信息安全風險管理理論

信息安全風險管理理論第一頁，共三十四頁，2022年，8月28日關(guān)于信息安全風險管理理論與實踐發(fā)展的一些思考一、信息安全風險管理理論來源于信息安全實踐二、我國信息安全實踐對風險管理理論提出了新問題、新要求三、信息安全風險管理上存在的問題只能靠信息安全實踐來解決第二頁，共三十四頁，2022年，8月28日關(guān)于信息安全風險管理理論與實踐發(fā)展的一些思考一、信息安全風險管理理論來源于信息安全實踐二、我國信息安全實踐對風險管理理論提出了新問題、新要求三、信息安全風險管理上存在的問題只能靠信息安全實踐來解決第三頁，共三十四頁，2022年，8月28日一、信息安全風險管理理論來源于信息安全實踐風險管理（Riskmanagement）包括風險識別、風險分析、風險評估和風險控制等內(nèi)容。

國外許多專家認為，風險管理是信息安全的基礎(chǔ)工作和核心任務(wù)之一，是最有效的一種措施，是保證信息安全投資回報率優(yōu)化的科學方法?，F(xiàn)代風險管理理論產(chǎn)生于西方資本主義國家，它是為制定有效的經(jīng)濟發(fā)展戰(zhàn)略和市場競爭策略而創(chuàng)造的一種理論、方法和措施。第四頁，共三十四頁，2022年，8月28日一、信息安全風險管理理論來源于信息安全實踐風險管理理論由于它的廣泛適用性、現(xiàn)已應(yīng)用于各國社會與經(jīng)濟發(fā)展、國家建設(shè)、國家安全、公共安全和信息安全諸多領(lǐng)域。風險管理理論應(yīng)用于信息安全領(lǐng)域始于20世紀60年代。此后，信息安全風險管理的實踐和理論的發(fā)展大體上經(jīng)過了三個階段：第五頁，共三十四頁，2022年，8月28日一、信息安全風險管理理論來源于信息安全實踐（一）、20世紀60年代至80年代是信息安全風險管理實踐與理論發(fā)展的初期階段（二）、20世紀80年代末至90年代中期是信息安全風險管理實踐和理論走向初步成熟的階段（三）、20世紀90年代末，國際范圍的風險管理實踐與理論進入第三個階段，即全球化階段第六頁，共三十四頁，2022年，8月28日一、信息安全風險管理理論來源于信息安全實踐（一）、20世紀60年代至80年代是信息安全風險管理實踐與理論發(fā)展的初期階段

20世紀60年代，隨著資源共享計算機系統(tǒng)和早期計算機網(wǎng)絡(luò)的出現(xiàn)，計算機安全問題初步顯露。1967年秋，美國國防部委托蘭德公司為首的多個研究機構(gòu)和企業(yè)，進行了美國歷史上第一次大規(guī)模的計算機安全風險評估，歷時三年。1970年初出版了一個長達數(shù)百頁的機密報告《計算機安全控制》。該報告奠定了國際安全風險評估的理論基礎(chǔ)。第七頁，共三十四頁，2022年，8月28日一、信息安全風險管理理論來源于信息安全實踐（一）、20世紀60年代至80年代是信息安全風險管理實踐與理論發(fā)展的初期階段

在此基礎(chǔ)上，美國率先推出了首批關(guān)于信息安全風險管理及相關(guān)的安全評測標準。其中：第一組標準是由國家標準局(NBS)制定的，如：

FIPSPUB31自動數(shù)據(jù)處理系統(tǒng)物理安全和風險管理指南（1974年）。

FIPSPUB65自動數(shù)據(jù)處理系統(tǒng)風險分析指南（1979年）第八頁，共三十四頁，2022年，8月28日一、信息安全風險管理理論來源于信息安全實踐（一）、20世紀60年代至80年代是信息安全風險管理實踐與理論發(fā)展的初期階段

第二組是由美國國防部國家安全局于1983年后陸續(xù)制定的計算機系統(tǒng)安全評估系列標準，主要包括《可信計算機系統(tǒng)安全評估準則》(TCSEC）、《可信網(wǎng)絡(luò)解釋》（TNI）、《特定環(huán)境下的安全需求》等等，總計約40來個各類標準。由于每個標準用不同顏色的封皮，俗稱為“彩虹系列”。第九頁，共三十四頁，2022年，8月28日一、信息安全風險管理理論來源于信息安全實踐（一）、20世紀60年代至80年代是信息安全風險管理實踐與理論發(fā)展的初期階段

這套標準建立在風險評估理論基礎(chǔ)上。該系列中《安全需求技術(shù)原理》標準指出：“評估一個計算機系統(tǒng)的安全級別依賴于該系統(tǒng)存在的風險水平，即風險因子（RISKINDEX）”，“還存在影響安全風險的其他諸如任務(wù)關(guān)鍵性、所需拒絕服務(wù)保護和威脅的嚴重性等因素?！钡谑?，共三十四頁，2022年，8月28日一、信息安全風險管理理論來源于信息安全實踐（二）、20世紀80年代末至90年代中期是信息安全風險管理實踐和理論走向初步成熟的階段

1989年美國率先建立了計算機應(yīng)急組織，次年，建立了信息安全事件應(yīng)急國際論壇（FIRST）。

1992年美國國防部建立了漏洞分析與評估計劃。

1994年美國國家安全局等組織構(gòu)成的聯(lián)合委員會明確提出，美國國家信息安全必須建立在風險管理的基礎(chǔ)上。第十一頁，共三十四頁，2022年，8月28日一、信息安全風險管理理論來源于信息安全實踐（二）、20世紀80年代末至90年代中期是信息安全風險管理實踐和理論走向初步成熟的階段

1995年9月至1996年4月，美國總審計局為因應(yīng)國會“加強信息安全、降低信息戰(zhàn)威脅”的要求，對美國國防系統(tǒng)的信息系統(tǒng)進行了大規(guī)模風險評估，于1996年5月發(fā)表了名為《信息安全—針對國防部的計算機攻擊正構(gòu)成日益增大的風險》的報告。第十二頁，共三十四頁，2022年，8月28日

1995年12月美國國防部提出了信息安全的動態(tài)模型，即“防護—監(jiān)測—反應(yīng)”多環(huán)節(jié)保障體系，后通稱“PDR模型”。

1990年，歐洲英、法、德、荷四國著手制定了共同的信息技術(shù)安全評估標準（ITSEC），強調(diào)要把信息系統(tǒng)實用環(huán)境中的威脅與風險納入評估視野。加拿大也制定了本國的信息安全測評標準。一、信息安全風險管理理論來源于信息安全實踐（二）、20世紀80年代末至90年代中期是信息安全風險管理實踐和理論走向初步成熟的階段第十三頁，共三十四頁，2022年，8月28日一、信息安全風險管理理論來源于信息安全實踐（二）、20世紀80年代末至90年代中期是信息安全風險管理實踐和理論走向初步成熟的階段

1993年歐美六個國家又啟動了建立共同評測標準（即后來的CC標準）的計劃。這個期間英國自己還研發(fā)了基于風險管理的BS7799信息安全管理標準，澳大利亞和新西蘭制定了共同的風險管理標準AS/NES4360。此外，荷蘭、德國、挪威等國也制定了相應(yīng)的本國標準。所有這些標準，都強調(diào)風險評估和管理的重要性、基礎(chǔ)性作用。第十四頁，共三十四頁，2022年，8月28日一、信息安全風險管理理論來源于信息安全實踐（二）、20世紀80年代末至90年代中期是信息安全風險管理實踐和理論走向初步成熟的階段

1997年12月，美國國防部發(fā)表了《信息技術(shù)安全認證和批準程序》（DITSCAP），成為美國涉密信息系統(tǒng)的安全評估和風險管理的重要標準和依據(jù)。第十五頁，共三十四頁，2022年，8月28日一、信息安全風險管理理論來源于信息安全實踐（三）、20世紀90年代末，國際范圍的風險管理實踐與理論進入第三個階段，即全球化階段

由于90年代以來因特網(wǎng)、移動通信和跨國光纜的高速發(fā)展，各國原本局限于本國內(nèi)的信息網(wǎng)絡(luò)迅速跨越國境連成一片。與此同時，信息安全也成為世界各國面臨的共同挑戰(zhàn)。。第十六頁，共三十四頁，2022年，8月28日一、信息安全風險管理理論來源于信息安全實踐（三）、20世紀90年代末，國際范圍的風險管理實踐與理論進入第三個階段，即全球化階段

在共同需求的驅(qū)動下，1996年國際標準組織發(fā)布了ISO/IECTR13335標準即《信息技術(shù)安全管理指南》。1999年發(fā)布了ISO/IEC15408標準即《信息技術(shù)安全評估共同準則》（CC標準）。2000年又發(fā)布了ISO/IEC177799即《信息技術(shù)信息安全管理實用規(guī)則》。

第十七頁，共三十四頁，2022年，8月28日一、信息安全風險管理理論來源于信息安全實踐（三）、20世紀90年代末，國際范圍的風險管理實踐與理論進入第三個階段，即全球化階段

國際標準的出臺，反過來又推動了各國自身風險管理標準研發(fā)的進程。例如美國，從90年代末開始，在風險管理相關(guān)標準的制定上掀起了一個新高潮，僅NIST（美國國家標準與技術(shù)局）近幾年制定的與風險管理相關(guān)的標準就達十多個。

第十八頁，共三十四頁，2022年，8月28日一、信息安全風險管理理論來源于信息安全實踐（三）、20世紀90年代末，國際范圍的風險管理實踐與理論進入第三個階段，即全球化階段

美國國防部于2002年發(fā)布了《信息（安全）保障》指令（8500·1），于2003年發(fā)布了《信息（安全）保障實現(xiàn)》指令（8500·2）兩個文件，作為國防系統(tǒng)安全評估也包括風險管理的依據(jù)。第十九頁，共三十四頁，2022年，8月28日一、信息安全風險管理理論來源于信息安全實踐（三）、20世紀90年代末，國際范圍的風險管理實踐與理論進入第三個階段，即全球化階段基中正式發(fā)布的此類標準主要有：SP800—26信息技術(shù)系統(tǒng)安全自評估指南（2001年）SP800—30信息技術(shù)系統(tǒng)風險管理指南（2002年）SP800—51CVE使用和漏洞命名法（2002年）等等。第二十頁，共三十四頁，2022年，8月28日關(guān)于信息安全風險管理理論與實踐發(fā)展的一些思考一、信息安全風險管理理論來源于信息安全實踐二、我國信息安全實踐對風險管理理論提出了新問題、新要求三、信息安全風險管理上存在的問題只能靠信息安全實踐來解決第二十一頁，共三十四頁，2022年，8月28日二、我國信息安全實踐對風險管理理論提出了新問題、新要求20世紀90年代以來，隨著經(jīng)濟全球化和世界科技革命，我國的信息技術(shù)、信息產(chǎn)業(yè)和信息網(wǎng)絡(luò)蓬勃發(fā)展。信息安全日益突出，風險管理的重要性空前彰顯。

2002年我國在863計劃中首次規(guī)劃了《系統(tǒng)安全風險分析和評估方法研究》課題

。第二十二頁，共三十四頁，2022年，8月28日二、我國信息安全實踐對風險管理理論提出了新問題、新要求2003年8月至今年在國信辦直接指導(dǎo)下，組成了風險評估課題組，開展了系統(tǒng)的風險評估和管理理論研究。這期間，我國一些國家研究機構(gòu)、大專院校、民營企業(yè)、外資企業(yè)、向國內(nèi)介紹了美、英等發(fā)達國家關(guān)于信息安全風險評估、風險管理的理論、方法和經(jīng)驗，為我國這個領(lǐng)域工作的開展發(fā)揮了重要作用。第二十三頁，共三十四頁，2022年，8月28日二、我國信息安全實踐對風險管理理論提出了新問題、新要求

但是在新形勢下，我國風險管理理論和實踐還存在不少亟待解決的問題。根據(jù)“國信辦信息安全風險評估課題組”去年年底至今年年初進行調(diào)研中接觸到的情況，我認為可以歸納為如下五個方面的問題：第二十四頁，共三十四頁，2022年，8月28日二、我國信息安全實踐對風險管理理論提出了新問題、新要求（一）、絕對安全的觀念束縛著風險管理思想的樹立（二）、主觀上風險意識談薄影響著對我國在信息安全上面臨高風險形勢的認識（三）、現(xiàn)代信息網(wǎng)絡(luò)已成為復(fù)雜系統(tǒng)，現(xiàn)有的風險管理理論和手段難以完全滿足有關(guān)要求（四）、風險管理理論研究與信息安全實踐結(jié)合不夠緊密（五）、現(xiàn)有的風險評估、管理理論和方法有待完善第二十五頁，共三十四頁，2022年，8月28日二、我國信息安全實踐對風險管理理論提出了新問題、新要求（一）、絕對安全的觀念束縛著風險管理思想的樹立

但信息安全保密實踐歷史告訴我們，安全保密是一個動態(tài)過程，安全事件是一種隨機事件，很難做到百分之百安全。祈求“絕對安全”將在人力物力上付出極大代價，造成嚴重浪費。第二十六頁，共三十四頁，2022年，8月28日二、我國信息安全實踐對風險管理理論提出了新問題、新要求（二）、主觀上風險意識談薄影響著對我國在信息安全上面臨高風險形勢的認識

一些有關(guān)人員風險意識談薄，信息安全知識不足，卻津津樂道“太平盛世”，雙耳不聞“盛世危言”，甚至認為，談風險是“杞人憂天”，說安全是“天下本無事庸人自擾之”。這些都嚴重影響了正確認識形勢，樹立信息安全風險觀念。第二十七頁，共三十四頁，2022年，8月28日二、我國信息安全實踐對風險管理理論提出了新問題、新要求（三）、現(xiàn)代信息網(wǎng)絡(luò)已成為復(fù)雜系統(tǒng)，現(xiàn)有的風險管理理論和手段難以完全滿足有關(guān)要求

信息系統(tǒng)在規(guī)模上日益龐大，網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜。這樣的復(fù)雜型系統(tǒng)進行有效地風險分析、評估和管理，需要更先進的理論和手段，現(xiàn)有的理論難以充分滿足其要求。第二十八頁，共三十四頁，2022年，8月28日二、我國信息安全實踐對風險管理理論提出了新問題、新要求（四）、風險管理理論研究與信息安全實踐結(jié)合不夠緊密

在信息安全實踐中主動結(jié)合風險管理理論不夠。近幾年由一批留學人員、民營企業(yè)將系統(tǒng)的風險評估理論帶回國內(nèi)，引起有關(guān)部門重視。第二十九頁，共三十四頁，2022年，8月28日二、我國信息安全實踐對風險管理理論提出了新問題、新要求（五