisma实施项目，并主导开发了发展、测量和验证信息系统和服务安全性的标准、度量、测试和验证程序。

nist拟定的fisma实施项目包括三个阶段：

阶段1：完成风险管理框架（risk management frame, rmf）；

阶段2：建立组织根据nist sp 800-37，800-53和800-53a执行安全评估的认可程序；

阶段3：建立支持fisma风险管理框架厂商工具的验证程序

3. fisma实施项目的风险管理框架

nist开发的风险管理框架可作为机构的风险管理程序的一部分，用于系统开发生命周期帮助确保每个信息系统都应用了恰当的安全控制，而且这些控制措施经过评估能确定其实施的正确性和按预期效果运营的程度，并生成满足系统安全性要求的预期结果。其中的风险管理框架活动如图1所示：

图1 fisma风险管理框架

1) 分类：基于fisp199的影响分析（参见nist sp800 -60，guide for mapping types of inbbbbation and inbbbbation systems to security categories，指导安全种类的赋值和影响分析）对信息系统及系统中相关信息进行分类。

2) 选择：基于fips 199安全性分类（参见nist sp800-53，recommended security controls for federal inbbbbation systems），选择信息系统（上一步骤中的系统）安全控制措施的初始集合。

3) 提炼：基于信息系统本地环境（包括特定机构的安全要求、特定威胁信息、成本-收益分析、修正控制措施可用性等其它情况）初始化选择的安全控制措施集合，并将之记录到安全计划中。（参见nist sp 800-30，risk management guide for inbbbbation technology systems）。

4) 评述：评述系统安全计划中达成一致的安全控制措施集合，包括对机构初始控制措施集合的提炼和调整的解释和理由（参见nist sp800-18，guide for developing security plans for inbbbbation technology systems）。

5) 实施：在信息系统中实施安全控制措施。（参见nist sp800-64，security considerations in the inbbbbation system development life cycle）。

6) 评估：用适当的方法和程序评估安全控制措施，以确定实施安全控制措施的正确性程度、是否按预期运营，及是否生成了满足系统安全要求的期望结果（参见nist sp800-53a，guide for assessing the security controls in federal inbbbbation systems）。

7) 确定：确定机构运营（包括任务、功能、形象或声誉等方面）、资产、由计划或系统持续运营生成的个体等方面的风险（参见nist sp800-37，guide for the security certification and accreditation of federal inbbbbation systems）。

8) 批准：如果机构的运营、资产或个体风险是可接受的，则批准系统处理过程（参见nist sp800-37，guide for the security certification and accreditation of federal inbbbbation systems）。

9) 监控：以持续性的基本原则监控为信息系统选择的安全控制措施，包括记录系统的变更，对相应的变更执行影响分析，并定期向官方机构报告系统的安全状态（参见nist sp800-37，guide for the security certification and accreditation of federal inbbbbation systems）。

4. 进展情况

2009年5月，nist发布了由其计算机安全部研究的风险管理框架的faqs和快速指南（quick start guides，qsgs）的进展情况，其中第1步“分类”和第6步“监控”的faqs和osgs已经制定完成，并可以投入使用，rmf的第2至5步的faqs和osgs仍在研发中。这些faqs和osgs文档将和nist sp系列标准、fips标准一起指导风险管理框架6步骤中每一步骤的具体实施。

2009年7月7日，nist在其官方网站发布了fisma实施项目开发和修订的关键出版物的重要事件进展情况， 其中所列的出版物包括：

l sp 800-53 修订版 3: recommended security controls for federal inbbbbation systems and organizations, (项目截止：2009年7月31日)

l sp 800-37 修订版1: guide for applying the risk management framework to federal inbbbbation systems: a security life cycle approach (原联邦信息系统安全性认证认可指南), (项目截至：2009年10月)

l sp 800-39: integrated enterprise-wide risk management: organization, mission, and inbbbbation systems view (原信息系统管理风险：组织视角), (项目截止：2009年12月)

l sp 800-53a, 修订版1: guide for assessing the security controls in federal inbbbbation systems and organizations, (项目截止：2010年1月)

l sp 800-30, 修订版1: guide for conducting risk assessments (原信息技术体系风险管理指南), (项目截止：2010年1月)

目前fisma项目的实施，是由nist和国防部、国家情报总监办公室和国家安全体系委员会成立的联合任务工作组共同开发联邦政府及其承包方的信息安全标准和指南，上述公开出版物完成时间的调整，是与当前项目实施要求的优先级保持一致的。

5. 运营情况

fisma为保护联邦政府的信息、运营和财产安全提供了信息技术保障框架，它要求每个联邦机构的领导都负责实施把信息安全风险降低到可接收等级的策略和过程，并且每年都根据omb的要求，汇报其信息系统保密性和信息安全程序相关情况。根据各机构汇报的信息，omb评估系统这些机构的私有性绩效，并制定给国会的年度安全报告，说明各机构系统安全与fisma要求的符合情况。同时协助各机构改进和维护私有性绩效。而且，fisma要求指定由nist准备fisma项目的年度报告，其中需要说明上一年度各项活动的完成情况及履行fisma责任的后续活动详情，目前这项工作由nist的信息技术实验室的计算机安全部执行。

从2004年开始，omb每年向国会提交fisma实施情况的年度报告。据omb给国会的2008财年fisma实施情况报告显示，联邦政府2008财年it总投资约680亿美元，其中联邦机构安全保障花费62亿美元，约占it总业务量的9.2%。其中，it安全投资主要用于系统认证认可、测试控制措施、用户安全意识培训等系统安全相关活动。同时，根据报告中其他分析数据显示，通过实施fisma，联邦政府相关机构经过认证认可的系统、测试的应急计划和安全控制措施比率逐年提高，而且报告中还给出了fisma系统目录的风险影响等级说明列表。

6. 小结

由此看出，fisma实施项目的风险管理框架相关研究成果已经在全联邦政府范围内逐步推广应用，督促各机构重视信息系统安全、降低安全风险的作用已初见成效。该项目以立法形式规定了联邦政府信息系统安全要求和各部门的责任，以风险管理框架为核心，辅以标准、指南指导各环节活动的具体实施，使得一个完整的、系统化的联邦政府信息系统安全保障体系初具规模。该项目从立项到应用经历了近6年时间，涉及的联邦信息系统从最初的7千多个发展到1万多个，为信息安全风险评估的发展和应用提供了许多实践经验，值得我们从中借鉴、学习。

（作者：吴迪）

本文信息参考来源：

[1.] ron ross, stuart katzke, patricia toth，the new fisma standards and guidelines changing the dynamic of inbbbbation security for the federal government，computer security division national institute of standards and technology,2005.

[2.] office of management and budget, fiscal year 2008 report to congress on implementation of the federal inbbbbation security management act of 2002.

[3.] u.s. securities and exchange commission office of inspector general office of audits, 2008 fisma execution summary report,2008.

[4.] http://csrc.nist.gov