信息安全風(fēng)險(xiǎn)管理理論

信息安全風(fēng)險(xiǎn)管理理論第一頁(yè)，共三十四頁(yè)，2022年，8月28日關(guān)于信息安全風(fēng)險(xiǎn)管理理論與實(shí)踐發(fā)展的一些思考一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐二、我國(guó)信息安全實(shí)踐對(duì)風(fēng)險(xiǎn)管理理論提出了新問(wèn)題、新要求三、信息安全風(fēng)險(xiǎn)管理上存在的問(wèn)題只能靠信息安全實(shí)踐來(lái)解決第二頁(yè)，共三十四頁(yè)，2022年，8月28日關(guān)于信息安全風(fēng)險(xiǎn)管理理論與實(shí)踐發(fā)展的一些思考一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐二、我國(guó)信息安全實(shí)踐對(duì)風(fēng)險(xiǎn)管理理論提出了新問(wèn)題、新要求三、信息安全風(fēng)險(xiǎn)管理上存在的問(wèn)題只能靠信息安全實(shí)踐來(lái)解決第三頁(yè)，共三十四頁(yè)，2022年，8月28日一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐風(fēng)險(xiǎn)管理（Riskmanagement）包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制等內(nèi)容。

國(guó)外許多專家認(rèn)為，風(fēng)險(xiǎn)管理是信息安全的基礎(chǔ)工作和核心任務(wù)之一，是最有效的一種措施，是保證信息安全投資回報(bào)率優(yōu)化的科學(xué)方法?，F(xiàn)代風(fēng)險(xiǎn)管理理論產(chǎn)生于西方資本主義國(guó)家，它是為制定有效的經(jīng)濟(jì)發(fā)展戰(zhàn)略和市場(chǎng)競(jìng)爭(zhēng)策略而創(chuàng)造的一種理論、方法和措施。第四頁(yè)，共三十四頁(yè)，2022年，8月28日一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐風(fēng)險(xiǎn)管理理論由于它的廣泛適用性、現(xiàn)已應(yīng)用于各國(guó)社會(huì)與經(jīng)濟(jì)發(fā)展、國(guó)家建設(shè)、國(guó)家安全、公共安全和信息安全諸多領(lǐng)域。風(fēng)險(xiǎn)管理理論應(yīng)用于信息安全領(lǐng)域始于20世紀(jì)60年代。此后，信息安全風(fēng)險(xiǎn)管理的實(shí)踐和理論的發(fā)展大體上經(jīng)過(guò)了三個(gè)階段：第五頁(yè)，共三十四頁(yè)，2022年，8月28日一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐（一）、20世紀(jì)60年代至80年代是信息安全風(fēng)險(xiǎn)管理實(shí)踐與理論發(fā)展的初期階段（二）、20世紀(jì)80年代末至90年代中期是信息安全風(fēng)險(xiǎn)管理實(shí)踐和理論走向初步成熟的階段（三）、20世紀(jì)90年代末，國(guó)際范圍的風(fēng)險(xiǎn)管理實(shí)踐與理論進(jìn)入第三個(gè)階段，即全球化階段第六頁(yè)，共三十四頁(yè)，2022年，8月28日一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐（一）、20世紀(jì)60年代至80年代是信息安全風(fēng)險(xiǎn)管理實(shí)踐與理論發(fā)展的初期階段

20世紀(jì)60年代，隨著資源共享計(jì)算機(jī)系統(tǒng)和早期計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)，計(jì)算機(jī)安全問(wèn)題初步顯露。1967年秋，美國(guó)國(guó)防部委托蘭德公司為首的多個(gè)研究機(jī)構(gòu)和企業(yè)，進(jìn)行了美國(guó)歷史上第一次大規(guī)模的計(jì)算機(jī)安全風(fēng)險(xiǎn)評(píng)估，歷時(shí)三年。1970年初出版了一個(gè)長(zhǎng)達(dá)數(shù)百頁(yè)的機(jī)密報(bào)告《計(jì)算機(jī)安全控制》。該報(bào)告奠定了國(guó)際安全風(fēng)險(xiǎn)評(píng)估的理論基礎(chǔ)。第七頁(yè)，共三十四頁(yè)，2022年，8月28日一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐（一）、20世紀(jì)60年代至80年代是信息安全風(fēng)險(xiǎn)管理實(shí)踐與理論發(fā)展的初期階段

在此基礎(chǔ)上，美國(guó)率先推出了首批關(guān)于信息安全風(fēng)險(xiǎn)管理及相關(guān)的安全評(píng)測(cè)標(biāo)準(zhǔn)。其中：第一組標(biāo)準(zhǔn)是由國(guó)家標(biāo)準(zhǔn)局(NBS)制定的，如：

FIPSPUB31自動(dòng)數(shù)據(jù)處理系統(tǒng)物理安全和風(fēng)險(xiǎn)管理指南（1974年）。

FIPSPUB65自動(dòng)數(shù)據(jù)處理系統(tǒng)風(fēng)險(xiǎn)分析指南（1979年）第八頁(yè)，共三十四頁(yè)，2022年，8月28日一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐（一）、20世紀(jì)60年代至80年代是信息安全風(fēng)險(xiǎn)管理實(shí)踐與理論發(fā)展的初期階段

第二組是由美國(guó)國(guó)防部國(guó)家安全局于1983年后陸續(xù)制定的計(jì)算機(jī)系統(tǒng)安全評(píng)估系列標(biāo)準(zhǔn)，主要包括《可信計(jì)算機(jī)系統(tǒng)安全評(píng)估準(zhǔn)則》(TCSEC）、《可信網(wǎng)絡(luò)解釋》（TNI）、《特定環(huán)境下的安全需求》等等，總計(jì)約40來(lái)個(gè)各類標(biāo)準(zhǔn)。由于每個(gè)標(biāo)準(zhǔn)用不同顏色的封皮，俗稱為“彩虹系列”。第九頁(yè)，共三十四頁(yè)，2022年，8月28日一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐（一）、20世紀(jì)60年代至80年代是信息安全風(fēng)險(xiǎn)管理實(shí)踐與理論發(fā)展的初期階段

這套標(biāo)準(zhǔn)建立在風(fēng)險(xiǎn)評(píng)估理論基礎(chǔ)上。該系列中《安全需求技術(shù)原理》標(biāo)準(zhǔn)指出：“評(píng)估一個(gè)計(jì)算機(jī)系統(tǒng)的安全級(jí)別依賴于該系統(tǒng)存在的風(fēng)險(xiǎn)水平，即風(fēng)險(xiǎn)因子（RISKINDEX）”，“還存在影響安全風(fēng)險(xiǎn)的其他諸如任務(wù)關(guān)鍵性、所需拒絕服務(wù)保護(hù)和威脅的嚴(yán)重性等因素?！钡谑?yè)，共三十四頁(yè)，2022年，8月28日一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐（二）、20世紀(jì)80年代末至90年代中期是信息安全風(fēng)險(xiǎn)管理實(shí)踐和理論走向初步成熟的階段

1989年美國(guó)率先建立了計(jì)算機(jī)應(yīng)急組織，次年，建立了信息安全事件應(yīng)急國(guó)際論壇（FIRST）。

1992年美國(guó)國(guó)防部建立了漏洞分析與評(píng)估計(jì)劃。

1994年美國(guó)國(guó)家安全局等組織構(gòu)成的聯(lián)合委員會(huì)明確提出，美國(guó)國(guó)家信息安全必須建立在風(fēng)險(xiǎn)管理的基礎(chǔ)上。第十一頁(yè)，共三十四頁(yè)，2022年，8月28日一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐（二）、20世紀(jì)80年代末至90年代中期是信息安全風(fēng)險(xiǎn)管理實(shí)踐和理論走向初步成熟的階段

1995年9月至1996年4月，美國(guó)總審計(jì)局為因應(yīng)國(guó)會(huì)“加強(qiáng)信息安全、降低信息戰(zhàn)威脅”的要求，對(duì)美國(guó)國(guó)防系統(tǒng)的信息系統(tǒng)進(jìn)行了大規(guī)模風(fēng)險(xiǎn)評(píng)估，于1996年5月發(fā)表了名為《信息安全—針對(duì)國(guó)防部的計(jì)算機(jī)攻擊正構(gòu)成日益增大的風(fēng)險(xiǎn)》的報(bào)告。第十二頁(yè)，共三十四頁(yè)，2022年，8月28日

1995年12月美國(guó)國(guó)防部提出了信息安全的動(dòng)態(tài)模型，即“防護(hù)—監(jiān)測(cè)—反應(yīng)”多環(huán)節(jié)保障體系，后通稱“PDR模型”。

1990年，歐洲英、法、德、荷四國(guó)著手制定了共同的信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)（ITSEC），強(qiáng)調(diào)要把信息系統(tǒng)實(shí)用環(huán)境中的威脅與風(fēng)險(xiǎn)納入評(píng)估視野。加拿大也制定了本國(guó)的信息安全測(cè)評(píng)標(biāo)準(zhǔn)。一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐（二）、20世紀(jì)80年代末至90年代中期是信息安全風(fēng)險(xiǎn)管理實(shí)踐和理論走向初步成熟的階段第十三頁(yè)，共三十四頁(yè)，2022年，8月28日一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐（二）、20世紀(jì)80年代末至90年代中期是信息安全風(fēng)險(xiǎn)管理實(shí)踐和理論走向初步成熟的階段

1993年歐美六個(gè)國(guó)家又啟動(dòng)了建立共同評(píng)測(cè)標(biāo)準(zhǔn)（即后來(lái)的CC標(biāo)準(zhǔn)）的計(jì)劃。這個(gè)期間英國(guó)自己還研發(fā)了基于風(fēng)險(xiǎn)管理的BS7799信息安全管理標(biāo)準(zhǔn)，澳大利亞和新西蘭制定了共同的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)AS/NES4360。此外，荷蘭、德國(guó)、挪威等國(guó)也制定了相應(yīng)的本國(guó)標(biāo)準(zhǔn)。所有這些標(biāo)準(zhǔn)，都強(qiáng)調(diào)風(fēng)險(xiǎn)評(píng)估和管理的重要性、基礎(chǔ)性作用。第十四頁(yè)，共三十四頁(yè)，2022年，8月28日一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐（二）、20世紀(jì)80年代末至90年代中期是信息安全風(fēng)險(xiǎn)管理實(shí)踐和理論走向初步成熟的階段

1997年12月，美國(guó)國(guó)防部發(fā)表了《信息技術(shù)安全認(rèn)證和批準(zhǔn)程序》（DITSCAP），成為美國(guó)涉密信息系統(tǒng)的安全評(píng)估和風(fēng)險(xiǎn)管理的重要標(biāo)準(zhǔn)和依據(jù)。第十五頁(yè)，共三十四頁(yè)，2022年，8月28日一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐（三）、20世紀(jì)90年代末，國(guó)際范圍的風(fēng)險(xiǎn)管理實(shí)踐與理論進(jìn)入第三個(gè)階段，即全球化階段

由于90年代以來(lái)因特網(wǎng)、移動(dòng)通信和跨國(guó)光纜的高速發(fā)展，各國(guó)原本局限于本國(guó)內(nèi)的信息網(wǎng)絡(luò)迅速跨越國(guó)境連成一片。與此同時(shí)，信息安全也成為世界各國(guó)面臨的共同挑戰(zhàn)。。第十六頁(yè)，共三十四頁(yè)，2022年，8月28日一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐（三）、20世紀(jì)90年代末，國(guó)際范圍的風(fēng)險(xiǎn)管理實(shí)踐與理論進(jìn)入第三個(gè)階段，即全球化階段

在共同需求的驅(qū)動(dòng)下，1996年國(guó)際標(biāo)準(zhǔn)組織發(fā)布了ISO/IECTR13335標(biāo)準(zhǔn)即《信息技術(shù)安全管理指南》。1999年發(fā)布了ISO/IEC15408標(biāo)準(zhǔn)即《信息技術(shù)安全評(píng)估共同準(zhǔn)則》（CC標(biāo)準(zhǔn)）。2000年又發(fā)布了ISO/IEC177799即《信息技術(shù)信息安全管理實(shí)用規(guī)則》。

第十七頁(yè)，共三十四頁(yè)，2022年，8月28日一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐（三）、20世紀(jì)90年代末，國(guó)際范圍的風(fēng)險(xiǎn)管理實(shí)踐與理論進(jìn)入第三個(gè)階段，即全球化階段

國(guó)際標(biāo)準(zhǔn)的出臺(tái)，反過(guò)來(lái)又推動(dòng)了各國(guó)自身風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)研發(fā)的進(jìn)程。例如美國(guó)，從90年代末開(kāi)始，在風(fēng)險(xiǎn)管理相關(guān)標(biāo)準(zhǔn)的制定上掀起了一個(gè)新高潮，僅NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)局）近幾年制定的與風(fēng)險(xiǎn)管理相關(guān)的標(biāo)準(zhǔn)就達(dá)十多個(gè)。

第十八頁(yè)，共三十四頁(yè)，2022年，8月28日一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐（三）、20世紀(jì)90年代末，國(guó)際范圍的風(fēng)險(xiǎn)管理實(shí)踐與理論進(jìn)入第三個(gè)階段，即全球化階段

美國(guó)國(guó)防部于2002年發(fā)布了《信息（安全）保障》指令（8500·1），于2003年發(fā)布了《信息（安全）保障實(shí)現(xiàn)》指令（8500·2）兩個(gè)文件，作為國(guó)防系統(tǒng)安全評(píng)估也包括風(fēng)險(xiǎn)管理的依據(jù)。第十九頁(yè)，共三十四頁(yè)，2022年，8月28日一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐（三）、20世紀(jì)90年代末，國(guó)際范圍的風(fēng)險(xiǎn)管理實(shí)踐與理論進(jìn)入第三個(gè)階段，即全球化階段基中正式發(fā)布的此類標(biāo)準(zhǔn)主要有：SP800—26信息技術(shù)系統(tǒng)安全自評(píng)估指南（2001年）SP800—30信息技術(shù)系統(tǒng)風(fēng)險(xiǎn)管理指南（2002年）SP800—51CVE使用和漏洞命名法（2002年）等等。第二十頁(yè)，共三十四頁(yè)，2022年，8月28日關(guān)于信息安全風(fēng)險(xiǎn)管理理論與實(shí)踐發(fā)展的一些思考一、信息安全風(fēng)險(xiǎn)管理理論來(lái)源于信息安全實(shí)踐二、我國(guó)信息安全實(shí)踐對(duì)風(fēng)險(xiǎn)管理理論提出了新問(wèn)題、新要求三、信息安全風(fēng)險(xiǎn)管理上存在的問(wèn)題只能靠信息安全實(shí)踐來(lái)解決第二十一頁(yè)，共三十四頁(yè)，2022年，8月28日二、我國(guó)信息安全實(shí)踐對(duì)風(fēng)險(xiǎn)管理理論提出了新問(wèn)題、新要求20世紀(jì)90年代以來(lái)，隨著經(jīng)濟(jì)全球化和世界科技革命，我國(guó)的信息技術(shù)、信息產(chǎn)業(yè)和信息網(wǎng)絡(luò)蓬勃發(fā)展。信息安全日益突出，風(fēng)險(xiǎn)管理的重要性空前彰顯。

2002年我國(guó)在863計(jì)劃中首次規(guī)劃了《系統(tǒng)安全風(fēng)險(xiǎn)分析和評(píng)估方法研究》課題

。第二十二頁(yè)，共三十四頁(yè)，2022年，8月28日二、我國(guó)信息安全實(shí)踐對(duì)風(fēng)險(xiǎn)管理理論提出了新問(wèn)題、新要求2003年8月至今年在國(guó)信辦直接指導(dǎo)下，組成了風(fēng)險(xiǎn)評(píng)估課題組，開(kāi)展了系統(tǒng)的風(fēng)險(xiǎn)評(píng)估和管理理論研究。這期間，我國(guó)一些國(guó)家研究機(jī)構(gòu)、大專院校、民營(yíng)企業(yè)、外資企業(yè)、向國(guó)內(nèi)介紹了美、英等發(fā)達(dá)國(guó)家關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的理論、方法和經(jīng)驗(yàn)，為我國(guó)這個(gè)領(lǐng)域工作的開(kāi)展發(fā)揮了重要作用。第二十三頁(yè)，共三十四頁(yè)，2022年，8月28日二、我國(guó)信息安全實(shí)踐對(duì)風(fēng)險(xiǎn)管理理論提出了新問(wèn)題、新要求

但是在新形勢(shì)下，我國(guó)風(fēng)險(xiǎn)管理理論和實(shí)踐還存在不少亟待解決的問(wèn)題。根據(jù)“國(guó)信辦信息安全風(fēng)險(xiǎn)評(píng)估課題組”去年年底至今年年初進(jìn)行調(diào)研中接觸到的情況，我認(rèn)為可以歸納為如下五個(gè)方面的問(wèn)題：第二十四頁(yè)，共三十四頁(yè)，2022年，8月28日二、我國(guó)信息安全實(shí)踐對(duì)風(fēng)險(xiǎn)管理理論提出了新問(wèn)題、新要求（一）、絕對(duì)安全的觀念束縛著風(fēng)險(xiǎn)管理思想的樹(shù)立（二）、主觀上風(fēng)險(xiǎn)意識(shí)談薄影響著對(duì)我國(guó)在信息安全上面臨高風(fēng)險(xiǎn)形勢(shì)的認(rèn)識(shí)（三）、現(xiàn)代信息網(wǎng)絡(luò)已成為復(fù)雜系統(tǒng)，現(xiàn)有的風(fēng)險(xiǎn)管理理論和手段難以完全滿足有關(guān)要求（四）、風(fēng)險(xiǎn)管理理論研究與信息安全實(shí)踐結(jié)合不夠緊密（五）、現(xiàn)有的風(fēng)險(xiǎn)評(píng)估、管理理論和方法有待完善第二十五頁(yè)，共三十四頁(yè)，2022年，8月28日二、我國(guó)信息安全實(shí)踐對(duì)風(fēng)險(xiǎn)管理理論提出了新問(wèn)題、新要求（一）、絕對(duì)安全的觀念束縛著風(fēng)險(xiǎn)管理思想的樹(shù)立

但信息安全保密實(shí)踐歷史告訴我們，安全保密是一個(gè)動(dòng)態(tài)過(guò)程，安全事件是一種隨機(jī)事件，很難做到百分之百安全。祈求“絕對(duì)安全”將在人力物力上付出極大代價(jià)，造成嚴(yán)重浪費(fèi)。第二十六頁(yè)，共三十四頁(yè)，2022年，8月28日二、我國(guó)信息安全實(shí)踐對(duì)風(fēng)險(xiǎn)管理理論提出了新問(wèn)題、新要求（二）、主觀上風(fēng)險(xiǎn)意識(shí)談薄影響著對(duì)我國(guó)在信息安全上面臨高風(fēng)險(xiǎn)形勢(shì)的認(rèn)識(shí)

一些有關(guān)人員風(fēng)險(xiǎn)意識(shí)談薄，信息安全知識(shí)不足，卻津津樂(lè)道“太平盛世”，雙耳不聞“盛世危言”，甚至認(rèn)為，談風(fēng)險(xiǎn)是“杞人憂天”，說(shuō)安全是“天下本無(wú)事庸人自擾之”。這些都嚴(yán)重影響了正確認(rèn)識(shí)形勢(shì)，樹(shù)立信息安全風(fēng)險(xiǎn)觀念。第二十七頁(yè)，共三十四頁(yè)，2022年，8月28日二、我國(guó)信息安全實(shí)踐對(duì)風(fēng)險(xiǎn)管理理論提出了新問(wèn)題、新要求（三）、現(xiàn)代信息網(wǎng)絡(luò)已成為復(fù)雜系統(tǒng)，現(xiàn)有的風(fēng)險(xiǎn)管理理論和手段難以完全滿足有關(guān)要求

信息系統(tǒng)在規(guī)模上日益龐大，網(wǎng)絡(luò)結(jié)構(gòu)越來(lái)越復(fù)雜。這樣的復(fù)雜型系統(tǒng)進(jìn)行有效地風(fēng)險(xiǎn)分析、評(píng)估和管理，需要更先進(jìn)的理論和手段，現(xiàn)有的理論難以充分滿足其要求。第二十八頁(yè)，共三十四頁(yè)，2022年，8月28日二、我國(guó)信息安全實(shí)踐對(duì)風(fēng)險(xiǎn)管理理論提出了新問(wèn)題、新要求（四）、風(fēng)險(xiǎn)管理理論研究與信息安全實(shí)踐結(jié)合不夠緊密

在信息安全實(shí)踐中主動(dòng)結(jié)合風(fēng)險(xiǎn)管理理論不夠。近幾年由一批留學(xué)人員、民營(yíng)企業(yè)將系統(tǒng)的風(fēng)險(xiǎn)評(píng)估理論帶回國(guó)內(nèi)，引起有關(guān)部門(mén)重視。第二十九頁(yè)，共三十四頁(yè)，2022年，8月28日二、我國(guó)信息安全實(shí)踐對(duì)風(fēng)險(xiǎn)管理理論提出了新問(wèn)題、新要求（五