工信部电子科学技术情报研究所 黄丹 刘京娟

美国政府采取措施加强移动安全保护

工信部电子科学技术情报研究所 黄丹 刘京娟

采用移动技术以增强政府管理工作的灵活性、提高办公效率已成为欧美等发达国家的普遍做法,由此带来的信息安全问题也引起了广泛重视。美国是政府在移动安全保护方面起步较早、发展最为迅速的国家,在2012年5月发布的《数字政府战略》中首次明确了政府移动安全的战略地位,并在该战略发布后陆续完成了对政府移动安全现状的评估、决策框架的建立、标准指南的制定等工作。

明确政府移动安全战略地位

美国于2012年5月发布《数字政府战略》,明确提出应该充分利用移动设备的特点创新系统架构和服务模式,实现可“随时、随地、通过任何设备访问高质量的数字政府信息和服务”的战略目标。该战略指出:“开放性架构和采用新技术有可能使设备和数据易遭受恶意破坏且面临安全隐患”,“当务之急是在移动技术应用过程的全生命周期内建立安全、保密和数据保护机制”。

此外,该战略明确了移动安全现状评估、决策框架和标准指南制定等多项政府移动安全保护措施,并指定了各项措施的责任部门和预计完成时间:由联邦首席信息官委员会(CIO)负责在半年内评估政府机构采用移动技术的障碍和机会并明确目前移动安全保护措施存在的不足;由国土安全部(DHS)、国防部(DOD)和国家标准与技术研究院(NIST)负责在1年内制定政府采用移动解决方案的决策框架;由NIST负责在3个月内报告如何制定或修订针对移动设备和平台的标准和指南;由CIO、NIST和国家档案与文件署(NARA)负责在半年内制定针对数字和移动技术的隐私控制指南。

建立政府移动安全决策框架

为建立政府移动安全的决策框架,移动技术老虎队(MTTT)首先对政府移动安全现状进行了评估。该团队对21家联邦机构的移动技术使用情况进行了调查访问,于2012年12月发布了《政府移动技术使用:障碍、机会和缺口分析》报告,明确了美国政府在移动技术相关的安全隐私保护、政策法规制定以及应用和基础设施建设等方面存在的不足,指出需要改善的关键领域包括移动设备管理(MDM)、移动应用管理(MAM)、身份和访问管理(IAM)以及数据管理。

2013年5月23日,美国DHS、DOD、NIST和CIO发布了《移动计算决策框架》(MCDF),旨在帮助政府机构确定移动计算解决方案。决策过程分为任务需求、决策平衡、风险评估和结果输出四个步骤。

任务需求阶段旨在帮助政府机构确定其是否需要额外采用移动解决方案。在该阶段,政府机构主要需明确以下问题:任务执行者的身份是普通联邦雇员、国家安全系统雇员还是其他;执行任务时是否需要外出至台式电脑和笔记本电脑都无法使用的场所;任务是否必须进行远程访问;远程访问的位置是合作机构的办公室、建筑工地、执法或军事领域操作区、现场检查场地、灾难和应急响应区域、非组织的会议设施或是任务执行者的家;需要访问的数据是否为敏感数据,存储于政府固定存储系统、移动设备还是第三方供应商的存储系统;数据传输容量、访问方式、身份识别是否存在问题。决策者在明确以上问题后,需根据任务实际需求进行综合评估,若最终认定需要采取移动解决方案,则可继续下一阶段。

决策平衡阶段主要根据任务需求确定“功能”、“安全”和“经济”之间的平衡点。所谓“功能”是指授权用户必须能够对信息进行何种处理,“安全”是指信息必须满足何种安全水平,“经济”是指政府机构可以花费多少经费以满足理想的安全和功能,以及如何才能充分利用现有的功能。如图1所示,决策平衡点离哪个因子顶点越近,代表给该因子的重要性平衡权重越大。利用决策平衡三角形来确定平衡点首先需要根据任务需求阶段得到的每个任务需求对整体任务的影响程度给他们分配权重。然后给定经济限制条件,必要时确定应删减哪个任务需求。最后给任务需求涉及的数据创建列表,并分别确定其安全值,包括数据的保密性、完整性和可用性的重要程度。在此基础上在决策平衡三角形的三条边分别找到每两个因子之间的平衡点,并将三个平衡点连接成一个内部三角形,该内部三角形的中心即为决策平衡点。

图1 决策平衡三角形

风险评估阶段重点运用国家标准或指南来评估风险,如果风险超出可接受范围则返回决策平衡阶段修改平衡点;风险评估阶段以决策平衡阶段选择的起点为基础,重点运用国家标准或指南来评估图2所示的安全、金融、政策等七大类风险。主要安全标准包括NIST发布的《联邦信息系统安全认证认可指南》(SP 800-37)的“风险划分”和“风险评估”章节以及《管理信息系统风险:一个组织的角度》(SP 800-39)。这些标准旨在帮助政府机构确定这七大类风险中哪个是关键风险,并建立一个综合的管理信息安全风险计划。如果发现风险超出可接受范围,政府机构可以返回决策平衡阶段,修改“功能”、“安全”和“经济”之间的平衡点,再次返回风险评估阶段研判七大类风险是否更加可接受。如果仍然不可接受则需要继续迭代,直至满足要求。

图2 风险类别

结果输出阶段将风险评估阶段确定的可接受风险、决策平衡阶段确定的平衡点以及任务需求阶段确定的需求转化为可操作的移动解决方案。每个步骤都从方案的整体可用性和安全性两方面判断所选的移动解决方案是否合理。一旦确定最终的解决方案,政府机构可以根据自身确定的需求与供应商进行协商,明确移动通信技术、基本框架等具体细节。在评估不同供应商的解决方案时,需重点考虑基本框架、移动设备以及应用程序三方面内容,确保最终方案的可靠性。

另外,配合《移动计算决策框架》,CIO还同时发布了两个报告:一是《联邦移动安全基线》,以NIST的相关标准和指南为基础,重点针对政府雇员通过由政府机构提供的移动设备访问信息系统和网络的情况,制定了隐私和安全控制措施的最小集合;二是《移动安全参考架构》,提供了包括基本结构、实施示例、安全管理、威胁消减、信息保障等内容的通用参考架构,旨在指导政府机构制定移动安全解决方案。

制定移动安全相关标准指南

NIST是美国政府移动安全相关标准和指南制定的主要责任部门。自2012年以来,NIST通过分析移动平台的特殊性,修订和新增了一系列移动安全标准和指南,主要可分为以下两类:

1.移动设备和应用的安全标准和指南。NIST分别于2012年10月和2013年6月发布了《移动设备硬件根安全指南》(SP 800-164)草案和《企业管理和保障移动设备安全指南》(SP 800-124 Rev1)重点提供适用于多种移动设备的通用安全技术基线,帮助政府机构集中管理和保障由机构提供的和个人拥有的移动设备的安全。此后,NIST 重点对移动设备应用程序测试技术和审查方法进行了研究,于2014年8月发布了《审查第三方移动应用的技术建议》(SP 800-163)草案,为组织机构评估移动终端中的应用程序的安全性和可靠性提供关键技术考虑因素方面的建议。

2.远程办公和自带设备的安全标准和指南。NIST已经或计划发布一系列文件:一是《个人身份验证派生证书指南》(SP 800-157),旨在提供相关技术规范使目前不易或不能支持智能卡的移动设备也可获得身份验证服务;二是《远程办公和自带设备用户安全指南》(SP 800-114 Rev1),旨在保障远程访问设备和自带移动设备的安全;三是《企业远程办公、远程访问和自带设备安全指南》(SP 800-46 Rev2),旨在明确多种远程访问解决方案需要考虑的安全因素,并提供多种访问技术的安全保障建议。

重视政府移动安全隐私保护

美国还特别重视政府移动安全中的隐私保护。数字和移动技术管理方面,NIST通过与管理与预算办公室(OMB)、CIO的隐私委员会共同磋商,发布了《联邦信息系统和组织机构安全和隐私控制》(SP 800-53 Rev4)等一系列文件,其中明确提出了适用于数字和移动技术的隐私控制要求。电子文档管理方面,国家档案与文件署提出了“电子政务电子文档管理倡议”,协调了可适用于移动环境的相关管理工具的开发和电子信息标准的制定,发布了《电子文档管理》指南以指导政府机构创建、收集和保存电子文档。

此外,CIO 于 2012年12月发布了《数字隐私控制的标准化实施建议》,一方面指出了移动环境下移动设备制造商、移动应用和平台开发商、无线载波或网络运营商、广告商、移动用户等不同角色可能收集的数据或带来的隐私风险;另一方面分析了移动设备、移动应用程序、近场通信(NFC)、自带设备、远程数据存储与处理等数字和移动技术潜在的隐私风险。在此基础上,该建议提出了三项关键的隐私控制要求,包括编制个人可识别信息目录、开展隐私影响评估、告知用户隐私的收集和使用情况,旨在帮助政府机构选择适当的隐私控制措施,降低隐私泄露风险,提高移动解决方案的隐私安全。

我国应借鉴美国政府移动安全保护经验并结合我国国情,采取有针对性的措施以加强政府信息系统的移动安全管理。一是应将移动技术的使用和管理要求纳入我国政府信息安全管理范畴,要求建立移动设备的安全管理制度,制定操作系统和应用程序的安全控制措施,明确政府工作人员的操作和使用规范,重点从访问控制、身份验证、配置管理等方面加强移动环境下政府信息系统的安全管理。二是研判我国已有信息安全标准和指南在移动办公环境下的适应性,重点从移动设备管理、移动应用管理、身份和访问管理以及数据管理四个方面进行必要的补充、修订和完善。重点研究新兴的移动技术或应用的潜在安全风险,研制相应的移动安全管理标准和指南。三是组织政府部门开展移动安全检查与审查,重点评估移动设备及应用程序的安全风险,重视整改计划和措施的落实。在采购移动技术、产品和服务的过程中,严格审查产品的安全性、服务机构的资质和信用,以采购合同的形式要求移动产品必须接受安全审查。四是强化党政机关和涉密单位工作人员的移动安全教育培训,定期开展以移动安全为主题的宣传教育和知识培训活动,宣贯移动安全管理要求,并将移动设备和应用的安全防护技能作为应知应会内容纳入工作考核范围,提升工作人员的移动安全责任意识和防护技能,以切实保障我国政府信息系统的移动安全。

责任编辑 杨 晨