梁露露，贺 强，宋 璟，白云波，方 硕

(中国信息安全测评中心，北京 100085)

0 引言

2002年11月，美国电子政务法案获得国会投票通过，并由总统签署生效。该法案强调了信息安全对美国经济和国家安全利益的重要性，其中的第三款联邦信息安全管理法案(FISMA，Federal Information Security Management Act)赋予了美国国家标准和技术研究院(NIST，National Institute of Standards and Technology)制定联邦政府安全标准和指南的职责。SP(Special Publication)800系列标准开始于1990年，主要研究计算机安全方面的标准。在NIST推动下，SP 800系列标准包含一整套计算机安全方面的标准和规范，包含访问控制、审计、意识与培训、安全评估等多个方面，其中风险管理是SP 800系列标准研究的一项重要的内容。

SP 800－39［1］(信息系统风险管理:组织、任务、信息系统的角度)是NIST在FISMA基础上开发的有关计算机安全的重要文档。SP800－39为联邦信息系统的风险管理提供了指导性建议，包括组织的运营(例如:任务、功能、形象和声望)、评估等各个方面。其中，将风险管理分为四个部分:组织风险(Frame Risk)、评估风险(Assess Risk)、响应风险(Respond Risk)、监控风险(Monitor Risk)。此外，SP 800－39提出三级风险管理组织架构，从组织、使命/业务和信息系统三个不同角度对风险管理的内涵进行了阐释。其中，信息系统级的风险管理是组织风险管理最复杂、最重要的一项内容。

文中对美国信息系统的风险管理模型和原理进行了阐释，对信息系统级的风险管理进行了重点研究和说明，接着对信息系统的风险管理框架(RMF，Risk Management Framework)分步骤进行了介绍，最后对全文做了总结。

1 风险管理框架简介

信息系统的安全风险主要指对组织运营、资产、个人、其他组织、国家等产生的风险。基于风险的安全控制选择和具体化考虑了有效性、效率和联邦法律、行政命令、指令、政策、条例、标准和指导方针的限制。为了将风险管理过程贯穿到整个组织架构，并且能够更有效的解决使命/业务的问题，NIST提出了三层的风险管理模型:(i)组织级;(ii)使命/业务过程级;(iii)信息系统级。风险管理的过程始终贯穿着三层，实现对组织风险相关活动持续性改进，实现对组织使命/业务成功有着共同利益的人之间的层间和层内部的通信。图1描述了这三层的风险管理方法。

第一层(TIER1)组织级，根据组织使命/业务的功能不同进行优先级划分，同时可以为投资的策略和资金的资助提供参考，促进有价值、有效的信息技术解决方案符合组织的战略目标。第二层(TIER2)使命/业务过程级，包括四点内容:1)定义使命/业务过程，以支持组织的使命/业务功能;2)确定信息系统的安全分类，以实施使命/业务过程;3)将信息安全需求与使命/业务过程结合在一起;4)建立一个企业级架构(包括一个嵌入的信息安全架构)，方便在组织信息系统和系统运营环境中配置安全控制方法。第三层(TIER3)信息系统级，主要考虑信息系统相关风险。RMF(如图2所示)正是为了解决信息系统的风险问题。

图1 三层风险管理方法Fig.1 Three－tiered risk management approach

图2 风险管理框架Fig.2 Risk management framework

RMF解决了与信息系统设计、开发、实施、运营和处理相关组织的安全性问题，主要包含以下六步:

步骤一:根据FIPS PUBS 199(FIPS，Federal Information Processing Standard)［1］等标准对信息系统进行分类。

步骤二:根据信息系统的安全分类和定制指南(如果有可能，包含OVERLAYS的使用)，选择安全控制方法的基线。

步骤三:实施安全控制方法，并对这些控制方法的设计、开发和实施细节进行文档化。

步骤四:评估安全控制方法，确定准确实施的范围，在满足系统安全需求的情况下产出期望的收益。

步骤五:如果与信息系统操作和使用相关的组织、个人、国家的风险在可以接受的范围，则授权系统正常运营。

步骤六:对信息系统安全控制方法和运营环境进行持续性监控，确定控制方法的有效性，根据系统和环境进行改变，使其符合法律、行政命令、指令、政策、条例和标准。

下面将对风险管理框架的六个步骤的主要内容分别作介绍。

2 风险管理框架

2.1 信息系统安全分类

风险评估框架的第一步就是对信息系统和系统中的信息进行安全分类。NIST将信息系统分为联邦信息系统和国家安全系统两种，其中FIPS PUBS 199［2］标准对联邦信息系统的安全分类提供了参考，而CNSSI(Committee on National Security Systems Instruction)No.1253［3］则对国家安全系统的安全分类和控制方法选择做了规范和进一步说明。文中讨论的信息系统风险管理框架是针对联邦信息系统。

美国联邦信息和信息系统安全分类标准FIPS PUBS 199于2004年2月获得美国商务部批准通过，是FISMA法案要求的第一个强制性安全标准。为配合FIPS PUBS 199的使用，美国国家标准和技术研究院NIST于2008年推出联邦信息和信息系统安全分类指南 NIST SP 800－60［4］(最早 2004 年发布，2008年发布修订版)，更详细的介绍了联邦信息系统中可能存在的信息类型，为信息系统分类提供参考。

FIPS PUBS 199标准要求联邦机构针对安全目标的不同将信息和信息系统分为低影响(Low－Impact)、中影响(Moderate－Impact)和高影响(High－Impact)三级(详见表1)。

FISMA为信息和信息系统定义了三种安全目标:

1)机密性:严格限制信息的访问和公开，保护个人的隐私信息。

2)完整性:保护信息防止不恰当的修改和损坏，确保信息的不可否认性和真实性。

3)可用性:确保访问可用信息的及时性和可靠性。

这种定义是基于某些事件的发生会对信息系统的安全目标产生潜在影响的这个假设，根据对不同安全目标的影响最终确定信息系统的类型。对联邦信息系统的安全分类主要有以下四个步骤:

第一步，首先确定信息系统内的信息类型。由于应用不同，信息系统可能含有多种不同信息，例如完成特定使命相关的信息、管理和运维的相关信息等。文献 NIST SP 800－60［4］中的表 4、表 5和表 6对常见的信息类型进行了描述，组织根据实际需求识别并标识系统中的信息类型。

第二步，根据机密性、完整性、可用性的安全目标，为不同的信息类型分配潜在影响值，有低、中、高三种。信息类型的安全分类可用下面形式描述:

信息分类={(机密性，影响值)，(完整性，影响值)，(可用性，影响值)}

其中影响值有低、中、高和不适用四种。

第三步，对第二部中信息类型的分类进行审定和调整，确定信息类型的潜在影响值。这一步不可省略，信息类型的影响值可能随着时间和应用场景的变化而不同。例如，合同信息合同完成之前机密性的潜在影响值为中，当合同结束后，其潜在影响值则为低。

第四步，确定信息系统的影响等级，对系统内的信息类型进行整合，信息系统每个安全目标的影响值为系统内所有信息类型在该安全目标的最大影响值。最终信息系统的安全分类可用如下形式描述:

信息系统分类={(机密性，影响值)，(完整性，影响值)，(可用性，影响值)}

接着，信息系统的分类按照如下规则确定:

1)当对三个安全目标的影响值都是低影响时，系统为低影响系统。

2)至少有一个安全目标的影响值是中影响且没有一个安全目标是高影响时，系统为中影响系统。

3)至少有一个安全目标的影响值都是高影响时，系统为高影响系统。

2.2 安全控制方法的选择

FIPS PUBS 199标准要求联邦机构针对安全目标(机密性、完整性、可用性)的不同将信息系统分为低影响(Low－Impact)、中影响(Moderate－Impact)和高影响(High－Impact)三级。威胁事件会对信息系统的安全目标产生潜在负面影响，接着根据对不同安全目标的影响最终确定信息系统的类型。完成对信息系统的安全分类后，接下来根据分类结果进行安全控制方法的选择。安全控制方法选择的主要目的在于通过控制方法中的防护措施，保护组织信息系统、资产等安全，满足一定的信息安全需求。

表1 联邦信息或信息系统影响值［4］Table 1 Federal information and information systems impact value

为了方便使用安全控制的选择和具体化过程，安全控制方法分为18类。两个字母的标示符可以唯一地标识一类安全控制方法，例如人员安全(Personnel Security)可以用PS标识。安全控制可能涉及多个方面以全面保护信息和信息系统的机密性、完整性和可用性，FIPS PUBS 200［5］标准定义了涵盖17个安全领域的最小安全需求。这些安全相关的领域包括:①访问控制(AC);②意识与培训(AT);③审计与可问责性(AU);④认证、鉴定、安全评估(CA);⑤配置管理(CM);⑥应急计划(CP);⑦鉴别与认证(IA);⑧应急事件响应(IR);⑨运维(MA);⑩介质保护(MP);⑪物理环境保护(PE);⑫计划(PL);⑬人员安全(PS);⑭风险评估(RA);⑮系统和服务获取(SA);⑯系统和通信保护(SC);⑰系统和信息的完整性(SI)。这17个最小安全需求加上项目管理(PM)共同构成了安全控制方法的18个分类。

接着我们可以根据安全分类结果，选择合适的安全控制方法。

图3显示了安全控制方法选择的整个流程。

图3 安全控制选择过程Fig.3 Security control selection process

首先，根据安全控制基线选择初始安全控制方法基线。图4显示了SP 800－53［6］中附录D的安全控制方法基线选择表格的部分内容。根据信息系统分类结果(LOW，MOD，HIGH)结合 SP 800－53附录D的表格D－2可以确定控制方法的选择。图4中的P1，P2，P3等代表优先级码。Priority Code 1(P1)的控制方法比Priority Code 2(P2)的控制方法在实现时具有更高的优先级，Priority Code 2(P2)的实现优先级高于Priority Code 3(P3)。Pri-ority Code 0(P0)则代表任何基线都没有选择该安全控制方法。这个推荐的优先级码可以确保其他控制方法依赖的基础安全控制方法优先实现，这样组织可以依据有限的资源更有效的实施控制方法。

图4 安全控制基线部分示例(参见SP 800－53附录D)Fig.4 Example of Security control baseline

注意，并不是所有的安全控制方法都分配给安全基线，例如TableD－2中的“Not Selected”。当然，也并不是所有的安全控制增强措施都分配给安全基线，例如SP 800－53中 TableD－3到 TableD－19中，分配的控制增强措施标记为“x”。我们用“基线”这个词是有特殊含义的，所谓基线，即其中的安全控制方法和控制增强措施只是一个起点，用户可以自行根据3.2节中的定制指南删除、添加特定的控制方法和增强措施。

从SP 800－53的附录D中选择安全控制基线后，组织需要初始化定制过程，根据组织具体的应用情况分配合适的控制方法。定制过程主要包括六个方面:①标识并设计公共控制方法;②考虑剩余安全控制基线的应用范围;③按需选择补偿性的安全控制方法;④安全控制方法的分配和选择语句参数赋值;⑤按需用额外的安全控制方法和控制增强措施补充安全控制基线;⑥按需为控制方法的实现提供详细的说明信息。定制过程的详细过程参见SP 800－53中的3.2节。

最后，组织将安全控制选择过程中的有关决定文档化，并在文档中为这些决定给出可靠的理由。当检查对组织信息系统使命/业务影响的安全注意事项时，这个文档是必不可少的。将安全控制选择过程中的重要风险管理决策文档化是非常重要的，有利于授权官员参考充足的信息为组织信息系统做出更为明智的决策。如果没有这些信息，当信息系统状态或运营环境改变时，支持这些风险管理决策的协议、假设、限制和基本原理很有可能不再适用。

2.3 安全控制方法的实现

在选择安全控制方法后，需要实现相关的安全控制方法。这个步骤中主要包含两个方面任务，一个是安全控制的实施，实施安全计划中规定的安全控制;另一个是安全控制文档化，适时地在安全计划中记录安全控制的实施，并为控制方法的实施过程提供一种功能性的描述，包括计划中的输入，预期的行为和输出。

安全控制方法的实现与组织文化、信息安全架构密切相关。选择安全控制方法后，组织需要将安全控制方法按其种类分配给信息系统不同的功能组件，以提供特定的安全功能。当然，并不是所有的安全控制方法都需要分配给某个信息系统组件，可以作为将来功能扩展。在信息系统中实现安全控制方法时，组织需要利用行业最佳实践，例如系统和软件工程方法论、安全工程原理、安全编码技术等。此外，组织需要确保信息系统中的信息技术产品已经做了一些强制的安全配置，例如口令复杂度策略等。

安全控制方法的文档化可以将控制方法如何实现的过程完整记录下来，这些控制方法包括在信息系统硬件、软件、固件等使用的各种技术控制方法，记录的内容包括计划输入、预期行为、预期输出等内容。此外，安全控制方法实现的文档化在开发信息系统过程中提供了一定审计功能和决策的可追溯性。

2.4 安全控制方法的评估

安全控制方法是管理上、运行上和技术上为信息系统提供防护设施或对策，以保护信息系统及其信息的保密性、完整性和可用性，以及抗抵赖性和可鉴别性。组织在实施安全控制方法后，利用安全控制方法评估来判断实施者和运营商是否达到所需的安全目标。SP 800－53A［7］介绍了有关安全控制方法评估的基本概念，组织信息系统及其运营环境的安全控制措施评估过程以及与评估相关的评估方法、渗透测试准则和安全评估报告内容等详细信息。

系统开发生命周期主要包含五个阶段［8］:①初始阶段;②开发/获取阶段;③实施阶段;④运营与维护阶段;⑤废弃处置阶段。安全评估在系统开发生命周期的不同阶段都能有效执行，SP 800－53A为系统开发生命周期(SDLC)内的安全评估活动提供一整套评估程序。在生命周期的开发/获取阶段，信息系统开发商和系统集成商会定期开展安全评估，保证定制的安全控制方法的有效性;在系统开发生命周期的实施阶段，也许定期开展评估，确保安全控制方法是否有效实施;在系统开发生命周期的运营和维护阶段，信息系统所有者、通用控制方法供应商、信息系统安全官员、独立评估人员、审计员等也会定期进行安全评估，以确保安全控制方法在系统运行环境中有效性的持续;最后，在系统开发生命周期的废弃处置阶段，确保在废弃信息系统前已经安全擦除重要的组织信息。

评估过程(Procedure)主要包含一系列评估目标(Objectives)的集合，每个评估目标由评估方法(Methods)和评估对象(Objects)组成。一个评估对象包含一系列评估安全控制方法的判决语句(Determination Statements)，这些判决语句与安全控制方法的具体内容密切相关。评估过程结束后，会输出评估结果，评估安全控制方法的整体有效性。

评估对象主要包括四种:规范、装置、活动、个人。规范是指以文档形式记录下的流程、政策、策略、计划、系统安全需求等规范性文档;装置的含义较广，不仅包含信息系统中应用的硬件、软件、固件等，还包括一些物理保护设备，例如锁、安全摄像头、消防设备、防水设备等。活动是指人工保护信息系统的一些方法和行为，例如监控网络流量、应急演练等。个人是指跟上述规范、装置以及活动相关的组织员工，评估他们的行为是否安全。

评估方法主要包括三种，检查、访谈、测试。检查方法主要用于审阅、检验、研究一个或多个评估对象。检查的目的是方便评估人员加深对评估对象的理解，获取评估原始证据，检查包含评估对象的三个方面，规范、装置、活动。访谈方法是指评估人员对组织的员工进行访谈，主要涉及评估对象中个人的因素。测试方法是指评估人员在特定场景下，对评估对象的一个或多个方面(活动、装置)进行评估，查看其输出是否是预期的结果。在这三个评估方法中，都是为了获取证据，方便评估人员对判决语句做出判决，完成评估过程。评估方法和评估目标的完整描述可以参见SP 800－53A的附录D［7］。

不同的评估方法还有一个评估的深度(Depth)和覆盖度(Coverage)的问题。深度的属性主要用来衡量检查、访谈和测试过程的细节程度，其值有基本的(Basic)、聚焦的(Focused)、全面的(Comprehensive)三种。覆盖度的属性则用来衡量检查、访谈和测试过程的范围和广度，包括规范、装置、活动、个人的类型和数量。与深度类似，覆盖度的属性也有基本的、聚焦的、全面的三种取值。评估方法选择什么样的深度和覆盖度与组织信息系统的安全保障需求有关，而安全保障需求则与安全控制方法的开发、实现等密切相关，也随着评估活动的严谨性的提高而增加。SP 800－53A的附录D对评估方法的属性及其不同取值的含义有更为细致的阐释。

SP 800－53和SP 800－53A是NIST风险评估框架中最重要的两个文档之一，对应与RMF中的第二步和第四步，是美国的联邦信息系统提供选择安全控制方法和评估安全控制方法的指导方针，为信息系统提供一致的、可比较的和可重复的方法指导风险评估。NIST于2013年4月发布SP 800－53第四版［9］，然而 SP 800－53A 最新发布版本是于2010年6月发布，是以2009年8月发布的SP 800－53第三版［6］为依据，对SP 800－53第三版中的安全控制方法进行评估。SP 800－53和SP 800－53A作为NIST制定的RMF风险管理框架的重要组成部分，结合NIST为风险管理等制定的系列标准，为美国的国家信息安全保障提供了强有力的支撑。

2.5 信息系统的授权

如果与信息系统操作和使用相关的组织、个人、国家的风险在可以接受的范围，则授权系统正常运营。在第四步，安全控制方法评估结束后，应根据SP 800－53A附录G［7］制定安全评估报告。安全评估报告为风险评估提供一个结构化、文档化的标准方式，呈现出安全控制方法弱点或缺陷评估结果并给出相应的修改建议。基于安全评估报告，授权信息系统这一步主要包含四个内容:行动计划及时间表、安全授权包、风险判决、风险接受。

首先，根据评估报告发现的弱点或缺陷和给出的建议准备行动计划及时间表。行动计划及时间表由信息系统所有者或通用控制方法供应商负责制定并完成，是安全授权过程的三个关键文档之一，其主要目的在于标明信息系统中仍然存在的脆弱点，并修改评估报告指出的弱点或缺陷，给出修改证据。因此，行动计划和时间表应该包含四个方面的内容:①在信息系统启用之前或之后需要完成的任务;②完成任务所需要的资源;③完成任务的其他时间表;④时间表的预期完成时间。利用行动计划和时间表可以更有效的对评估报告中指出的脆弱点进行弥补，并可以对整改过程进行完成记录。

安全计划［10］、安全评估报告和行动计划和时间表三个文档组合在一起形成安全授权包(Security Authorization Package)，提交给相关授权官员。授权官员根据这三个文档中的信息判决这个信息系统建设是否符合相关法律、法规。对于一些继承来的通用控制方法，安全授权包也需包含这些通用控制方法的相关文档。此外，当某些安全控制方法由第三方供应商提供时，组织需要确保第三方也能够准确提供这些安全控制方法的相关信息。

接着，授权官员或指定的代表与高级信息安全官合作，评估信息系统所有者或通用控制方法供应商所提供的信息。组织通过风险评估(正式的或非正式的)获取一些重要有价值的信息，例如威胁、脆弱点、潜在影响以及风险减轻建议等。此外，组织还通过信息系统的使命及业务功能以及风险管理战略获取其他风险相关重要信息。所谓的风险战略主要包括:①组织内如何实施风险评估(工具、技术、过程、方法论等);②从严重性或紧急性如何评价风险;③从组织信息系统和其他资源获取的已知风险;④风险减轻的方法;⑤组织风险容忍度;⑥随着时间推移如何持续性监测风险。最后，授权官员或指定代表参考风险授权包以及上述获取的其他重要信息做出最终的风险判决。

根据风险判决结果，授权官员需要确定该风险对组织的运营(主要包括使命、职责、名誉、声望)、资产、个人、其他组织或国家的影响程度是否在可以接受的范围，这个职责只能由授权官员行使，不允许指派给组织内其他官员。组织官员审阅所有风险判决相关的信息，然后对信息系统和继承来的通用控制方法发布授权决议。安全授权决议参考了安全授权包的内容，必要时也需要组织其他重要官员(例如风险管理官)的帮助。安全授权决议最终形成授权决议文件，授权决议文件包含三个部分内容:①授权决议;②授权条款和条件;③授权终止日期。授权决议是指该信息系统是否授权运营的决议，有授权运营或非授权运营两种状态。授权条款和条件是指该信息系统运营的一些限制性条件。授权终止日期则表明了此授权的使用期限。最后，授权官员将授权决议文件与安全授权一起发送给信息系统所有者。

2.6 安全控制方法的持续性监测

信息系统得到授权后，表明安全控制方法的有效性得到满足。然而，随着时间的推移，部分安全控制方法的有效性将大大折扣。因此，我们需要对组织信息系统的安全控制方法持续性的监测，当系统环境改变时仍然能够保证控制方法的有效性，并使其符合相关法律、法规、政策或标准。

信息安全持续性监测是指对信息安全、脆弱性、威胁保持持续性监测。所谓的持续性监测是指对安全控制方法和组织以一定频率进行周期性的评估与分析，充分保护组织信息系统或信息的安全。具体来说，ISCM需要对安全控制方法的有效性和组织安全状态进行持续性的分析与评估，使风险在组织可以承受的范围之内。安全控制方法的有效性是查看安全控制方法实施的准确性和充分性是否可以满足组织安全需求，而组织安全状态则是指组织信息和信息系统安全情形的最佳反映，包括组织应对已知威胁的能力。

ISCM是组织风险管理框架中非常重要的一个环节，维持组织安全相关信息的持续性更新。ISCM的持续性监测包括对安全计划、安全评估报告、行动计划和时间表、硬件及软件列表以及其他系统信息的持续性更新。NIST SP 800－137［11］标准联邦信息系统和组织的信息安全持续性检测(Information Security Continuous Monitoring(ISCM)for Federal Information Systems and Organizations)从组织、使命和业务、信息系统三个方面对ISCM进行了阐释，并介绍了ISCM项目的具体实施方法。

3 结语

美国国家标准和技术研究院(NIST)经过长时间努力已经建立一套完善的风险管理体系，从组织、使命/业务、信息系统三个方面对风险进行科学评估和管理。文中首先介绍了风险管理的模型和相关概念，接着对NIST提出的风险管理框架的六个主要步骤进行了研究和归纳，对每个步骤涉及的相关标准以及标准的主要内容进行了研究和介绍。近些年，我国日益重视信息系统风险评估工作，也做了一些信息安全控制策略方面的研究［12］，然而国内风险评估相关标准建设较为滞后，无法适应当前新技术日益涌现的今天。文中对美国信息系统的风险管理进行了介绍，下一步将对美国风险评估体系进行进一步深入研究和分析，这对我国风险评估体系的建立和业务的开展有着重要意义。

［1］GALLAGHER Patrick D.SP800－39.ManagingInformation Security Risk:Organization，Mission，andInformation System View［S］.Gaithersburg:National Institute of Standards＆ Technology，2011.

［2］BEMENT Arden L.FIPS PUBS 199.Standards for Security Categorization of Federal Information and Information Systems［S］.Gaithersburg:National Institute of Standards＆ Technology，2004.

［3］PLUNKETT Debora A.Security Categorization and Control Selection for National Security Systems(version 2)［S］，Committee on National Security Systems Instruction(CNSSI)No.1253，2012.

［4］GALLAGHE RPatrick D.SP 800－60，Revision 1.Guide for Mapping Types of Information and Information Systems to Security Categories［S］.Gaithersburg:National Institute of Standards＆ Technology，2008.

［5］JEFFREY W.FIPS PUBS 200.Minimum Security Requirements for Federal Information and Information Systems［S］.Gaithersburg:National Institute of Standards＆ Technology，2006.

［6］GALLAGHER Patrick D.SP 800－53 revision 3.Recommended Security Controls for Federal Information Systems and Organizations［S］.Gaithersburg:National Institute of Standards＆ Technology，2009.

［7］GALLAGHER Patrick D.SP 800－53A，Revision 1 Guide for Assessing the Security Controls in Federal Information Systems and Organizations:Building Effective Security Assessment Plans［S］.Gaithersburg:National Institute of Standards＆ Technology，2010.

［8］GALLAGHER Patrick D.SP 800－37.Guide for Applying the Risk Management Framework to Federal Information Systems:A Security Life Cycle Approach［S］.Gaithersburg:National Institute of Standards ＆ Technology，2010.

［9］GALLAGHER Patrick D.SP 800－53 revision 4.Security and Privacy Controls for Federal InformationSystems and Organizations［S］.Gaithersburg:National Institute of Standards＆ Technology，2013.

［10］SWANSON M，HASH J，BOWEN P.SP 800－18，Revision 1.Guide for Developing Security Plans for Federal Information Systems［R］.Gaithersburg:National Institute of Standards ＆ Technology，2006.

［11］DEMPSEY K，CHAWLA N S，JOHNSON A，et al.SP 800－137.Information Security Continuous Monitoring for Federal Information Systems and Organizations［S］.Gaithersburg:National Institute of Standards＆Technology，2011.

［12］张同升.信息系统安全防护控制策略研究［J］.通信技术，2013，46(08):95－97.ZHANG Tong－sheng.Research on Safety Control Strategy of Information System［J］.Journal of Communications Technology，2013，08:95－97.