信息安全风险管理理论

关于信息安全风险管理理论与实践发展的一些思考关于信息安全风险管理理论与实践发展的一些思考XXXXX年X月XX日关于信息安全风险管理理论与实践发展的一些思考一、信息安全风险管理理论来源于信息安一、信息安全风险管理理论来源于信息安一、信息安全风险管理理论来源于信息安一、信息安全风险管理理论来源于信息安全实践全实践全实践全实践二、我国信息安全实践对风险管理理论提二、我国信息安全实践对风险管理理论提二、我国信息安全实践对风险管理理论提二、我国信息安全实践对风险管理理论提出了新问题、新要求出了新问题、新要求出了新问题、新要求出了新问题、新要求三、信息安全风险管理上存在的问题只能三、信息安全风险管理上存在的问题只能三、信息安全风险管理上存在的问题只能三、信息安全风险管理上存在的问题只能靠信息安全实践来解决靠信息安全实践来解决靠信息安全实践来解决靠信息安全实践来解决关于信息安全风险管理理论与实践发展的一些思考一、信息安全风险管理理论来源于信息安一、信息安全风险管理理论来源于信息安一、信息安全风险管理理论来源于信息安一、信息安全风险管理理论来源于信息安全实践全实践全实践全实践二、我国信息安全实践对风险管理理论提二、我国信息安全实践对风险管理理论提二、我国信息安全实践对风险管理理论提二、我国信息安全实践对风险管理理论提出了新问题、新要求出了新问题、新要求出了新问题、新要求出了新问题、新要求三、信息安全风险管理上存在的问题只能三、信息安全风险管理上存在的问题只能三、信息安全风险管理上存在的问题只能三、信息安全风险管理上存在的问题只能靠信息安全实践来解决靠信息安全实践来解决靠信息安全实践来解决靠信息安全实践来解决一、信息安全风险管理理论来源于信息安全实践风险管理（Riskmanagement）包括风险识别、风险分析、风险评估和风险控制等内容。国外许多专家认为，风险管理是信息安全的基础工作和核心任务之一，是最有效的一种措施，是保证信息安全投资回报率优化的科学方法。现代风险管理理论产生于西方资本主义国家，它是为制定有效的经济发展战略和市场竞争策略而创造的一种理论、方法和措施。一、信息安全风险管理理论来源于信息安全实践风险管理理论由于它的广泛适用性、现已应用于各国社会与经济发展、国家建设、国家安全、公共安全和信息安全诸多领域。风险管理理论应用于信息安全领域始于20世纪60年代。此后，信息安全风险管理的实践和理论的发展大体上经过了三个阶段：一、信息安全风险管理理论来源于信息安全实践（一）、20世纪60年代至80年代是信息安全风险管理实践与理论发展的初期阶段（二）、20世纪80年代末至90年代中期是信息安全风险管理实践和理论走向初步成熟的阶段（三）、20世纪90年代末，国际范围的风险管理实践与理论进入第三个阶段，即全球化阶段一、信息安全风险管理理论来源于信息安全实践（一）、（一）、（一）、（一）、20202020世纪世纪世纪世纪60606060年代至年代至年代至年代至80808080年代是信息安全风险管理实践年代是信息安全风险管理实践年代是信息安全风险管理实践年代是信息安全风险管理实践与理论发展的初期阶段与理论发展的初期阶段与理论发展的初期阶段与理论发展的初期阶段20世纪60年代，随着资源共享计算机系统和早期计算机网络的出现，计算机安全问题初步显露。1967年秋，美国国防部委托兰德公司为首的多个研究机构和企业，进行了美国历史上第一次大规模的计算机安全风险评估，历时三年。1970年初出版了一个长达数百页的机密报告《计算机安全控制》。该报告奠定了国际安全风险评估的理论基础。一、信息安全风险管理理论来源于信息安全实践（一）、（一）、（一）、（一）、20202020世纪世纪世纪世纪60606060年代至年代至年代至年代至80808080年代是信息安全风险管理实践年代是信息安全风险管理实践年代是信息安全风险管理实践年代是信息安全风险管理实践与理论发展的初期阶段与理论发展的初期阶段与理论发展的初期阶段与理论发展的初期阶段在此基础上，美国率先推出了首批关于信息安全风险管理及相关的安全评测标准。其中：第一组标准是由国家标准局(NBS)制定的，如：FIPSPUB31自动数据处理系统物理安全和风险管理指南（1974年）。FIPSPUB65自动数据处理系统风险分析指南（1979年）一、信息安全风险管理理论来源于信息安全实践（一）、（一）、（一）、（一）、20202020世纪世纪世纪世纪60606060年代至年代至年代至年代至80808080年代是信息安全风险管理实践年代是信息安全风险管理实践年代是信息安全风险管理实践年代是信息安全风险管理实践与理论发展的初期阶段与理论发展的初期阶段与理论发展的初期阶段与理论发展的初期阶段第二组是由美国国防部国家安全局于1983年后陆续制定的计算机系统安全评估系列标准，主要包括《可信计算机系统安全评估准则》(TCSEC）、《可信网络解释》（TNI）、《特定环境下的安全需求》等等，总计约40来个各类标准。由于每个标准用不同颜色的封皮，俗称为““““彩虹系列””””。一、信息安全风险管理理论来源于信息安全实践（一）、（一）、（一）、（一）、20202020世纪世纪世纪世纪60606060年代至年代至年代至年代至80808080年代是信息安全风险管理实践年代是信息安全风险管理实践年代是信息安全风险管理实践年代是信息安全风险管理实践与理论发展的初期阶段与理论发展的初期阶段与理论发展的初期阶段与理论发展的初期阶段这套标准建立在风险评估理论基础上。该系列中《安全需求技术原理》标准指出：““““评估一个计算机系统的安全级别依赖于该系统存在的风险水平，即风险因子（RISKINDEX）””””，““““还存在影响安全风险的其他诸如任务关键性、所需拒绝服务保护和威胁的严重性等因素。””””一、信息安全风险管理理论来源于信息安全实践（二）、（二）、（二）、（二）、20202020世纪世纪世纪世纪80808080年代末至年代末至年代末至年代末至90909090年代中期是信息安全风险管年代中期是信息安全风险管年代中期是信息安全风险管年代中期是信息安全风险管理实践和理论走向初步成熟的阶段理实践和理论走向初步成熟的阶段理实践和理论走向初步成熟的阶段理实践和理论走向初步成熟的阶段1989年美国率先建立了计算机应急组织，次年，建立了信息安全事件应急国际论坛（FIRST）。1992年美国国防部建立了漏洞分析与评估计划。1994年美国国家安全局等组织构成的联合委员会明确提出，美国国家信息安全必须建立在风险管理的基础上。一、信息安全风险管理理论来源于信息安全实践（二）、（二）、（二）、（二）、20202020世纪世纪世纪世纪80808080年代末至年代末至年代末至年代末至90909090年代中期是信息安全风险管年代中期是信息安全风险管年代中期是信息安全风险管年代中期是信息安全风险管理实践和理论走向初步成熟的阶段理实践和理论走向初步成熟的阶段理实践和理论走向初步成熟的阶段理实践和理论走向初步成熟的阶段1995年9月至1996年4月，美国总审计局为因应国会““““加强信息安全、降低信息战威胁””””的要求，对美国国防系统的信息系统进行了大规模风险评估，于1996年5月发表了名为《信息安全————针对国防部的计算机攻击正构成日益增大的风险》的报告。1995年12月美国国防部提出了信息安全的动态模型，即““““防护————监测————反应””””多环节保障体系，后通称““““PDR模型””””。1990年，欧洲英、法、德、荷四国着手制定了共同的信息技术安全评估标准（ITSEC），强调要把信息系统实用环境中的威胁与风险纳入评估视野。加拿大也制定了本国的信息安全测评标准。一、信息安全风险管理理论来源于信息安全实践（二）、（二）、（二）、（二）、20202020世纪世纪世纪世纪80808080年代末至年代末至年代末至年代末至90909090年代中期是信息安全风险管年代中期是信息安全风险管年代中期是信息安全风险管年代中期是信息安全风险管理实践和理论走向初步成熟的阶段理实践和理论走向初步成熟的阶段理实践和理论走向初步成熟的阶段理实践和理论走向初步成熟的阶段一、信息安全风险管理理论来源于信息安全实践（二）、（二）、（二）、（二）、20202020世纪世纪世纪世纪80808080年代末至年代末至年代末至年代末至90909090年代中期是信息安全风险管年代中期是信息安全风险管年代中期是信息安全风险管年代中期是信息安全风险管理实践和理论走向初步成熟的阶段理实践和理论走向初步成熟的阶段理实践和理论走向初步成熟的阶段理实践和理论走向初步成熟的阶段1993年欧美六个国家又启动了建立共同评测标准（即后来的CC标准）的计划。这个期间英国自己还研发了基于风险管理的BS7799信息安全管理标准，澳大利亚和新西兰制定了共同的风险管理标准AS/NES4360。此外，荷兰、德国、挪威等国也制定了相应的本国标准。所有这些标准，都强调风险评估和管理的重要性、基础性作用。一、信息安全风险管理理论来源于信息安全实践（二）、（二）、（二）、（二）、20202020世纪世纪世纪世纪80808080年代末至年代末至年代末至年代末至90909090年代中期是信息安全风险管年代中期是信息安全风险管年代中期是信息安全风险管年代中期是信息安全风险管理实践和理论走向初步成熟的阶段理实践和理论走向初步成熟的阶段理实践和理论走向初步成熟的阶段理实践和理论走向初步成熟的阶段1997年12月，美国国防部发表了《信息技术安全认证和批准程序》（DITSCAP），成为美国涉密信息系统的安全评估和风险管理的重要标准和依据。一、信息安全风险管理理论来源于信息安全实践（三）、（三）、（三）、（三）、20202020世纪世纪世纪世纪90909090年代末，国际范围的风险管理实践与理年代末，国际范围的风险管理实践与理年代末，国际范围的风险管理实践与理年代末，国际范围的风险管理实践与理论进入第三个阶段，即全球化阶段论进入第三个阶段，即全球化阶段论进入第三个阶段，即全球化阶段论进入第三个阶段，即全球化阶段由于90年代以来因特网、移动通信和跨国光缆的高速发展，各国原本局限于本国内的信息网络迅速跨越国境连成一片。与此同时，信息安全也成为世界各国面临的共同挑战。。一、信息安全风险管理理论来源于信息安全实践（三）、（三）、（三）、（三）、20202020世纪世纪世纪世纪90909090年代末，国际范围的风险管理实践与理年代末，国际范围的风险管理实践与理年代末，国际范围的风险管理实践与理年代末，国际范围的风险管理实践与理论进入第三个阶段，即全球化阶段论进入第三个阶段，即全球化阶段论进入第三个阶段，即全球化阶段论进入第三个阶段，即全球化阶段在共同需求的驱动下，1996年国际标准组织发布了ISO/IECTR13335标准即《信息技术安全管理指南》。1999年发布了ISO/IEC15408标准即《信息技术安全评估共同准则》（CC标准）。2000年又发布了ISO/IEC177799即《信息技术信息安全管理实用规则》。一、信息安全风险管理理论来源于信息安全实践（三）、（三）、（三）、（三）、20202020世纪世纪世纪世纪90909090年代末，国际范围的风险管理实践与理年代末，国际范围的风险管理实践与理年代末，国际范围的风险管理实践与理年代末，国际范围的风险管理实践与理论进入第三个阶段，即全球化阶段论进入第三个阶段，即全球化阶段论进入第三个阶段，即全球化阶段论进入第三个阶段，即全球化阶段国际标准的出台，反过来又推动了各国自身风险管理标准研发的进程。例如美国，从90年代末开始，在风险管理相关标准的制定上掀起了一个新高潮，仅NIST（美国国家标准与技术局）近几年制定的与风险管理相关的标准就达十多个。一、信息安全风险管理理论来源于信息安全实践（三）、（三）、（三）、（三）、20202020世纪世纪世纪世纪90909090年代末，国际范围的风险管