关于信息安全风险管理

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,关于信,息,息安全,风,风险管,理,理理,论,论与实,践,践发展,的,的一些,思,思考,崔书昆,二00,四,四年十,月,月十二,日,日,关于信,息,息安全,风,风险管,理,理理论,与,与实践,发,发展的,一,一些思,考,考,一、信,息,息安全,风,风险管,理,理理论,来,来源于,信,信息安,全实践,二、我,国,国信息,安,安全实,践,践对风,险,险管理,理,理论提,出了新,问,问题、,新,新要求,三、信,息,息安全,风,风险管,理,理上存,在,在的问,题,题只能,靠信息,安,安全实,践,践来解,决,决,关于信,息,息安全,风,风险管,理,理理论,与,与实践,发,发展的,一,一些思,考,考,一、信,息,息安全,风,风险管,理,理理论,来,来源于,信,信息安,全实践,二、我,国,国信息,安,安全实,践,践对风,险,险管理,理,理论提,出了新,问,问题、,新,新要求,三、信,息,息安全,风,风险管,理,理上存,在,在的问,题,题只能,靠信息,安,安全实,践,践来解,决,决,一、信,息,息安全,风,风险管,理,理理论,来,来源于,信,信息安,全,全实践,风险管,理,理（Riskmanagement）,包,包括风,险,险识别,、,、风险,分,分析、,风,风险评,估,估和风,险,险控制,等,等内容,。,。,国外许,多,多专家,认,认为，,风,风险管,理,理是信,息,息安全,的,的基础,工,工作和,核,核心任,务,务之一,，,，是最,有,有效的,一,一种措,施,施，是,保,保证信,息,息安全,投,投资回,报,报率优,化,化的科,学,学方法,。,。,现代风,险,险管理,理,理论产,生,生于西,方,方资本,主,主义国,家,家，它,是,是为制,定,定有效,的,的经济,发,发展战,略,略和市,场,场竞争,策,策略而,创,创造的,一,一种理,论,论、方,法,法和措,施,施。,一、信息安,全,全风险管理,理,理论来源于,信,信息安全实,践,践,风险管理理,论,论由于它的,广,广泛适用性,、,、现已应用,于,于各国社会,与,与经济发展,、,、国家建设,、,、国家安全,、,、公共安全,和,和信息安全,诸,诸多领域。,风险管理理,论,论应用于信,息,息安全领域,始,始于20世,纪,纪60年代,。,。此后，信,息,息安全风险,管,管理的实践,和,和理论的发,展,展大体上经,过,过了三个阶,段,段：,一、信息安,全,全风险管理,理,理论来源于,信,信息安全实,践,践,（一）、20世纪60,年,年代至80,年,年代是信息,安,安全风险管,理,理,实践与理论,发,发展的初期,阶,阶段,（二）、20世纪80,年,年代末至90年代中期,是,是信息安全,风,风,险管理实践,和,和理论走向,初,初步成熟的,阶,阶段,（三）、20世纪90,年,年代末，国,际,际范围的风,险,险管理实践,与理论进入,第,第三个阶段,，,，即全球化,阶,阶段,一、信息安,全,全风险管理,理,理论来源于,信,信息安全实,践,践,（一）、20世纪60,年,年代至80,年,年代是信息,安,安全风险管,理,理实践与理,论,论发展的初,期,期阶段,20世纪60年代，随,着,着资源共享,计,计算机系统,和,和早期计算,机,机网络的出,现,现，计算机,安,安全问题初,步,步显露。1967年秋,，,，美国国防,部,部委托兰德,公,公司为首的,多,多个研究机,构,构和企业，,进,进行了美国,历,历史上第一,次,次大规模的,计,计算机安全,风,风险评估，,历,历时三年。1970年,初,初出版了一,个,个长达数百,页,页的机密报,告,告计算机,安,安全控制,。,。该报告奠,定,定了国际安,全,全风险评估,的,的理论基础,。,。,一、信息安,全,全风险管理,理,理论来源于,信,信息安全实,践,践,（一）、20世纪60,年,年代至80,年,年代是信息,安,安全风险管,理,理实践与理,论,论发展的初,期,期阶段,在此基础上,，,，美国率先,推,推出了首批,关,关于信息安,全,全风险管理,及,及相关的安,全,全评测标准,。,。其中：,第一组标准,是,是由国家标,准,准局(NBS)制定的,，,，如：,FIPSPUB 31自动数据,处,处理系统物,理,理安全和风,险,险管理指南,（,（1974,年,年）。,FIPSPUB 65自动数据,处,处理系统风,险,险分析指南,（,（1979,年,年）,一、信息安,全,全风险管理,理,理论来源于,信,信息安全实,践,践,（一）、20世纪60,年,年代至80,年,年代是信息,安,安全风险管,理,理实践与理,论,论发展的初,期,期阶段,第二组是由,美,美国国防部,国,国家安全局,于,于1983,年,年后陆续制,定,定的计算机,系,系统安全评,估,估系列标准,，,，主要包括,可信计算,机,机系统安全,评,评估准则(TCSEC）、可,信,信网络解释,（TNI,）,）、特定,环,环境下的安,全,全需求等,等,等，总计约40来个各,类,类标准。由,于,于每个标准,用,用不同颜色,的,的封皮，俗,称,称为“彩虹,系,系列”。,一、信息安,全,全风险管理,理,理论来源于,信,信息安全实,践,践,（一）、20世纪60,年,年代至80,年,年代是信息,安,安全风险管,理,理实践与理,论,论发展的初,期,期阶段,这套标准建,立,立在风险评,估,估理论基础,上,上。该系列,中,中安全需,求,求技术原理,标准指出,：,：“评估一,个,个计算机系,统,统的安全级,别,别依赖于该,系,系统存在的,风,风险水平，,即,即风险因子,（,（RISKINDEX）”，“,还,还存在影响,安,安全风险的,其,其他诸如任,务,务关键性、,所,所需拒绝服,务,务保护和威,胁,胁的严重性,等,等因素。”,一、信息安,全,全风险管理,理,理论来源于,信,信息安全实,践,践,（二）、20世纪80,年,年代末至90年代中期,是,是信息安全,风,风险管理实,践,践和理论走,向,向初步成熟,的,的阶段,1989年,美,美国率先建,立,立了计算机,应,应急组织，,次,次年，建立,了,了信息安全,事,事件应急国,际,际论坛（FIRST）,。,。,1992年,美,美国国防部,建,建立了漏洞,分,分析与评估,计,计划。,1994年,美,美国国家安,全,全局等组织,构,构成的联合,委,委员会明确,提,提出，美国,国,国家信息安,全,全必须建立,在,在风险管理,的,的基础上。,一、信息安,全,全风险管理,理,理论来源于,信,信息安全实,践,践,（二）、20世纪80,年,年代末至90年代中期,是,是信息安全,风,风险管理实,践,践和理论走,向,向初步成熟,的,的阶段,1995年9月至1996年4月,，,，美国总审,计,计局为因应,国,国会“加强,信,信息安全、,降,降低信息战,威,威胁”的要,求,求，对美国,国,国防系统的,信,信息系统进,行,行了大规模,风,风险评估，,于,于1996,年,年5月发表,了,了名为信,息,息安全针,对,对国防部的,计,计算机攻击,正,正构成日益,增,增大的风险,的报告。,1995年12月美国,国,国防部提出,了,了信息安全,的,的动态模型,，,，即“防护,监测反,应,应”多环节,保,保障体系，,后,后通称“PDR模型”,。,。,1990年,，,，欧洲英、,法,法、德、荷,四,四国着手制,定,定了共同的,信,信息技术安,全,全评估标准,（,（ITSEC），强调,要,要把信息系,统,统实用环境,中,中的威胁与,风,风险纳入评,估,估视野。加,拿,拿大也制定,了,了本国的信,息,息安全测评,标,标准。,一、信息安,全,全风险管理,理,理论来源于,信,信息安全实,践,践,（二）、20世纪80,年,年代末至90年代中期,是,是信息安全,风,风险管理实,践,践和理论走,向,向初步成熟,的,的阶段,一、信息安,全,全风险管理,理,理论来源于,信,信息安全实,践,践,（二）、20世纪80,年,年代末至90年代中期,是,是信息安全,风,风险管理实,践,践和理论走,向,向初步成熟,的,的阶段,1993年,欧,欧美六个国,家,家又启动了,建,建立共同评,测,测标准（即,后,后来的CC,标,标准）的计,划,划。这个期,间,间英国自己,还,还研发了基,于,于风险管理,的,的BS7799信息安,全,全管理标准,，,，澳大利亚,和,和新西兰制,定,定了共同的,风,风险管理标,准,准AS/NES4360。此外，,荷,荷兰、德国,、,、挪威等国,也,也制定了相,应,应的本国标,准,准。所有这,些,些标准，都,强,强调风险评,估,估和管理的,重,重要性、基,础,础性作用。,一、信息,安,安全风险,管,管理理论,来,来源于信,息,息安全实,践,践,（二）、20世纪80年代,末,末至90,年,年代中期,是,是信息安,全,全风险管,理,理实践和,理,理论走向,初,初步成熟,的,的阶段,1997,年,年12月,，,，美国国,防,防部发表,了,了信息,技,技术安全,认,认证和批,准,准程序,（,（DITSCAP,）,），成为,美,美国涉密,信,信息系统,的,的安全评,估,估和风险,管,管理的重,要,要标准和,依,依据。,一、信息,安,安全风险,管,管理理论,来,来源于信,息,息安全实,践,践,（三）、20世纪90年代,末,末，国际,范,范围的风,险,险管理实,践,践与理论,进,进入第三,个,个阶段，,即,即全球化,阶,阶段,由于90,年,年代以来,因,因特网、,移,移动通信,和,和跨国光,缆,缆的高速,发,发展，各,国,国原本局,限,限于本国,内,内的信息,网,网络迅速,跨,跨越国境,连,连成一片,。,。与此同,时,时，信息,安,安全也成,为,为世界各,国,国面临的,共,共同挑战,。,。,一、信息,安,安全风险,管,管理理论,来,来源于信,息,息安全实,践,践,（三）、20世纪90年代,末,末，国际,范,范围的风,险,险管理实,践,践与理论,进,进入第三,个,个阶段，,即,即全球化,阶,阶段,在共同需,求,求的驱动,下,下，1996年国,际,际标准组,织,织发布了ISO/IECTR 13335,标,标准即,信,信息技术,安,安全管理,指,指南。1999,年,年发布了ISO/IEC15408,标,标准即,信,信息技术,安,安全评估,共,共同准则,（CC,标,标准）。2000,年,年又发布,了,了ISO/IEC177799即,信,信息技术,信,信息安全,管,管理实用,规,规则。,一、信息,安,安全风险,管,管理理论,来,来源于信,息,息安全实,践,践,（三）、20世纪90年代,末,末，国际,范,范围的风,险,险管理实,践,践与理论,进,进入第三,个,个阶段，,即,即全球化,阶,阶段,国际标准,的,的出台，,反,反过来又,推,推动了各,国,国自身风,险,险管理标,准,准研发的,进,进程。例,如,如美国，,从,从90年,代,代末开始,，,，在风险,管,管理相关,标,标准的制,定,定上掀起,了,了一个新,高,高潮，仅NIST,（,（美国国,家,家标准与,技,技术局）,近,近几年制,定,定的与风,险,险管理相,关,关的标准,就,就达十多,个,个。,一、信息安,全,全风险管理,理,理论来源于,信,信息安全实,践,践,（三）、20世纪90,年,年代末，国,际,际范围的风,险,险管理实践,与,与理论进入,第,第三个阶段,，,，即全球化,阶,阶段,美国,国,国防,部,部于2002,年,年发,布,布了,信,息,息（,安,安全,）,）保,障,障,指,指令,（,（85001）,，,，于2003,年,年发,布,布了,信,息,息（,安,安全,）,）保,障,障实,现,现,指,指令,（,（85002）,两,两个,文,文件,，,，作,为,为国,防,防系,统,统安,全,全评,估,估也,包,包括,风,风险,管,管理,的,的依,据,据。,一、,信,信息,安,安全,风,风险,管,管理,理,理论,来,来源,于,于信