–國家研究委員會2003發(fā)表的《用于反恐的信息技術(shù):防患于未然》報告提出要制定有效��、實(shí)用的安全測度指標(biāo)�����。
–國家研究委員會2002發(fā)表的《使國家更安全:科學(xué)技術(shù)在反恐中的作用》報告提出需要用安全測度指標(biāo)來衡量IT安全措施的有效性���。
②對測度指標(biāo)的評價標(biāo)準(zhǔn)日見明確。由于信息安全的復(fù)雜性和不明顯性���,對信息安全風(fēng)險測度指標(biāo)的選擇和評判一直是困擾理論界和實(shí)踐界的瓶頸問題���,經(jīng)過多年的研究和實(shí)踐,人們逐步在對測度指標(biāo)的評判上形成一些可貴的共識,比如:
–測度指標(biāo)應(yīng)與業(yè)務(wù)目標(biāo)和目的緊密關(guān)聯(lián)���,要能為一個機(jī)構(gòu)的信息安全工作改進(jìn)提供指導(dǎo)���。
–測度指標(biāo)應(yīng)能產(chǎn)生有意義的、有用的結(jié)果���,即要體現(xiàn)需要測度的相關(guān)內(nèi)容�����。
–測度指標(biāo)應(yīng)充分考慮到不同使用者的不同需要���,即要滿足被評估方財務(wù)、技術(shù)����、運(yùn)營、法務(wù)和高層管理等不同層次和不同角色人的需要���。
–測度指標(biāo)應(yīng)能為各種信息安全專業(yè)人士所接受和運(yùn)用�。
–測度指標(biāo)應(yīng)涵蓋整個安全工程和生命周期�����。
–測度指標(biāo)應(yīng)能應(yīng)用于多種不同的測度范圍,即從單個的安全控制系統(tǒng)�����、網(wǎng)絡(luò)到整個信息基礎(chǔ)設(shè)施�。
–測度指標(biāo)應(yīng)考慮到不同的資產(chǎn)價值,不同的威脅環(huán)境和不同的信息敏感層次�。測度指標(biāo)應(yīng)既要相對客觀獨(dú)立,又要能相互結(jié)合以反映交叉問題���。
–測度指標(biāo)應(yīng)有較好的邏輯結(jié)構(gòu)和良好的可用性等等���。
應(yīng)該說,這些共識對信息安全風(fēng)險的測度和評價而言����,雖然很基礎(chǔ)、甚至是很初步的,但都是十分重要的進(jìn)展�����,值得我們關(guān)注�。
(6)風(fēng)險評估相關(guān)的研發(fā)工作模式發(fā)生轉(zhuǎn)變。隨著網(wǎng)絡(luò)安全重要性的提升���,各國紛紛實(shí)施戰(zhàn)略調(diào)整��,將網(wǎng)絡(luò)與信息安全列為國家安全的重要內(nèi)容�。但是原有的科技研究和開發(fā)工作模式與信息安全形勢下對技術(shù)研發(fā)開展大協(xié)作的要求之間存在差距��,在一定程度上阻礙了信息安全戰(zhàn)略的貫徹實(shí)施��。傳統(tǒng)的研發(fā)模式由個人對項(xiàng)目��,即由項(xiàng)目主管直接面向社會分包項(xiàng)目�����,這種方式導(dǎo)致責(zé)任無法落實(shí)�,自然人無法為項(xiàng)目的實(shí)施效果承擔(dān)應(yīng)有的法律責(zé)任;同時大量的研發(fā)資金分散到一些小項(xiàng)目中�,盡管項(xiàng)目在數(shù)量上很可觀,但是項(xiàng)目研發(fā)成果的實(shí)用效果差�,失敗率高,違背了信息安全對風(fēng)險評估核心關(guān)鍵技術(shù)的高標(biāo)準(zhǔn)和高要求�,而且過去分散式的管理造成研發(fā)缺少統(tǒng)一設(shè)計、需求與實(shí)踐脫節(jié)�����,項(xiàng)目成果無法滿足實(shí)際需要的局面。
原有技術(shù)研發(fā)模式的缺陷與信息安全大戰(zhàn)略實(shí)施的不相適應(yīng)�,引發(fā)了一場研發(fā)組織管理模式的變革。這一變革主要體現(xiàn)在三個轉(zhuǎn)變上:第一�,項(xiàng)目管理的個人化轉(zhuǎn)變?yōu)榉ㄈ嘶坏诙?���,階段性研發(fā)管理轉(zhuǎn)變?yōu)樯芷诘难邪l(fā)管理;第三���,分散式管理轉(zhuǎn)變?yōu)檎募泄芸?����。網(wǎng)絡(luò)安全研發(fā)模式的創(chuàng)新和轉(zhuǎn)變實(shí)際上體現(xiàn)了網(wǎng)絡(luò)安全戰(zhàn)略大調(diào)整下政府管理模式的轉(zhuǎn)變�����,它符合信息安全研究大協(xié)作的特點(diǎn)����,并將逐漸成為信息化時代研發(fā)模式的發(fā)展趨勢��。
在新的模式中����,由于機(jī)構(gòu)對項(xiàng)目實(shí)行完整生命周期的法人化,有利于項(xiàng)目執(zhí)行各階段責(zé)任制的落實(shí)�����;實(shí)行集中統(tǒng)一的管理模式��,通過設(shè)立研發(fā)項(xiàng)目技術(shù)總體設(shè)計和總成單位�,對研發(fā)全生命周期進(jìn)行有效的過程管理和監(jiān)督,確保了實(shí)現(xiàn)網(wǎng)絡(luò)安全技術(shù)的互操作性和無縫集成���;由分散資金搞小項(xiàng)目轉(zhuǎn)變?yōu)榧匈Y金搞大項(xiàng)目協(xié)作���,將主要資金集中在一些大的研發(fā)項(xiàng)目上,大大提高了項(xiàng)目的成功率和技術(shù)研發(fā)的效果����。
美國在2004年之前執(zhí)行的是舊有的網(wǎng)絡(luò)安全研發(fā)模式,由國家科學(xué)基金會�、國防部、國土安全部�、商務(wù)部國家標(biāo)準(zhǔn)與技術(shù)研究所等承擔(dān)國家網(wǎng)絡(luò)安全職能的主管部門直接將研發(fā)項(xiàng)目分包給美國科研單位����、企業(yè)���、院校來承擔(dān)�����。
2004年2月����,美國出臺《網(wǎng)絡(luò)安全國家戰(zhàn)略》�����,圍繞美國在網(wǎng)絡(luò)安全方面的大的戰(zhàn)略性調(diào)整��,對網(wǎng)絡(luò)安全研發(fā)模式也作了相應(yīng)轉(zhuǎn)變�����。以國土安全部為例�����,2004年國土安全部在其行政序列中下設(shè)網(wǎng)絡(luò)安全研發(fā)中心,專門負(fù)責(zé)國土安全部網(wǎng)絡(luò)安全研發(fā)項(xiàng)目的管理以及協(xié)調(diào)工作�。經(jīng)過公開競標(biāo)���,國土安全部選擇SRI(設(shè)在斯坦福研究所內(nèi)�,長期以來與國防部����、國土安全部等美國政府各部門都有合作,在網(wǎng)絡(luò)安全技術(shù)開發(fā)上具有豐富的經(jīng)驗(yàn)和強(qiáng)大的實(shí)力)作為研發(fā)項(xiàng)目的總體規(guī)劃和總成單位�����,并由其管理國土安全部網(wǎng)絡(luò)安全研發(fā)中心��,負(fù)責(zé)協(xié)調(diào)和執(zhí)行國土安全部的網(wǎng)絡(luò)安全研發(fā)活動�,執(zhí)行國土安全部網(wǎng)絡(luò)安全項(xiàng)目研發(fā)生命周期的全過程。
在預(yù)研階段����,SRI負(fù)責(zé)對研發(fā)需求進(jìn)行調(diào)研,面向網(wǎng)絡(luò)安全研發(fā)用戶��,包括國土安全部各職能部門(國家網(wǎng)絡(luò)安全處、國家通信系統(tǒng)等)���、涉及國家安全的關(guān)鍵基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)(金融���、交通、電力等)以及基礎(chǔ)設(shè)施提供商�,確定研發(fā)方向。在項(xiàng)目實(shí)施階段�,SRI負(fù)責(zé)協(xié)調(diào)政府、學(xué)術(shù)界���、企業(yè)界協(xié)作開展研發(fā)活動����。在后研發(fā)階段�����,對研發(fā)成果應(yīng)用到實(shí)踐演練當(dāng)中����。
目前由國土安全部和國家科學(xué)基金會提供資金,由SRI作為總體設(shè)計和集成單位���,協(xié)調(diào)學(xué)術(shù)界���、產(chǎn)業(yè)界和政府部門研究人員承擔(dān)的兩個大型網(wǎng)絡(luò)安全研發(fā)項(xiàng)目DETER和EMIST(旨在創(chuàng)建���、維護(hù)和支持網(wǎng)絡(luò)安全研究協(xié)作模擬實(shí)驗(yàn)環(huán)境,建設(shè)風(fēng)險評估測試床和開發(fā)科學(xué)嚴(yán)格的網(wǎng)絡(luò)攻擊和預(yù)防機(jī)制測試評估框架和方法)實(shí)施效果顯著��。
