淺析美國NIST《風險管理框架》
前言
《風險管理框架》(Risk Management Framework,RMF)是NIST[1]于2010年出版的特別出版物800-37rev1[2]。NIST開發的此框架,提供一種靈活、動態的方法有效管理高度多樣化的環境中貫穿系統全生命周期與信息系統相關的安全風險。當下,美國政府的各個機構都必須遵守RMF并將其融入信息系統管控流程[5]。2019年RMF被寫入國防部指示中,許多機構組織都在為遵守RMF制定各自的執行指南。美聯邦政府信息系統如此普適的風險管理框架,是基于什么樣的背景出臺發布?其機理和內容是怎樣的?正在整個聯邦發揮著怎樣的作用?本文基于以上疑問對RMF進行解析研究。
一、 RMF出臺背景和契機
由于多種原因,使得IT系統安全性、合規性和IT運營保持一致一直是聯邦生態系統中的一項持續挑戰。關于聯邦系統IT安全的案例比比皆是,例如很多合規但是并不安全的系統大量存在,以及對工具的巨額投資,然而這些工具并不能改變系統安全性。GAO [4]于2018年及2021年先后發布兩份關于美武器系統網絡安全形勢的報告,其中暴露由于國防部行動指導偏差,致使大量“合規”但不安全的武器系統投入使用。RMF正是基于這樣的背景和契機發布出臺并不斷完善更新,給予聯邦各信息系統以規范靈活的安全指導。
RMF的出臺:
一是NIST對美聯邦法典第44條《聯邦信息安全現代化法案》(FISMA)履行法定責任的表現。FISMA認為信息安全關乎美國經濟和國家安全利益,因此分別對聯邦機構、NIST和OMB(預算與管理辦公室)都指派了針對加強聯邦信息安全的具體實施行動任務。具體到NIST的職責是開發信息安全標準(聯邦信息處理標準)和非國家安全聯邦信息系統的指南(SP 800系列)[6]。RMF正是在這個時期被醞釀和出臺發布的。
二是NIST整合SP 800系列在FISMA實施項目第一階段的研究成果,促成全面權威的信息安全標準體系。FISMA實施項目始于2003年1月,其使命是契合FISMA法案要求制定安全標準和指南。2009年聯合工作組(Joint Task Force Transformation Initiative Interagency Working Group)成立,此工作組由NIST、DOD(美國防部)、ODIN(美情報總監辦公室)共建組成,在聯合工作組的推動下,產生了FISMA項目第一階段的研究成果——RMF。
二、 RMF機理與內容
當下外界所看到的“六步驟”RMF的原始版本是2010年2月NIST發布的SP 800-37rev1,此版本是對2004年SP 800-37[7] 的第一次修訂,由傳統的基于認證認可(C&A)的過程迭代演變成“六步驟”,并且進行了相應的更名。修訂后的RMF較傳統的C&A過程更加的靈活,強調“持續監控”的理念,提供了一種嚴謹并且結構化的動態風險控制方法,用于管理與聯邦信息系統的運營和使用相關的任務/業務風險。
RMF的六個步驟的實現方式如下[3]:
第一步:進行系統分類。根據管控對象系統的某個風險維度對系統進行分類,并就結果對系統進行相應的登記備案。具體執行規則可參照FIPS出版物199、NIST SP800-30、NIST SP 800-39、NIST SP800-59、NIST SP 800-60,或者CNSSI1253。
第二步:選擇安全控制。根據步驟一中系統的分類和其他相關因素選擇系統的安全控制。這一步需要確定核心組件類型,以及每個控件相關的初始控制集。具體執行規則可參照FIPS出版物199、FIPS出版物200、NIST SP 800-30、NISTSP 800-53、NIST SP 800-53A,或者CNSSI1253。
第三步:實施安全控制。針對控制系統對象實施量身定制的控制策略,并且此策略與安全文檔保持一致。同時將完整性監控規則應用于特定的配置文件,以確保對系統結構的更改具有控制權和可見性。具體執行規則可參照FIPS出版物200、NIST SP800-30、NIST SP 800-53、NIST SP800-53A、CNSSI1253,或者SCAP.NIST.GOV網站。
第四步:評估安全控制。提供對控件、配置和設置的連續監視,并報告安全控件的狀態,使之與系統的其他測試和認證活動保持一致。具體執行規則可參照NIST SP 800-53A、NIST SP 800-30、NIST SP 800-70。
第五步:授權信息系統。為任何失敗的控件提供跟蹤和狀態信息。同時還提供了對失敗的控件豁免、分配職責和操作日期并進行相應監控的方法。這為安全員可以更好地保證遵守安全管理規范提供了保證條件。具體執行規則可參照NIST SP 800-30、NIST SP 800-39、NIST SP 800-53A。
第六步:監控安全控制。為系統提供持續地安全管理和監控。報告形式記錄系統的核心組件和配置被意外更改等安全事件。具體執行規則可參照NIST SP 800-30、NIST SP 800-39、NIST SP 800-53A、NIST SP 800-53、NIST SP 800-137,或者CNSSI1253。
圖1 RMF六步驟圖
RMF的六個步驟過程是靈活和可迭代的,組織必須根據系統數據分類或系統大小及系統復雜性等變量,參考特定的機構說明(執行指南等)來參考實施。
三、RMF特點及效能
“六步驟”的RMF具有明顯的特點和靈活性:
1. 風險管控理念融入系統的全生命周期。
2. 強調“持續監控”,實現實時風險管控和持續信息系統授權。
3.正面強調自動化工具的使用,基于提供的足夠信息對信息系統做出成本效益最大化、基于風險管控的決策。
4.“六步驟”的信息系統風險管理過程考慮實現與組織層面的風險管理相連接。
RMF的典型應用案例:
RMF最典型的應用案例之一是GAO于2021年3月4日發布《Weapon System Cybersecurity Guidance Would Help DOD Programs BetterCommunicate Requirements to Contractors》(《武器系統網絡安全:國防部借助指南來更好地與承包商溝通項目要求》)報告中曾提到,國防部基于RMF框架,使武器系統在安全控制方面取得了積極進展。國防部內部組織已經開始開發控制“覆蓋層”(overlay)來幫助項目量身定制控制措施。覆蓋層是對基準線的一組專門調整,可以應用于相似類型系統的采集程序。多個實際案例表明,更多制定的覆蓋層將有助于簡化確定和證明控制措施是否適應于系統。此外,陸軍、海軍、空軍及海軍陸戰隊都相繼發布了RMF指南,以此發揮軍種層級的積極指導作用。
四、總結
作為FISMA實施項目的研究成果,RMF現已成為美聯邦信息系統風險管理的普適框架。RMF以其開放、靈活和可迭代等諸多特點獲得各個機構和軍兵種的廣泛認可和執行。GAO的近期關于武器系統網絡安全的報告中,著重強調RMF在減輕武器系統網絡安全風險方面起到了關鍵的積極作用。未來,RMF貫穿系統全生命周期的靈活性管理形態,還將會根據新的信息條件和環境進行適應性調整,其作用空間和包容性巨大。
參考文獻及腳注:
[1] National Institute of Standards and Technology(國家標準與技術研究院,美)
[2] Guide for Applying the Risk Management Framework to FederalInformation Systems::A Security Life Cycle Approach(《聯邦信息系統應用風險管理框架:安全生命周期方法》)
[3] Guidelines for the Security Certification and Accreditation of Federal Information Technology Systems(聯邦IT系統安全認證認可指南)
[4] GAO,Government Accountability Office,美國政府責任署/美國審計總署。
[5]STEVENTIPTON.如何應用RMF[EB/OL]. https://www.tripwire.com/state-of-security/featured/applying-risk-management-framework/,2019–12–10.
[6]許玉娜.美國家標準和技術研究院信息安全標準化系列研究(七) 聯邦信息安全管理法案實施項目進展研究[J].信息技術與標準化,2011(10):35-39.
[7]FEB.NISTSP800-37 .Revision 1 Guide for Applying the Risk Management Framework toFederal Information Systems: A SecurityLife Cycle Approach[S]. Gaithersburg: NIST, 2010.-2.
