張哲宇 于盟 李敏

摘? ?要：文章介紹了美國(guó)聯(lián)邦政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估法律基礎(chǔ)、技術(shù)框架和標(biāo)準(zhǔn)體系，對(duì)美國(guó)聯(lián)邦信息安全管理法案及相關(guān)標(biāo)準(zhǔn)項(xiàng)目的提出、發(fā)展和演變進(jìn)行了跟蹤。通過(guò)對(duì)美國(guó)聯(lián)邦政府多年的網(wǎng)絡(luò)安全報(bào)告進(jìn)行分析研究，總結(jié)并提出了美國(guó)聯(lián)邦政府網(wǎng)絡(luò)安全評(píng)估的特點(diǎn)。

關(guān)鍵詞：網(wǎng)絡(luò)安全;風(fēng)險(xiǎn)評(píng)估;測(cè)試評(píng)估

中圖分類號(hào)：TP309? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： The article introduced the legal basis， technical framework and standards system of the United States federal government information security risk assessment， and tracked the development and evolution of the Federal Information Security Management Act and related standards. Through the analysis of the U.S. federal government's information security reports， it summarizes the characteristics and changes of the U.S. federal government information security assessment.

Key words： cyber security; risk assessment; test and evaluation

1 引言

21世紀(jì)以來(lái)，信息技術(shù)不斷融入生產(chǎn)生活、社會(huì)運(yùn)轉(zhuǎn)、政府管理等各個(gè)方面，網(wǎng)絡(luò)與信息系統(tǒng)在經(jīng)濟(jì)穩(wěn)定運(yùn)行、社會(huì)有序運(yùn)轉(zhuǎn)中，越來(lái)越發(fā)揮著無(wú)可替代的支撐作用。網(wǎng)絡(luò)空間作為海、陸、空、天外的第五維空間列入國(guó)家安全的范疇已經(jīng)成為全球共識(shí)。各個(gè)國(guó)家均開(kāi)始加大網(wǎng)絡(luò)空間投入，建立網(wǎng)絡(luò)空間部隊(duì)、出臺(tái)網(wǎng)絡(luò)空間戰(zhàn)略，保障本國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施在面對(duì)網(wǎng)絡(luò)安全攻擊中能保持安全穩(wěn)定運(yùn)行。政府和關(guān)鍵行業(yè)開(kāi)展網(wǎng)絡(luò)安全測(cè)試與評(píng)估是掌握本國(guó)安全態(tài)勢(shì)，促進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障能力提升的重要手段。美國(guó)作為網(wǎng)絡(luò)空間的領(lǐng)先者，網(wǎng)絡(luò)技術(shù)應(yīng)用較其他國(guó)家走在前列。美國(guó)在“9·11事件”之后，更是意識(shí)到了網(wǎng)絡(luò)空間安全的重要性，從2002年就開(kāi)始布局聯(lián)邦信息安全檢查工作，并推出了一系列的法律法規(guī)和標(biāo)準(zhǔn)規(guī)范;2012年開(kāi)始，又對(duì)相關(guān)法律進(jìn)行了修訂，根據(jù)網(wǎng)絡(luò)安全形勢(shì)做出了系統(tǒng)性調(diào)整，形成了較為完善、能夠適應(yīng)當(dāng)前網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作體系;2018年，美國(guó)國(guó)防部更新《網(wǎng)絡(luò)空間安全測(cè)試與評(píng)估指南》，用以指導(dǎo)網(wǎng)絡(luò)安全測(cè)試評(píng)估工作的規(guī)劃、分析和實(shí)施。

2 美國(guó)聯(lián)邦政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估體系

2.1法律基礎(chǔ)

2002年，美國(guó)頒布了聯(lián)邦信息安全管理法（FISMA），是電子政務(wù)法案中的第三章。法案強(qiáng)調(diào)，信息安全對(duì)美國(guó)經(jīng)濟(jì)和國(guó)家安全利益的重要性。法案要求每個(gè)聯(lián)邦機(jī)構(gòu)均應(yīng)開(kāi)發(fā)、記錄并實(shí)施機(jī)構(gòu)級(jí)的信息安全項(xiàng)目，從而為支持機(jī)構(gòu)運(yùn)營(yíng)和資產(chǎn)的信息與信息系統(tǒng)（也包括由其它機(jī)構(gòu)、合同商等其它方面為機(jī)構(gòu)提供或管理的信息和信息系統(tǒng)）提供安全。法案明確了聯(lián)邦機(jī)構(gòu)、NIST和預(yù)算管理辦公室的信息安全職責(zé)。要求美聯(lián)邦機(jī)構(gòu)的領(lǐng)導(dǎo)者要實(shí)施相關(guān)策略和措施，降低信息技術(shù)安全風(fēng)險(xiǎn)到可接受的級(jí)別;要求各機(jī)構(gòu)每年應(yīng)總結(jié)信息安全項(xiàng)目執(zhí)行情況，并將結(jié)果報(bào)告給預(yù)算管理辦公室。預(yù)算管理辦公室將根據(jù)結(jié)果數(shù)據(jù)形成報(bào)告并上報(bào)國(guó)會(huì)。

因全球信息安全威脅變化，美國(guó)聯(lián)邦政府認(rèn)為僅僅從合規(guī)性方面評(píng)估聯(lián)邦機(jī)構(gòu)網(wǎng)絡(luò)安全難以發(fā)揮實(shí)效，2012年開(kāi)始對(duì)FISMA法案開(kāi)始了相應(yīng)的修訂工作，并于2014年通過(guò)了新的FISMA法案。調(diào)整并明確了由國(guó)土安全部負(fù)責(zé)監(jiān)督聯(lián)邦機(jī)構(gòu)信息安全，指導(dǎo)聯(lián)邦機(jī)構(gòu)開(kāi)展系統(tǒng)重要程度評(píng)估和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，促進(jìn)信息共享，制定并執(zhí)行全局防護(hù)計(jì)劃，預(yù)算管理辦公室則更偏向于網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和要求的實(shí)施落地，負(fù)責(zé)檢查監(jiān)督等職能部門信息安全實(shí)踐。在新的法案中，強(qiáng)調(diào)了聯(lián)邦政府的持續(xù)監(jiān)測(cè)能力建設(shè)和風(fēng)險(xiǎn)評(píng)估的重要性，在上報(bào)數(shù)據(jù)中更加強(qiáng)調(diào)措施的有效性，并且明確將信息安全作為員工考核指標(biāo)。

2.2 技術(shù)體系建設(shè)

為了促進(jìn)FISMA條款在聯(lián)邦機(jī)構(gòu)的實(shí)施落地，F(xiàn)ISMA明確要求由NIST負(fù)責(zé)為聯(lián)邦機(jī)構(gòu)（除國(guó)家安全系統(tǒng)之外）開(kāi)發(fā)能為其運(yùn)營(yíng)和資產(chǎn)提供充足信息安全保障的標(biāo)準(zhǔn)、指南、相關(guān)方法和技術(shù)。2003年啟動(dòng)了FISMA實(shí)施項(xiàng)目（FISMA Implementation Project），主導(dǎo)推出了針對(duì)信息系統(tǒng)和服務(wù)安全性的一系列標(biāo)準(zhǔn)以及評(píng)估、測(cè)試和驗(yàn)證程序。

項(xiàng)目主要包括兩個(gè)部分。一是持續(xù)制定和更新安全標(biāo)準(zhǔn)和指南，有效滿足執(zhí)行相關(guān)法例的需求。實(shí)施NIST制定的標(biāo)準(zhǔn)和指南將幫助各機(jī)構(gòu)建立和維護(hù)健全的信息安全計(jì)劃，并有效管理機(jī)構(gòu)運(yùn)營(yíng)、資產(chǎn)和人員的風(fēng)險(xiǎn)。該階段的成果主要包括FIPS和NIST的SP系列出版物。二是為聯(lián)邦機(jī)構(gòu)各部門研發(fā)提供實(shí)施和評(píng)估輔助工具，簡(jiǎn)化標(biāo)準(zhǔn)和指南落地難度，支持推廣風(fēng)險(xiǎn)管理框架的使用。這些輔助工具旨在幫助組織在聯(lián)邦信息系統(tǒng)的管理、運(yùn)行和技術(shù)安全控制過(guò)程中實(shí)施NIST制定的標(biāo)準(zhǔn)和指南。安全評(píng)估輔助工具工作內(nèi)容主要包括培訓(xùn)計(jì)劃、支撐自動(dòng)化工具開(kāi)發(fā)、產(chǎn)品和服務(wù)最低安全基線、安全評(píng)估最低基線要求的制定等方面內(nèi)容。

2.3 安全評(píng)估標(biāo)準(zhǔn)體系

目前在NIST主導(dǎo)下，已經(jīng)完成并發(fā)布了一系列重要的安全準(zhǔn)則和標(biāo)準(zhǔn)，主要包括信息和信息系統(tǒng)的分類標(biāo)準(zhǔn)（FIPS 199），每個(gè)類別的信息和信息系統(tǒng)的信息安全基線要求。從中可以看出，F(xiàn)ISMA實(shí)施項(xiàng)目重視制定聯(lián)邦信息系統(tǒng)安全控制、應(yīng)用風(fēng)險(xiǎn)管理框架、風(fēng)險(xiǎn)管理和評(píng)估方面的標(biāo)準(zhǔn)，并且通過(guò)制定安全內(nèi)容自動(dòng)化協(xié)議，支持、推廣安全自動(dòng)化管理，提高標(biāo)準(zhǔn)落實(shí)的效率，加強(qiáng)執(zhí)行力。通過(guò)十幾年的積累，在FISMA實(shí)踐方面，已經(jīng)形成了一套符合信息系統(tǒng)生命周期的信息安全標(biāo)準(zhǔn)框架，為信息系統(tǒng)的分類，如何選擇和不容安全防護(hù)措施、如何實(shí)現(xiàn)、如何評(píng)估，如何監(jiān)控和改進(jìn)等工作提供了詳細(xì)參考。

3 美國(guó)聯(lián)邦政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估特點(diǎn)

3.1 從靜態(tài)評(píng)估轉(zhuǎn)向動(dòng)態(tài)評(píng)估

在2009年以前，F(xiàn)ISMA主要關(guān)注年度報(bào)告中對(duì)信息系統(tǒng)和安全狀態(tài)的靜態(tài)評(píng)估。2010年8月，OMB發(fā)布的FISMA報(bào)告指南備忘錄，對(duì)FISMA報(bào)告提出新要求：從2011年開(kāi)始，各部門按月上報(bào)信息安全數(shù)據(jù)，明確要求各政府機(jī)構(gòu)每月都需要直接向國(guó)土安全部管理的數(shù)據(jù)中心平臺(tái)上報(bào)一系列安全相關(guān)數(shù)據(jù)，而不再是每年匯報(bào)一次。這有利于各機(jī)構(gòu)掌握即時(shí)信息安全相關(guān)信息，提高了數(shù)據(jù)的及時(shí)性和保真度。

自2009年，各機(jī)構(gòu)開(kāi)始實(shí)施動(dòng)態(tài)連續(xù)監(jiān)控，采用互動(dòng)的信息安全數(shù)據(jù)收集平臺(tái)—CyberScope。數(shù)據(jù)平臺(tái)可保證數(shù)據(jù)上報(bào)的安全性和及時(shí)性，并實(shí)施安全指標(biāo)以提前洞察安全態(tài)勢(shì)。2010年繼續(xù)使用推廣CyberScope，實(shí)施持續(xù)監(jiān)測(cè)以收集實(shí)時(shí)數(shù)據(jù)。FISMA 2010財(cái)年報(bào)告闡述了及時(shí)掌握安全態(tài)勢(shì)、活動(dòng)和威脅相關(guān)準(zhǔn)確信息的重要性，強(qiáng)調(diào)進(jìn)行徹底即時(shí)的安全控制評(píng)估。

美國(guó)聯(lián)邦政府信息安全評(píng)估從靜態(tài)轉(zhuǎn)向動(dòng)態(tài)，說(shuō)明了美國(guó)對(duì)聯(lián)邦信息安全的重視程度在不斷提升，美國(guó)試圖通過(guò)持續(xù)實(shí)施動(dòng)態(tài)監(jiān)測(cè)以收集實(shí)時(shí)數(shù)據(jù)，最大限度地提高安全相關(guān)信息的及時(shí)性和保真度，來(lái)構(gòu)建一種防御性戰(zhàn)略，保護(hù)其信息和信息系統(tǒng)安全。

3.2 重視應(yīng)用風(fēng)險(xiǎn)管理框架進(jìn)行風(fēng)險(xiǎn)管理和評(píng)估

NIST出版的SP 800-37《聯(lián)邦信息系統(tǒng)應(yīng)用風(fēng)險(xiǎn)管理框架指南：安全生命周期方法》中，將傳統(tǒng)的信息系統(tǒng)認(rèn)證和認(rèn)可（C&A）過(guò)程，轉(zhuǎn)變?yōu)橐粋€(gè)具有六個(gè)步驟的風(fēng)險(xiǎn)管理框架，該框架有利于識(shí)別信息系統(tǒng)的運(yùn)作和使用相關(guān)風(fēng)險(xiǎn)。“SP 800-37”要求聯(lián)邦信息系統(tǒng)應(yīng)用風(fēng)險(xiǎn)管理框架，從以前的定期C&A過(guò)程發(fā)展為連續(xù)的安全授權(quán)（Authorization）過(guò)程。

自2010年，聯(lián)邦政府開(kāi)始實(shí)施NIST“風(fēng)險(xiǎn)管理框架”概念，作為連續(xù)監(jiān)測(cè)程序的一部分。2010年4月，OMB要求聯(lián)邦機(jī)構(gòu)采用風(fēng)險(xiǎn)管理框架，并向CyberScope報(bào)告相關(guān)情況。在FISMA 2010財(cái)年報(bào)告中，專門闡述了實(shí)施風(fēng)險(xiǎn)管理框架的意義，通過(guò)采取具體的管理、可行和技術(shù)安全控制措施，維護(hù)信息系統(tǒng)的安全，并為高層領(lǐng)導(dǎo)人提供必要的信息。報(bào)告還專門統(tǒng)計(jì)了各機(jī)構(gòu)實(shí)施“NIST 800-37”的IT安全成本狀況。此外，作為FISMA實(shí)施項(xiàng)目的成果，NIST還出臺(tái)了SP 800-53A 修訂版1、SP 800-39 最終版以及SP 800-30 修訂版1，作為風(fēng)險(xiǎn)管理框架的補(bǔ)充，指導(dǎo)各機(jī)構(gòu)進(jìn)行風(fēng)險(xiǎn)管理和評(píng)估。

從近年來(lái)FISMA年度報(bào)告看出，目前美國(guó)聯(lián)邦政府網(wǎng)絡(luò)安全評(píng)估，是基于資產(chǎn)識(shí)別、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)的能力成熟度評(píng)估框架下開(kāi)展，重點(diǎn)關(guān)注資產(chǎn)管理能力、漏洞管理能力、安全配置管理能力、身份驗(yàn)證措施落實(shí)、反釣魚(yú)和惡意軟件防御能力。

3.3 提倡全生命周期的測(cè)試與評(píng)估

2018年4月美國(guó)國(guó)防部（DOD）公布了《網(wǎng)絡(luò)空間安全測(cè)試與評(píng)估指南2.0》，從理解網(wǎng)絡(luò)安全需求、網(wǎng)絡(luò)攻擊特征化、脆弱性識(shí)別協(xié)作、對(duì)抗性網(wǎng)絡(luò)安全測(cè)試評(píng)估、漏洞協(xié)作和滲透評(píng)估、對(duì)抗性評(píng)估六個(gè)階段，為全生命周期網(wǎng)絡(luò)安全測(cè)試評(píng)估提供了指導(dǎo)，如圖1所示。

為保證網(wǎng)絡(luò)安全測(cè)試評(píng)估的有效性，建議測(cè)試人員從第一階段開(kāi)始參與規(guī)劃、分析、實(shí)施。同時(shí)，DOD也指出，由于系統(tǒng)架構(gòu)及操作環(huán)境的變化，或在新威脅出現(xiàn)時(shí)，測(cè)試評(píng)估過(guò)程具有階段迭代特點(diǎn)。

3.4 逐步實(shí)現(xiàn)安全管理自動(dòng)化

2010年OMB關(guān)于FISMA的備忘錄指出，各政府機(jī)構(gòu)應(yīng)具備監(jiān)控安全相關(guān)信息的能力，這種能力應(yīng)該是持續(xù)的、可管理及可控制的。為了做到這一點(diǎn)，各政府機(jī)構(gòu)需要加快安全相關(guān)行動(dòng)的自動(dòng)化進(jìn)程，使用安全管理工具確立安全相關(guān)信息之間的關(guān)系并進(jìn)行分析。政府機(jī)構(gòu)需要開(kāi)發(fā)自動(dòng)化的風(fēng)險(xiǎn)模型，并在安全管理工具中將風(fēng)險(xiǎn)模型應(yīng)用于系統(tǒng)弱點(diǎn)和威脅的識(shí)別，要求將自動(dòng)化工具整合到FISMA實(shí)施過(guò)程中。

根據(jù)FISMA的要求，NIST于2010年、2011年分別發(fā)布了SP 800-117：安全內(nèi)容自動(dòng)化協(xié)議（SCAP）1.0版本、SP 800-126 修訂版2：安全內(nèi)容自動(dòng)化協(xié)議（SCAP）技術(shù)規(guī)范：SCAP 1.2版本。這些標(biāo)準(zhǔn)/技術(shù)規(guī)范為各機(jī)構(gòu)實(shí)施自動(dòng)化安全管理工具提供指導(dǎo)。

FISMA報(bào)告指出自動(dòng)化配置和漏洞管理工作是聯(lián)邦政府重要任務(wù)之一，并在NIST、NSA和聯(lián)邦CIO委員會(huì)的引導(dǎo)下，越來(lái)越多的公共和私營(yíng)機(jī)構(gòu)采用自動(dòng)化工具來(lái)進(jìn)行系統(tǒng)評(píng)估。從報(bào)告數(shù)據(jù)可以看出，聯(lián)邦機(jī)構(gòu)在自動(dòng)化資產(chǎn)管理和自動(dòng)化漏洞管理方面取得了一定進(jìn)展。

OMB備忘錄的指示、NIST出臺(tái)的標(biāo)準(zhǔn)以及近年FISMA報(bào)告內(nèi)容，都體現(xiàn)了美國(guó)聯(lián)邦政府愈來(lái)愈重視實(shí)施自動(dòng)化安全管理，以實(shí)時(shí)管理信息系統(tǒng)、修復(fù)系統(tǒng)漏洞，進(jìn)行自動(dòng)監(jiān)控和系統(tǒng)評(píng)估，來(lái)滿足信息系統(tǒng)的安全需求。

3.5 注重信息安全措施的成效評(píng)估

為了進(jìn)一步提高FISMA的執(zhí)行效果，2009年OMB成立了一個(gè)工作小組，重新制定了政府機(jī)構(gòu)報(bào)告應(yīng)包含的安全衡量指標(biāo)，這些新指標(biāo)更注重信息安全措施的成效性。2010年的FISMA報(bào)告指南備忘錄要求：“應(yīng)理解這些安全衡量指標(biāo)指明了政府機(jī)構(gòu)應(yīng)該把資源集中于哪些內(nèi)容，該工作組制定的安全衡量標(biāo)準(zhǔn)將推動(dòng)政府機(jī)構(gòu)審查其面臨的風(fēng)險(xiǎn)，大幅改進(jìn)他們的安全狀況”。2011年的FISMA備忘錄明確規(guī)定，各機(jī)構(gòu)必須在CyberScope平臺(tái)上回答一組涉及安全功能實(shí)施的評(píng)估和其成效衡量的信息安全問(wèn)題。

自2016年以來(lái)，安全指標(biāo)工作組每年制定網(wǎng)絡(luò)安全管理、個(gè)人隱私保護(hù)等方面的指標(biāo)，以評(píng)估安全性能、衡量安全措施、個(gè)人隱私數(shù)據(jù)保護(hù)等措施的有效性并確定其風(fēng)險(xiǎn)水平。這些指標(biāo)主要分為三類：執(zhí)行層面的指標(biāo)、成效層面指標(biāo)和結(jié)果（影響）層面的指標(biāo)。與2013年前不同的是，評(píng)估指標(biāo)項(xiàng)目已經(jīng)從關(guān)注工作落實(shí)向關(guān)注措施效果方面轉(zhuǎn)變，由聯(lián)邦機(jī)構(gòu)的首席信息官根據(jù)檢查項(xiàng)目對(duì)安全能力進(jìn)行評(píng)定，由督查官對(duì)整體防護(hù)能力成熟度進(jìn)行評(píng)價(jià)，更加側(cè)重從結(jié)果角度去評(píng)估，關(guān)注重大事件的發(fā)生和處置情況。

3.6 關(guān)注新技術(shù)信息安全問(wèn)題

近年來(lái)，F(xiàn)ISMA的實(shí)施越來(lái)越重視新技術(shù)（主要是云計(jì)算）的信息安全問(wèn)題。NIST在FISMA的指導(dǎo)下，出版了一系列關(guān)于云計(jì)算信息安全的準(zhǔn)則/指南，包括SP 800-145：NIST關(guān)于云計(jì)算的定義和SP 800-144：公共云計(jì)算安全和隱私準(zhǔn)則，SP 800-146：云計(jì)算概要和建議等。早在2009年和2010年的報(bào)告中，就已經(jīng)強(qiáng)調(diào)重視云計(jì)算安全。

為了解決云安全問(wèn)題，宏觀層面美國(guó)已經(jīng)制定出了政府層面的解決方案，包括聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃（FedRAMP），為云計(jì)算服務(wù)和產(chǎn)品提供標(biāo)準(zhǔn)途徑。FedRAMP允許政府和商業(yè)機(jī)構(gòu)聯(lián)合授權(quán)，為跨機(jī)構(gòu)的云計(jì)算系統(tǒng)提供持續(xù)的監(jiān)控服務(wù)。云服務(wù)提供商的聯(lián)合授權(quán)導(dǎo)致共同安全風(fēng)險(xiǎn)模型，有利于聯(lián)邦政府審批。政府只需一次審批，就能保證云服務(wù)多次使用，確保各個(gè)機(jī)構(gòu)從FedRAMP的授權(quán)中受益。此外，NIST也與相關(guān)部門合作，在云安全、可移植性和互操作性的標(biāo)準(zhǔn)化方面達(dá)成共識(shí)，這些舉措以及FISMA的實(shí)施，將保證聯(lián)邦政府的云安全。

4 結(jié)束語(yǔ)

伴隨著全球信息化、云計(jì)算和大數(shù)據(jù)等技術(shù)的應(yīng)用和發(fā)展，網(wǎng)絡(luò)安全問(wèn)題已逐步上升至國(guó)家戰(zhàn)略層面，而風(fēng)險(xiǎn)評(píng)估是識(shí)別網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、評(píng)估網(wǎng)絡(luò)安全影響范圍的重要方法。本文通過(guò)對(duì)美國(guó)聯(lián)邦政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的法律基礎(chǔ)、技術(shù)框架和標(biāo)準(zhǔn)進(jìn)行體系化分析，總結(jié)并提出了美國(guó)聯(lián)邦政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估特點(diǎn)，為完善我國(guó)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作提供了參考和補(bǔ)充。

參考文獻(xiàn)

[1] Office of Management and Budget[EB/OL]. http：//www.whitehouse.gov/omb/，2018.

[2] Federal Information Security Modernization Act[EB/OL]. https：//www.dhs.gov/fisma，2019.

[3] FY 2018 CIO FISMA Metrics[EB/OL]. https：//www.dhs.gov/sites/default/files/publications/FY%202018%20CIO%20FISMA%20Metrics_V1_Final%20508.pdf，2018.

[4] FY 2017 CIO FISMA Metrics[EB/OL]. https：//www.dhs.gov/sites/default/files/publications/FY%202017%20CIO%20FISMA%20Metrics-%20508%20Compliant.pdf，2017.

[5] FY 2017 IG FISMA Metrics[EB/OL]. https：//www.dhs.gov/sites/default/files/publications/Final%20FY%202017%20OIG%20FISMA%20Metrics%20v1.0%20dhs%20formatted-%20508%20compliant%20v2.pdf，2017.

[6] 郭臣.安全檢查保障信息系統(tǒng)安全[J].信息安全與技術(shù)，2010（7）：6-9.

[7]. 美國(guó)聯(lián)邦信息系統(tǒng)安全標(biāo)準(zhǔn)制定實(shí)施規(guī)劃研究[J].保密科學(xué)技術(shù)，2012（10）：27-32+1.

[8] 楊碧瑤，王鵬.從《聯(lián)邦信息安全管理法案》看美國(guó)信息安全管理[J].保密科學(xué)技術(shù)，2012（8）：37-39.

[9] 許玉娜.美國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院信息安全標(biāo)準(zhǔn)化系列研究（七） 聯(lián)邦信息安全管理法案實(shí)施項(xiàng)目進(jìn)展研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2011（10）：35-39.

[10] 張明天，王惠蒞，楊晨，楊建軍.美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院信息安全標(biāo)準(zhǔn)化系列研究（四） FIPS 199《聯(lián)邦信息和信息系統(tǒng)安全分類》標(biāo)準(zhǔn)解讀[J].信息技術(shù)與標(biāo)準(zhǔn)化，2011（7）：52-55.

[11] 嚴(yán)霄鳳，高熾揚(yáng).美國(guó)聯(lián)邦信息安全風(fēng)險(xiǎn)管理框架及其相關(guān)標(biāo)準(zhǔn)研究[J].信息安全與通信保密，2009（2）：40-44.