關(guān)于信息安全風(fēng)險(xiǎn)管理ppt課件

1、關(guān)于信息平安風(fēng)險(xiǎn)管理實(shí)際與實(shí)際開(kāi)展的一些思索崔書(shū)昆二00四年十月十二日.關(guān)于信息平安風(fēng)險(xiǎn)管理實(shí)際與實(shí)際開(kāi)展的一些思索一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息安 全實(shí)際二、我國(guó)信息平安實(shí)際對(duì)風(fēng)險(xiǎn)管理實(shí)際提 出了新問(wèn)題、新要求三、信息平安風(fēng)險(xiǎn)管理上存在的問(wèn)題只能 靠信息平安實(shí)際來(lái)處理.關(guān)于信息平安風(fēng)險(xiǎn)管理實(shí)際與實(shí)際開(kāi)展的一些思索一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息安 全實(shí)際二、我國(guó)信息平安實(shí)際對(duì)風(fēng)險(xiǎn)管理實(shí)際提 出了新問(wèn)題、新要求三、信息平安風(fēng)險(xiǎn)管理上存在的問(wèn)題只能 靠信息平安實(shí)際來(lái)處理.一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息平安實(shí)際風(fēng)險(xiǎn)管理Risk management包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)和風(fēng)險(xiǎn)控

2、制等內(nèi)容。 國(guó)外許多專(zhuān)家以為，風(fēng)險(xiǎn)管理是信息平安的根底任務(wù)和中心義務(wù)之一，是最有效的一種措施，是保證信息平安投資報(bào)答率優(yōu)化的科學(xué)方法?，F(xiàn)代風(fēng)險(xiǎn)管理實(shí)際產(chǎn)生于西方資本主義國(guó)家，它是為制定有效的經(jīng)濟(jì)開(kāi)展戰(zhàn)略和市場(chǎng)競(jìng)爭(zhēng)戰(zhàn)略而發(fā)明的一種實(shí)際、方法和措施。.一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息平安實(shí)際風(fēng)險(xiǎn)管理實(shí)際由于它的廣泛適用性、現(xiàn)已運(yùn)用于各國(guó)社會(huì)與經(jīng)濟(jì)開(kāi)展、國(guó)家建立、國(guó)家平安、公共平安和信息平安諸多領(lǐng)域。風(fēng)險(xiǎn)管理實(shí)際運(yùn)用于信息平安領(lǐng)域始于20世紀(jì)60年代。以后，信息平安風(fēng)險(xiǎn)管理的實(shí)際和實(shí)際的開(kāi)展大體上經(jīng)過(guò)了三個(gè)階段：.一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息平安實(shí)際一、20世紀(jì)60年代至80年代是信息平安風(fēng)

3、險(xiǎn)管理 實(shí)際與實(shí)際開(kāi)展的初期階段二、20世紀(jì)80年代末至90年代中期是信息平安風(fēng) 險(xiǎn)管理實(shí)際和實(shí)際走向初步成熟的階段三、20世紀(jì)90年代末，國(guó)際范圍的風(fēng)險(xiǎn)管理實(shí)際 與實(shí)際進(jìn)入第三個(gè)階段，即全球化階段.一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息平安實(shí)際一、20世紀(jì)60年代至80年代是信息平安風(fēng)險(xiǎn)管理實(shí)際與實(shí)際開(kāi)展的初期階段 20世紀(jì)60年代，隨著資源共享計(jì)算機(jī)系統(tǒng)和早期計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)，計(jì)算機(jī)平安問(wèn)題初步顯露。1967年秋，美國(guó)國(guó)防部委托蘭德公司為首的多個(gè)研討機(jī)構(gòu)和企業(yè)，進(jìn)展了美國(guó)歷史上第一次大規(guī)模的計(jì)算機(jī)平安風(fēng)險(xiǎn)評(píng)價(jià)，歷時(shí)三年。1970年初出版了一個(gè)長(zhǎng)達(dá)數(shù)百頁(yè)的報(bào)告。該報(bào)告奠定了國(guó)際平安風(fēng)險(xiǎn)評(píng)價(jià)的實(shí)際

4、根底。.一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息平安實(shí)際一、20世紀(jì)60年代至80年代是信息平安風(fēng)險(xiǎn)管理實(shí)際與實(shí)際開(kāi)展的初期階段 在此根底上，美國(guó)率先推出了首批關(guān)于信息平安風(fēng)險(xiǎn)管理及相關(guān)的平安評(píng)測(cè)規(guī)范。其中： 第一組規(guī)范是由國(guó)家規(guī)范局(NBS)制定的，如： FIPS PUB 31自動(dòng)數(shù)據(jù)處置系統(tǒng)物理平安和風(fēng)險(xiǎn)管理指南1974年。 FIPS PUB 65自動(dòng)數(shù)據(jù)處置系統(tǒng)風(fēng)險(xiǎn)分析指南1979年.一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息平安實(shí)際一、20世紀(jì)60年代至80年代是信息平安風(fēng)險(xiǎn)管理實(shí)際與實(shí)際開(kāi)展的初期階段 第二組是由美國(guó)國(guó)防部國(guó)家平安局于1983年后陸續(xù)制定的計(jì)算機(jī)系統(tǒng)平安評(píng)價(jià)系列規(guī)范，主要包括(TC

5、SEC、TNI、等等，總計(jì)約40來(lái)個(gè)各類(lèi)規(guī)范。由于每個(gè)規(guī)范用不同顏色的封皮，俗稱(chēng)為“彩虹系列。.一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息平安實(shí)際一、20世紀(jì)60年代至80年代是信息平安風(fēng)險(xiǎn)管理實(shí)際與實(shí)際開(kāi)展的初期階段 這套規(guī)范建立在風(fēng)險(xiǎn)評(píng)價(jià)實(shí)際根底上。該系列中規(guī)范指出：“評(píng)價(jià)一個(gè)計(jì)算機(jī)系統(tǒng)的平安級(jí)別依賴(lài)于該系統(tǒng)存在的風(fēng)險(xiǎn)程度，即風(fēng)險(xiǎn)因子RISK INDEX，“還存在影響平安風(fēng)險(xiǎn)的其他諸如義務(wù)關(guān)鍵性、所需回絕效力維護(hù)和要挾的嚴(yán)重性等要素。.一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息平安實(shí)際二、20世紀(jì)80年代末至90年代中期是信息平安風(fēng)險(xiǎn)管理實(shí)際和實(shí)際走向初步成熟的階段 1989年美國(guó)率先建立了計(jì)算機(jī)應(yīng)急組織

6、，次年，建立了信息平安事件應(yīng)急國(guó)際論壇FIRST。 1992年美國(guó)國(guó)防部建立了破綻分析與評(píng)價(jià)方案。 1994年美國(guó)國(guó)家平安局等組織構(gòu)成的結(jié)合委員會(huì)明確提出，美國(guó)國(guó)家信息平安必需建立在風(fēng)險(xiǎn)管理的根底上。.一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息平安實(shí)際二、20世紀(jì)80年代末至90年代中期是信息平安風(fēng)險(xiǎn)管理實(shí)際和實(shí)際走向初步成熟的階段 1995年9月至1996年4月，美國(guó)總審計(jì)局為因應(yīng)國(guó)會(huì)“加強(qiáng)信息平安、降低信息戰(zhàn)要挾的要求，對(duì)美國(guó)國(guó)防系統(tǒng)的信息系統(tǒng)進(jìn)展了大規(guī)模風(fēng)險(xiǎn)評(píng)價(jià)，于1996年5月發(fā)表了名為的報(bào)告。. 1995年12月美國(guó)國(guó)防部提出了信息平安的動(dòng)態(tài)模型，即“防護(hù)監(jiān)測(cè)反響多環(huán)節(jié)保證體系，后通稱(chēng)“PD

7、R模型。 1990年，歐洲英、法、德、荷四國(guó)著手制定了共同的信息技術(shù)平安評(píng)價(jià)規(guī)范ITSEC，強(qiáng)調(diào)要把信息系統(tǒng)適用環(huán)境中的要挾與風(fēng)險(xiǎn)納入評(píng)價(jià)視野。加拿大也制定了本國(guó)的信息平安測(cè)評(píng)規(guī)范。一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息平安實(shí)際二、20世紀(jì)80年代末至90年代中期是信息平安風(fēng)險(xiǎn)管理實(shí)際和實(shí)際走向初步成熟的階段.一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息平安實(shí)際二、20世紀(jì)80年代末至90年代中期是信息平安風(fēng)險(xiǎn)管理實(shí)際和實(shí)際走向初步成熟的階段 1993年歐美六個(gè)國(guó)家又啟動(dòng)了建立共同評(píng)測(cè)規(guī)范即后來(lái)的CC規(guī)范的方案。這個(gè)期間英國(guó)本人還研發(fā)了基于風(fēng)險(xiǎn)管理的BS7799信息平安管理規(guī)范，澳大利亞和新西蘭制定了共同的

8、風(fēng)險(xiǎn)管理規(guī)范AS/NES4360。此外，荷蘭、德國(guó)、挪威等國(guó)也制定了相應(yīng)的本國(guó)規(guī)范。一切這些規(guī)范，都強(qiáng)調(diào)風(fēng)險(xiǎn)評(píng)價(jià)和管理的重要性、根底性作用。.一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息平安實(shí)際二、20世紀(jì)80年代末至90年代中期是信息平安風(fēng)險(xiǎn)管理實(shí)際和實(shí)際走向初步成熟的階段 1997年12月，美國(guó)國(guó)防部發(fā)表了DITSCAP，成為美國(guó)涉密信息系統(tǒng)的平安評(píng)價(jià)和風(fēng)險(xiǎn)管理的重要規(guī)范和根據(jù)。.一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息平安實(shí)際三、20世紀(jì)90年代末，國(guó)際范圍的風(fēng)險(xiǎn)管理實(shí)際與實(shí)際進(jìn)入第三個(gè)階段，即全球化階段 由于90年代以來(lái)因特網(wǎng)、挪動(dòng)通訊和跨國(guó)光纜的高速開(kāi)展，各國(guó)本來(lái)局限于本國(guó)內(nèi)的信息網(wǎng)絡(luò)迅速跨越國(guó)境連

9、成一片。與此同時(shí)，信息平安也成為世界各國(guó)面臨的共同挑戰(zhàn)。.一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息平安實(shí)際三、20世紀(jì)90年代末，國(guó)際范圍的風(fēng)險(xiǎn)管理實(shí)際與實(shí)際進(jìn)入第三個(gè)階段，即全球化階段 在共同需求的驅(qū)動(dòng)下，1996年國(guó)際規(guī)范組織發(fā)布了ISO/IEC TR 13335規(guī)范即。1999年發(fā)布了ISO/IEC15408規(guī)范即CC規(guī)范。2000年又發(fā)布了ISO/IEC177799即。 .一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息平安實(shí)際三、20世紀(jì)90年代末，國(guó)際范圍的風(fēng)險(xiǎn)管理實(shí)際與實(shí)際進(jìn)入第三個(gè)階段，即全球化階段 國(guó)際規(guī)范的出臺(tái)，反過(guò)來(lái)又推進(jìn)了各國(guó)本身風(fēng)險(xiǎn)管理規(guī)范研發(fā)的進(jìn)程。例如美國(guó)，從90年代末開(kāi)場(chǎng)，在風(fēng)險(xiǎn)管

10、理相關(guān)規(guī)范的制定上掀起了一個(gè)新高潮，僅NIST美國(guó)國(guó)家規(guī)范與技術(shù)局近幾年制定的與風(fēng)險(xiǎn)管理相關(guān)的規(guī)范就達(dá)十多個(gè)。 .一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息平安實(shí)際三、20世紀(jì)90年代末，國(guó)際范圍的風(fēng)險(xiǎn)管理實(shí)際與實(shí)際進(jìn)入第三個(gè)階段，即全球化階段 美國(guó)國(guó)防部于2002年發(fā)布了指令85001，于2003年發(fā)布了指令85002兩個(gè)文件，作為國(guó)防系統(tǒng)平安評(píng)價(jià)也包括風(fēng)險(xiǎn)管理的根據(jù)。.一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息平安實(shí)際三、20世紀(jì)90年代末，國(guó)際范圍的風(fēng)險(xiǎn)管理實(shí)際與實(shí)際進(jìn)入第三個(gè)階段，即全球化階段基中正式發(fā)布的此類(lèi)規(guī)范主要有：SP80026信息技術(shù)系統(tǒng)平安自評(píng)價(jià)指南2001年SP80030信息技術(shù)系統(tǒng)風(fēng)險(xiǎn)

11、管理指南2002年SP80051CVE運(yùn)用和破綻命名法2002年等等。.關(guān)于信息平安風(fēng)險(xiǎn)管理實(shí)際與實(shí)際開(kāi)展的一些思索一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息安 全實(shí)際二、我國(guó)信息平安實(shí)際對(duì)風(fēng)險(xiǎn)管理實(shí)際提 出了新問(wèn)題、新要求三、信息平安風(fēng)險(xiǎn)管理上存在的問(wèn)題只能 靠信息平安實(shí)際來(lái)處理.二、我國(guó)信息平安實(shí)際對(duì)風(fēng)險(xiǎn)管理實(shí)際提出了新問(wèn)題、新要求20世紀(jì)90年代以來(lái)，隨著經(jīng)濟(jì)全球化和世界科技革命，我國(guó)的信息技術(shù)、信息產(chǎn)業(yè)和信息網(wǎng)絡(luò)蓬勃開(kāi)展。信息平安日益突出，風(fēng)險(xiǎn)管理的重要性空前彰顯。 2002年我國(guó)在863方案中初次規(guī)劃了課題 。.二、我國(guó)信息平安實(shí)際對(duì)風(fēng)險(xiǎn)管理實(shí)際提出了新問(wèn)題、新要求2003年8月至今年在國(guó)信

12、辦直接指點(diǎn)下，組成了風(fēng)險(xiǎn)評(píng)價(jià)課題組，開(kāi)展了系統(tǒng)的風(fēng)險(xiǎn)評(píng)價(jià)和管理實(shí)際研討。這期間，我國(guó)一些國(guó)家研討機(jī)構(gòu)、大專(zhuān)院校、民營(yíng)企業(yè)、外資企業(yè)、向國(guó)內(nèi)引見(jiàn)了美、英等興隆國(guó)家關(guān)于信息平安風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)管理的實(shí)際、方法和閱歷，為我國(guó)這個(gè)領(lǐng)域任務(wù)的開(kāi)展發(fā)揚(yáng)了重要作用。.二、我國(guó)信息平安實(shí)際對(duì)風(fēng)險(xiǎn)管理實(shí)際提出了新問(wèn)題、新要求 但是在新情勢(shì)下，我國(guó)風(fēng)險(xiǎn)管理實(shí)際和實(shí)際還存在不少亟待處理的問(wèn)題。根據(jù)“國(guó)信辦信息平安風(fēng)險(xiǎn)評(píng)價(jià)課題組去年年底至今年年初進(jìn)展調(diào)研中接觸到的情況，我以為可以歸納為如下五個(gè)方面的問(wèn)題：.二、我國(guó)信息平安實(shí)際對(duì)風(fēng)險(xiǎn)管理實(shí)際提出了新問(wèn)題、新要求一、絕對(duì)平安的觀念束縛著風(fēng)險(xiǎn)管理思想的樹(shù)立二、客觀上風(fēng)險(xiǎn)認(rèn)識(shí)

13、談薄影響著對(duì)我國(guó)在信息安 全上面臨高風(fēng)險(xiǎn)情勢(shì)的認(rèn)識(shí)三、現(xiàn)代信息網(wǎng)絡(luò)已成為復(fù)雜系統(tǒng)，現(xiàn)有的風(fēng)險(xiǎn) 管理實(shí)際和手段難以完全滿(mǎn)足有關(guān)要求四、風(fēng)險(xiǎn)管理實(shí)際研討與信息平安實(shí)際結(jié)合不夠 嚴(yán)密五、現(xiàn)有的風(fēng)險(xiǎn)評(píng)價(jià)、管理實(shí)際和方法有待完善 .二、我國(guó)信息平安實(shí)際對(duì)風(fēng)險(xiǎn)管理實(shí)際提出了新問(wèn)題、新要求一、絕對(duì)平安的觀念束縛著風(fēng)險(xiǎn)管理思想的樹(shù)立 但信息平安嚴(yán)密實(shí)際歷史通知我們，平安嚴(yán)密是一個(gè)動(dòng)態(tài)過(guò)程，平安事件是一種隨機(jī)事件，很難做到百分之百平安。祈求“絕對(duì)平安將在人力物力上付出極大代價(jià)，呵斥嚴(yán)重浪費(fèi)。.二、我國(guó)信息平安實(shí)際對(duì)風(fēng)險(xiǎn)管理實(shí)際提出了新問(wèn)題、新要求二、客觀上風(fēng)險(xiǎn)認(rèn)識(shí)談薄影響著對(duì)我國(guó)在信息平安上面臨高風(fēng)險(xiǎn)情勢(shì)的認(rèn)識(shí)

14、 一些有關(guān)人員風(fēng)險(xiǎn)認(rèn)識(shí)談薄，信息平安知識(shí)缺乏，卻津津樂(lè)道“太平盛世，雙耳不聞“盛世危言，甚至以為，談風(fēng)險(xiǎn)是“杞人憂(yōu)天，說(shuō)平安是“天下本無(wú)事庸人自擾之。這些都嚴(yán)重影響了正確認(rèn)識(shí)情勢(shì)，樹(shù)立信息平安風(fēng)險(xiǎn)觀念。.二、我國(guó)信息平安實(shí)際對(duì)風(fēng)險(xiǎn)管理實(shí)際提出了新問(wèn)題、新要求三、現(xiàn)代信息網(wǎng)絡(luò)已成為復(fù)雜系統(tǒng)，現(xiàn)有的風(fēng)險(xiǎn)管理實(shí)際和手段難以完全滿(mǎn)足有關(guān)要求 信息系統(tǒng)在規(guī)模上日益龐大，網(wǎng)絡(luò)構(gòu)造越來(lái)越復(fù)雜。這樣的復(fù)雜型系統(tǒng)進(jìn)展有效地風(fēng)險(xiǎn)分析、評(píng)價(jià)和管理，需求更先進(jìn)的實(shí)際和手段，現(xiàn)有的實(shí)際難以充分滿(mǎn)足其要求。.二、我國(guó)信息平安實(shí)際對(duì)風(fēng)險(xiǎn)管理實(shí)際提出了新問(wèn)題、新要求四、風(fēng)險(xiǎn)管理實(shí)際研討與信息平安實(shí)際結(jié)合不夠嚴(yán)密 在信息平安實(shí)際中自動(dòng)結(jié)合風(fēng)險(xiǎn)管理實(shí)際不夠。近幾年由一批留學(xué)人員、民營(yíng)企業(yè)將系統(tǒng)的風(fēng)險(xiǎn)評(píng)價(jià)實(shí)際帶回國(guó)內(nèi)，引起有關(guān)部門(mén)注重。 .二、我國(guó)信息平安實(shí)際對(duì)風(fēng)險(xiǎn)管理實(shí)際提出了新問(wèn)題、新要求五、現(xiàn)有的風(fēng)險(xiǎn)評(píng)價(jià)、管理實(shí)際和方法有待完善 當(dāng)前一些研討人員正在討論的“網(wǎng)絡(luò)控制論、“自動(dòng)化分析工具和“方式化分析方法等新實(shí)際、新方法有能夠?yàn)槲磥?lái)的風(fēng)險(xiǎn)評(píng)價(jià)和管理提供一些新的、可自創(chuàng)的方法和工具。.關(guān)于信息平安風(fēng)險(xiǎn)管理實(shí)際與實(shí)際開(kāi)展的一些思索一、信息平安風(fēng)險(xiǎn)管理實(shí)際來(lái)源于信息安 全實(shí)際二、我國(guó)信息平安實(shí)際對(duì)風(fēng)險(xiǎn)管理實(shí)際提 出了新問(wèn)題、新要求三、信息平安風(fēng)險(xiǎn)管理上存在的問(wèn)題只