信息安全风险管理的动态与趋势吴世忠中国信息安全测评中心目录引言一、国际信息安全风险管理动态二、国内信息安全风险评估情况三、我国信息安全风险管理展望结语2007-1-18引言风险管理是当今信息安全保障工作的主流范式,也是全球信息安全工作的热点之一;据不完全统计,目前已有正式出版物20多种、博士论文50余篇、政府工作报告100余份、学术论文近千篇;确立风险意识的文化、对风险进行现实的评估、确保风险承担者分担风险、将风险管理纳入日常工作过程,已成为风险管理的四大核心内容;风险管理虽然还不能说是一门精确的科学,但它却是一门富于高度不可预见性的艺术。一、国际信息安全风险管理动态(一)美国:独占鳌头,加强控管(二)欧洲:不甘落后,重在预防(三)亚太:及时跟进,确保发展(四)国际组织:积极配合,重在规范2007-1-182007-1-18(一)美国:独占鳌头,加强控管制定了从军政部门、公共部门和私营领域的风险管理政策和指南形成了军、政、学、商分工协作的风险管理体系国防部、商务部、审计署、预算管理等部门各司其职,形成了较为完整的风险分析、评估、监督、检查问责的工作机制2007-1-18DOD:风险评估的领路者1967年,DOD开始研究计算机安全问题。到1970年,对当时的大型机、远程终端作了第一次比较大规模的风险评估。1977年,DoD提出了加强联邦政府和国防系统计算机安全的倡议。1987年,第一次对新发布的《计算机安全法》的执行情况进行部门级评估1997年,美国国防部发布《国防部IT安全认证认可过程》(DITSCAP);2000年,国家安全委员会发布了《国家信息保障认证和认可过程》(NIACAP)2007年,根据美国的网络安全国家战略计划,对政府各部门的信息安全状况进行更加全面的审计和评估2007-1-182000年,NIST在《联邦IT安全评估框架》中提出了自评估的5个级别。并颁布了《IT系统安全自评估指南》(SP800-26)2002年,NIST发布了《IT系统风险管理指南》(SP800-30)。阐明了风险评估的步骤、风险缓解的控制和评估评价的方法。2002年,颁布了《联邦信息安全管理法案》(FISMA),要求联邦各机构必须进行定期的风险评估。从2002年10月开始,NIST先后发布了《联邦IT系统安全认证和认可指南》(SP800-37)、《联邦信息和信息系统的安全分类标准》(FIPS199)、《联邦IT系统最小安全控制》(SP800-53)、《将各种信息和信息系统映射到安全类别的指南》(SP800-60)等多个文档,以风险思想为基础加强联邦政府的信息安全。DOC/NIST:风险评估的推动者OMB/GAO:风险评估的监督者1978年,美国白宫管理和预算办公室(OMB)发布《联邦自动化信息系统的安全》(A-71)通告,1979年,颁布第一个联邦风险评估的标准:《自动数据处理系统(ADP)风险分析标准》(FIPS65)美国总审计署(GAO)根据“信息技术投资管理办法”(ITIM)每年对各政府部门的信息安全情况进行制度化的评估和审计,并公布结果。2007-1-182007-1-18学术界:风险评估的探索者美国政府通过信息安全教育计划鼓励和资助20多所著名大学开展与信息安全风险管理相关的研究开发和人才培养工作,为风险管理不断输送技术和智力资源。以卡内基梅隆大学为例:•SSE-CMM:信息安全工程能力成熟度模型•OCTAVE:发布了OCTAVE框架,属于自主型信息安全风险评估方法。2007-1-18商业界:风险评估的实践者工具公司成熟度功能标准RiskPAC美国CSCI公司成熟产品主要进行定性和定量风险评估RiskWatch美国RiskWatch公司成熟产品,有一定客户群综合各类相关标准进行风险评估和风险管理各类信息安全相关标准XACTA美国XACTA公司成熟产品,有一定客户群主要依据NIACAP、DITSCAP进行C&A过程主要依据ISO17799、NIACAP、DITSCAP、DCID2007-1-18(二)欧洲:不甘落后,重在预防1、“趋利避害”一直是欧洲各国在信息化进程中防范安全风险的共同策略2、欧陆诸国和英联邦国家在风险管理上一直在探索走不同于美国的道路3、欧盟投资、多国共同推动的CORAS项目充满欧洲理性思想的光芒,值得关注2007-1-18英国:BS7799享誉全球英国BSI推出BS7799,分为两个部分:“BS7799-1:1999信息安全管理实施细则”、“BS7799-2:2002信息安全管理体系规范”,英国CCTA开发了CRAMM风险评估工具,完全遵循BS7799。英国C&A系统安全公司推出了COBRA(Consultative,ObjectiveandBi-functionalRiskAnalysis)工具,由一系列风险分析、咨询和安全评价工具组成。2007-1-18德国:日尔曼人的“基线”防御《德国联邦IT基线防护手册(ITBPM)》以严谨、周密而得名;1991年,德国建立信息安全局(BSI),主要负责政府部门的信息安全风险管理和评估工作。1997年,颁布《信息和通信服务规范法》风险评估在方法上基本遵循BS7799。2007-1-18欧盟的CORAS项目2001年至2003年,欧盟投资,四个欧洲国家(德国、希腊、英国、挪威)的11个机构,历时3年时间,完成了安全关键系统的风险分析平台项目CORAS,使用UML建模技术,开发了一个面向对象建模技术的风险评估框架。一期完成之后,欧盟继续投资为期三年的二期项目COMA,预计2007年完成。CORAS:欧洲经典2007-1-182007-1-18(三)亚太:及时跟进,确保发展日本:在风险管理方面综合美国和英国的做法,建立了“安全管理系统评估制度”(ISMS),作为日本标准(JIS),启用了ISO/IECl7799-1(BS7799)。韩国:主要参照美国的政策和方法;新加坡:主要参照英国的做法,在信息安全风险评估方面依据BS7799。2007-1-18(四)国际组织:积极配合,重在规范国际性组织在全球化、信息化进程中扮演着越来越重要的角色它们在信息安全风险管理上发挥着企业、商业和行业上的自律和规范作用ISO、ITU、ISACA的作用不可小视2007-1-18ISO:专业的普通话ISO/IEC13335《IT安全管理指南》ISO/IEC17799ISO27000系列ISO27000信息安全管理体系基本原理和词汇ISO27001信息安全管理体系要求ISO27002信息安全管理实践准则ISO27003信息安全管理实施指南ISO27004信息安全管理的度量指标和衡量ISO27005信息安全风险管理指南ISO27006信息和通信技术灾难恢复和服务指南ISO/IEC21827:2002(SSE-CMM):信息安全工程能力成熟度模型ISO/IEC15408:IT安全评估通用准则(CC)2007-1-18ITU:产业的风向标在安全体系和框架方面主要维护X.8xx系列标准:在信息安全管理方面已发布:《ITU-TX.1051信息安全管理系统——通信需求(ISMS-T)》在安全通讯业务方面涉及所有网络与信息安全,主要集中在移动通信安全、P2P安全认证、Web服务安全等等。已发布标准“ITU-TX.1121移动端到端数据通信安全技术框架”、“ITU-TX.1121基于PKI实施安全移动系统指南。”ISACA:行业的协调人ISACA:国际信息系统审计与控制协会ISRiskAssessment,effective1July2002DigitalSignatures,effective1July2002IntrusionDetection,effective1August2003VirusesandotherMaliciousLogic,effective1August2003ControlRiskSelf-assessment,effective1August2003Firewalls,effective1August2003IrregularitiesandIllegalActsEffective1November2003SecurityAssessment—PenetrationTestingandVulnerabilityAnalysis,effective1September20042007-1-18风险管理中的新重点充分认识高技术面临的低技术威胁;高度关注“神风敢死队”似的攻击者;认真对待“无国籍”力量的迅速兴起;网络效应使风险预警时间大大缩短。安全测度指标(Metrics)成为关注焦点FederalPlanforCyberSecurityandInformationAssuranceResearchandDevelopment:总统办公厅;2006.4;提出需要安全测度指标来衡量安全措施的有效性、改进安全审计、指导基于风险的安全投资;CommitteeonNationalSecuritySystems(CNSS)2006年会,提出急需采用有效的安全测度指标,评估安全状况;INFOSECResearchCouncilHardProblemList;2005.11;将“企业级的安全测度指标”确定为8大优先项目之一;CyberSecurity:ACrisisofPrioritization:总统IT咨询委2005。2;将“安全测度指标”确定为10大优先项目之一;ITforCounter-terrorism:Immediateactions,FuturePossibilities;国家研究委员会;2003;提出要制定有效、实用的安全测度指标;MakingtheNationSafer:TheRoleofScienceandTechnologyinCounteringTerrorism.国家研究委员会,2002;提出需要有安全测度指标来衡量IT安全措施的有效性。二、国内信息安全风险管理情况(一)总体态势:起步较晚,发展很快(二)市场状况:需求迫切,形势喜人(三)业内分析:现实困难,需要克服(一)总体态势:起步较晚,发展较快1.国信办从国家层面强力推动2.各部委各司其职,积极呼应3.国内企业在技术、服务方面及时跟进4.国外企业利用技术和市场优势乘势而入国信办强力推动2003年,27号文,强调“要重视信息安全风险评估工作”2004年,完成风险评估研究报告与标准草案2005年,开展风险评估试点工作2006年1月,出台5号文,提出开展信息安全风险评估工作的意见2006年8月-9月,开展风险评估检查工作2006年10月,总书记批示“风险评估工作要制度化”从2007年起,对重要基础设施开始实行制度化的风险评估各部委积极响应公安部推动“等级保护”工作;保密局对涉密网络和信息系统提出相应风险管控要求;发改委、科技部、信息产业部等持续在科研和产业化投入方面予以支持国防科工委加强安全风险管理的体制、机制和建制工作;信息安全标准化工作重点支持风险评估/管理;各相关部门在积极开展风险管理方面的政策制定、技术研究和评估实践。以中国信息安全测评中心为例1999-2004年,开展了信息系统安全性评估工作,对网上证券、网上银行、党政机关等数十个信息系统颁发了证书2003-2005年,连续两期承担了国家863风险评估研究课题,同时完成了多项国家信息安全风险评估相关标准的研制工作2005年起,参加国信办组织的风险评估试点工作和检查评估工作2007年,将风险评估作为中心的核心工作之一。国内企业及时跟进以启明星辰、天融信、联想、三零盛安、绿盟等为代表的信息安全企业,为民航、电信、石油等多个行业提供了商业性的风险评估服务;以国家电力公司为代表的大型国有企业开展了信息安全风险自评估工作。在华外企乘势而入以IBM、HP、爱森哲等为代表的国外IT企业为金融、石油、电信