免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

出處：計(jì)算機(jī)安全       日期：2006-7-1在美國等西方發(fā)達(dá)國家的信息安全建設(shè)中，關(guān)鍵基礎(chǔ)設(shè)施安全始終是重中之重。但是，由于絕大多數(shù)關(guān)鍵基礎(chǔ)設(shè)施不由政府所控制，這些國家多次強(qiáng)調(diào)要使政府自身信息安全成為全國各部門、各行業(yè)信息安全的榜樣，以次帶動關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的信息安全工作。因此，大力發(fā)展電子政務(wù)，確保電子政府安全，已經(jīng)成為西方發(fā)達(dá)國家政府日常運(yùn)轉(zhuǎn)中的重要任務(wù)。那么，“榜樣”究竟表現(xiàn)如何？2006年3月16日，依據(jù)最新的電子政務(wù)信息安全指標(biāo)體系，美國眾議院政府改革委員會發(fā)布了2005財(cái)年聯(lián)邦政府各部門信息安全評分結(jié)果。在24個(gè)被考察的政府部門中，正可謂“幾家歡喜幾家愁”。1、電子政府信息安全評分制度的法律依據(jù)以辦公自動化為起點(diǎn)的電子政務(wù)開展以來，美國聯(lián)邦政府就授權(quán)管理和預(yù)算辦公室（OMB）負(fù)責(zé)開展與政府信息資源管理有關(guān)的工作，OMB也先后在此方面制定了多項(xiàng)規(guī)章制度。OMB所定義的信息資源包括了所有類型的信息以及由各種軟、硬件構(gòu)成的信息系統(tǒng)，信息安全是其中的重大問題，因此OMB在歷史上逐漸成為美國電子政務(wù)信息安全的主要管理部門。2000年，美國頒布了《政府信息安全改革法案》（GISRA），以法律形式規(guī)定了政府各部門必須對其電子信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估，并定期向OMB報(bào)告。2002年，基于GISRA以來的經(jīng)驗(yàn)，美國將GISRA更新為《聯(lián)邦信息安全管理法案》（FISMA），并將其作為《電子政府法案》的第三章。FISMA正式確立了對聯(lián)邦政府各部門的信息安全進(jìn)行年度評估并向OMB報(bào)告的框架。根據(jù)這一法案，OMB報(bào)告的來源有兩方面，一為聯(lián)邦政府各部門的負(fù)責(zé)人，另一來源則為政府各部門內(nèi)的總檢查長（簡稱IG，該職位受審計(jì)部門委派，由總統(tǒng)任免，與政府各部門相獨(dú)立），從而確保了評估報(bào)告的可靠性。OMB會在每年夏季發(fā)布本財(cái)年的報(bào)告指南，近年來還特別針對各部門負(fù)責(zé)人和總檢查長分別制定了報(bào)告模版，要求各部門在9月之前提交負(fù)責(zé)人和總檢查長的報(bào)告。根據(jù)這些報(bào)告，OMB將撰寫聯(lián)邦政府信息安全狀況的總報(bào)告，提交國會審議。除OMB提交的總報(bào)告外，社會各界還可以看到另外一份電子政府信息安全評估報(bào)告，這就是電子政府信息安全評分表。不同的是，前者由作為政府組成部分的OMB做出，而后者則由國會眾議院政府改革委員會做出。電子政府信息安全評分表的基礎(chǔ)數(shù)據(jù)來源也是各部門提交的報(bào)告，但其評價(jià)方法是量化的。政府改革委員會特地制定了一套電子政務(wù)信息安全指標(biāo)體系，評分后可以直觀地了解政府各部門電子政府信息安全的基本情況。2005年以前，這套指標(biāo)體系尚未成熟，一直沒有公開，只能查詢到各部門最終得分情況。在本次公開的資料中，已經(jīng)可以看到包括指標(biāo)體系在內(nèi)的全部資料。2、2005財(cái)年電子政務(wù)信息安全評分結(jié)果電子政務(wù)信息安全評分表的結(jié)構(gòu)比較簡單，其背后則是幾經(jīng)改進(jìn)并逐步穩(wěn)定下來的一套科學(xué)的指標(biāo)體系。表1顯示了自GISRA和FISMA先后頒布以來國會對政府各部門的評分結(jié)果。表1說明，政府各部門的安全狀況在不斷改進(jìn)，雖然絕大多數(shù)部門在2001和2002財(cái)年得分不及格（等級為F），但自2003財(cái)年開始，24個(gè)部門的平均分已經(jīng)超過及格線，并發(fā)展到D+。而且，在2005財(cái)年，有若干個(gè)單位得到了A或A+的好成績，甚至有一個(gè)單位得到了滿分。但表1也同時(shí)暴露出了一些非常嚴(yán)峻的問題。2005財(cái)年，仍有8個(gè)部門的信息安全等級為F，其中竟然有國防部、能源部、國土安全部、國務(wù)院這4個(gè)敏感部門。因此，眾議院公布本次的評分結(jié)果后，對這些部門的批評便一直不斷。表1  2001-2005財(cái)年各部門評分結(jié)果部門2005財(cái)年2004財(cái)年2003財(cái)年2002財(cái)年2001財(cái)年分?jǐn)?shù)等級分?jǐn)?shù)等級分?jǐn)?shù)等級分?jǐn)?shù)等級分?jǐn)?shù)等級農(nóng)業(yè)部24F49.5F40F36F31F國際發(fā)展局100A+99A+70.5C-52F22F商務(wù)部67D+56.5F72.5C-68D+51F國防部*38.75F65D65.5D38F40F教育部71C-76.5C77C+66D33F能源部46.75F48.5F59.5F41F51F環(huán)境保護(hù)局97.5A+84B74.5C63D-69D+總務(wù)管理局92.5A-79.5C+65D64D66D衛(wèi)生和公眾服務(wù)部45.5F49.5F54F61D-43F國土安全部33.5F20.5F34F--------住房和城市發(fā)展部67.5D+28F40F48F66D內(nèi)務(wù)部41.5F77C+43F37F48F司法部66.5D82.5B-55.5F56F50F勞工部99A+83B-86.5B79C+56F國家宇航管理局80B-60D-60.5D-68D+70C-原子能管理委員會60.5D-88B+94.5A74C34F國家科學(xué)基金會95A77.5C+90.5A-63D-87B+人事管理辦公室98A+72.5C-61.5D-52F39F小型商業(yè)管理局78C+60D-71C-48F48F社會安全管理局99A+86B88B+82B-79C+國務(wù)院37.5F69.5D+39.5F54F69D+運(yùn)輸部71.5C-91.5A-69D+28F48F財(cái)政部*60.5D-68D+64D48F54F退伍軍人事務(wù)部*46F50F76.5C50F44F平均分67.4D+67.3D+65D55F53F* 國防部、財(cái)政部和退　伍軍人事務(wù)部沒有提交2003財(cái)年的IG獨(dú)立評估報(bào)告，因此這三個(gè)部的相應(yīng)數(shù)據(jù)只能依據(jù)其自評估報(bào)告得出。3、指標(biāo)體系評分方法和內(nèi)容概述政府改革委員會采取的評分方法與OMB每財(cái)年向聯(lián)邦政府各部門下發(fā)的報(bào)告指南密切相關(guān)。OMB要求各部門回答的問題中，絕大多數(shù)都是以百分比作為考量。某項(xiàng)工作的得分與該工作在單位內(nèi)實(shí)施的范圍成正比，滿分則為100。例如，0分表示比例小于最低要求，例如只有29%甚至更低比率的雇員接受過安全培訓(xùn)。不同的比例范圍將被賦予不同的分?jǐn)?shù)，總分?jǐn)?shù)則由各單項(xiàng)分?jǐn)?shù)匯總而成。最后，根據(jù)總分評出24個(gè)部門各自的級別。總分與等級的對應(yīng)如下：90到93 = A-，94到96 = A，97到100 = A+80到83 = B-，84到86 = B，87到89 = B+70到73 = C-，74到76 = C，77到79 = C+60到63 = D-，64到66 = D，67到69 = D+59及59分以下= F表2顯示了2005財(cái)年的詳細(xì)評分內(nèi)容。該表主要由6部分組成，因篇幅所限，表2中只詳列了前兩部分的內(nèi)容。需要指出，為求完善，OMB一直在通過更新每財(cái)年的報(bào)告指南來改進(jìn)這些評分項(xiàng)目和賦值權(quán)重，所以各年度的評分內(nèi)容稍有不同，但OMB同時(shí)也在極力確保各財(cái)年之間結(jié)果的一致性和可比性。表2  2005財(cái)年評分內(nèi)容評分要點(diǎn)得分A.年度測試201.被檢查的信息系統(tǒng)所占比例1).本部門對多少信息系統(tǒng)進(jìn)行過檢查高影響級系統(tǒng)690-100%675-89%460-74%245-59%0.544%及以下0中影響級系統(tǒng)390-100%375-89%260-74%145-59%0.544%及以下0低影響級系統(tǒng)196-100%151-95%0.550%及以下02).合同商對多少系統(tǒng)操作過程和設(shè)施進(jìn)行過檢查高影響級系統(tǒng)690-100%675-89%460-74%245-59%0.544%及以下0中影響級系統(tǒng)390-100%375-89%260-74%145-59%0.544%及以下0低影響級系統(tǒng)196-100%151-95%0.550%及以下03).是否對合同商使用或運(yùn)行的系統(tǒng)依照有關(guān)政策和指南進(jìn)行了檢查96-100%（不扣分）-051-95%（A.1得分扣除50%）-50%50%及以下（A.1得分全部扣除）-100%B.行動和里程碑計(jì)劃（POA&M）152.本部門是否制定了整個(gè)部門范圍內(nèi)的行動和里程碑計(jì)劃1).POA&M是整個(gè)部門范圍內(nèi)的過程，考慮了信息系統(tǒng)中所有已知的安全不足幾乎總是，即96-100%的時(shí)間3大部分時(shí)間是，即81-95%的時(shí)間2經(jīng)常是，即71-80%的時(shí)間1有時(shí)是，即51-70%的時(shí)間0.5很少，即50%及以下的時(shí)間02).當(dāng)發(fā)現(xiàn)安全不足時(shí)，有關(guān)人員要為其系統(tǒng)制定、實(shí)施和管理POA&M幾乎總是，即96-100%的時(shí)間4大部分時(shí)間是，即81-95%的時(shí)間2經(jīng)常是，即71-80%的時(shí)間1有時(shí)是，即51-70%的時(shí)間0.5很少，即50%及以下的時(shí)間03).有關(guān)人員是否經(jīng)常就信息安全補(bǔ)救工作的情況向首席信息官匯報(bào)幾乎總是，即96-100%的時(shí)間1經(jīng)常是，即51-95%的時(shí)間0.5很少，即50%及以下的時(shí)間04).首席信息官是否每季度跟蹤、維護(hù)和檢查POA&M活動幾乎總是，即96-100%的時(shí)間2大部分時(shí)間是，即81-95%的時(shí)間1.5經(jīng)常是，即71-80%的時(shí)間1有時(shí)是，即51-70%的時(shí)間0.5很少，即50%及以下的時(shí)間05).總檢查長的發(fā)現(xiàn)是否納入了POA&M過程中幾乎總是，即96-100%的時(shí)間2經(jīng)常是，即51-95%的時(shí)間1很少，即50%及以下的時(shí)間06).是否對所發(fā)現(xiàn)的安全不足的緊要程度進(jìn)行了排列幾乎總是，即96-100%的時(shí)間3大部分時(shí)間是，即81-95%的時(shí)間2經(jīng)常是，即71-80%的時(shí)間1有時(shí)是，即51-70%的時(shí)間0.5很少，即50%及以下的時(shí)間0C.認(rèn)證和認(rèn)可（C&A）203.信息系統(tǒng)安全認(rèn)證和認(rèn)可1).經(jīng)過認(rèn)證和認(rèn)可的系統(tǒng)比例（略）122).其安全控制在一年內(nèi)經(jīng)過測試和評估的系統(tǒng)比例（略）43).其應(yīng)急計(jì)劃經(jīng)過演練的系統(tǒng)比例（略）4D.配置管理204.配置管理是否有覆蓋整個(gè)部門的配置策略（略）20E.事件檢測和響應(yīng)15事件檢測和響應(yīng)1).是否有記錄在案的事件檢測和報(bào)告流程（略）72). 是否有記錄在案的向執(zhí)法機(jī)構(gòu)的報(bào)告流程（略）43).是否有向US-CERT報(bào)告的流程（略）4F.培訓(xùn)10是否能確保包括合同商在內(nèi)的所有人員均受到信息安全培訓(xùn)1).機(jī)構(gòu)的雇員（包括合同商）接受培訓(xùn)的比例（略）42).具有高級安全知識的雇員（略）43).2005財(cái)年是否提供了足夠的培訓(xùn)經(jīng)費(fèi)（略）14).是否在安全意識培訓(xùn)、道德培訓(xùn)或其它培訓(xùn)中解釋了對等文件共享政策（略）14、評分結(jié)果反映的主要問題針對這套指標(biāo)體系的評分結(jié)果，政府改革委員會總結(jié)出了聯(lián)邦政府電子政府信息安全存在的以下不足：（1）年度測試某些部門還有大量系統(tǒng)沒有進(jìn)行分類；雖然大多數(shù)部門對應(yīng)急計(jì)劃的演習(xí)做出了積極努力，但仍有若干部門對高影響級系統(tǒng)應(yīng)急計(jì)劃的演習(xí)比例低于60%。（2）配置管理大多數(shù)部門已經(jīng)開始制定或已經(jīng)實(shí)施了配置管理策略，但其中一些部門的實(shí)施水平較低。（3）事件報(bào)告各部門的事件報(bào)告工作很不理想。一些部門甚至沒有報(bào)告任何安全事件，一些部門報(bào)告的安全事件則比USCERT掌握的一半還要低。（4）培訓(xùn)雖然大多數(shù)部門已經(jīng)對雇員實(shí)施了安全培訓(xùn)，但安全崗位上的人員還普遍缺乏專門的訓(xùn)練。（5）信息系統(tǒng)清單有相當(dāng)多的部門沒有制定主要IT系統(tǒng)的清單。5、結(jié)語美國電子政府信息安全評分制度本身屬于一種較宏觀的風(fēng)險(xiǎn)評估形式，具有很強(qiáng)的系統(tǒng)性特點(diǎn)。其指標(biāo)體系充分依賴了此前已經(jīng)開展的基礎(chǔ)工作，例如NIST發(fā)布的800-26、800-37、800-53等。從評分結(jié)果看，美國聯(lián)邦政府各部門的信息安全狀況在2001年和2002年普遍沒有達(dá)到及格線，但這并不等于其電子政務(wù)安全“不堪一擊”，而是反映出主管部門在當(dāng)時(shí)尚未就信息安全自評估、認(rèn)證認(rèn)可、應(yīng)急處理、培訓(xùn)等工作做出統(tǒng)一、明確的規(guī)定。自從FISMA、FIPS 199、800-53系列等法規(guī)、標(biāo)準(zhǔn)和指南發(fā)布后，這種局面已大為改觀。評分表上，近三年成績的穩(wěn)固增長已經(jīng)有了很強(qiáng)的說服力。由此可見，一套行之有效的信息安全指標(biāo)體系必須建立在牢固的信息安全基礎(chǔ)性工作之上。指標(biāo)體系的制定，也要具備合適的時(shí)機(jī)。