关于信息安全风险管理.ppt

关于信息安全风险管理理论与实践发展的一些思考,崔书昆二00四年十月十二日,关于信息安全风险管理理论与实践发展的一些思考,一、信息安全风险管理理论来源于信息安全实践,二、我国信息安全实践对风险管理理论提出了新问题、新要求,三、信息安全风险管理上存在的问题只能靠信息安全实践来解决,关于信息安全风险管理理论与实践发展的一些思考,一、信息安全风险管理理论来源于信息安全实践,二、我国信息安全实践对风险管理理论提出了新问题、新要求,三、信息安全风险管理上存在的问题只能靠信息安全实践来解决,一、信息安全风险管理理论来源于信息安全实践,风险管理（Riskmanagement）包括风险识别、风险分析、风险评估和风险控制等内容。,国外许多专家认为，风险管理是信息安全的基础工作和核心任务之一，是最有效的一种措施，是保证信息安全投资回报率优化的科学方法。,现代风险管理理论产生于西方资本主义国家，它是为制定有效的经济发展战略和市场竞争策略而创造的一种理论、方法和措施。,一、信息安全风险管理理论来源于信息安全实践,风险管理理论由于它的广泛适用性、现已应用于各国社会与经济发展、国家建设、国家安全、公共安全和信息安全诸多领域。,风险管理理论应用于信息安全领域始于20世纪60年代。此后，信息安全风险管理的实践和理论的发展大体上经过了三个阶段：,一、信息安全风险管理理论来源于信息安全实践,（一）、20世纪60年代至80年代是信息安全风险管理实践与理论发展的初期阶段,（二）、20世纪80年代末至90年代中期是信息安全风险管理实践和理论走向初步成熟的阶段,（三）、20世纪90年代末，国际范围的风险管理实践与理论进入第三个阶段，即全球化阶段,一、信息安全风险管理理论来源于信息安全实践,（一）、20世纪60年代至80年代是信息安全风险管理实践与理论发展的初期阶段,20世纪60年代，随着资源共享计算机系统和早期计算机网络的出现，计算机安全问题初步显露。1967年秋，美国国防部委托兰德公司为首的多个研究机构和企业，进行了美国历史上第一次大规模的计算机安全风险评估，历时三年。1970年初出版了一个长达数百页的机密报告计算机安全控制。该报告奠定了国际安全风险评估的理论基础。,一、信息安全风险管理理论来源于信息安全实践,（一）、20世纪60年代至80年代是信息安全风险管理实践与理论发展的初期阶段,在此基础上，美国率先推出了首批关于信息安全风险管理及相关的安全评测标准。其中：第一组标准是由国家标准局(NBS)制定的，如：FIPSPUB31自动数据处理系统物理安全和风险管理指南（1974年）。FIPSPUB65自动数据处理系统风险分析指南（1979年）,一、信息安全风险管理理论来源于信息安全实践,（一）、20世纪60年代至80年代是信息安全风险管理实践与理论发展的初期阶段,第二组是由美国国防部国家安全局于1983年后陆续制定的计算机系统安全评估系列标准，主要包括可信计算机系统安全评估准则(TCSEC）、可信网络解释（TNI）、特定环境下的安全需求等等，总计约40来个各类标准。由于每个标准用不同颜色的封皮，俗称为“彩虹系列”。,一、信息安全风险管理理论来源于信息安全实践,（一）、20世纪60年代至80年代是信息安全风险管理实践与理论发展的初期阶段,这套标准建立在风险评估理论基础上。该系列中安全需求技术原理标准指出：“评估一个计算机系统的安全级别依赖于该系统存在的风险水平，即风险因子（RISKINDEX）”，“还存在影响安全风险的其他诸如任务关键性、所需拒绝服务保护和威胁的严重性等因素。”,一、信息安全风险管理理论来源于信息安全实践,（二）、20世纪80年代末至90年代中期是信息安全风险管理实践和理论走向初步成熟的阶段,1989年美国率先建立了计算机应急组织，次年，建立了信息安全事件应急国际论坛（FIRST）。1992年美国国防部建立了漏洞分析与评估计划。1994年美国国家安全局等组织构成的联合委员会明确提出，美国国家信息安全必须建立在风险管理的基础上。,一、信息安全风险管理理论来源于信息安全实践,（二）、20世纪80年代末至90年代中期是信息安全风险管理实践和理论走向初步成熟的阶段,1995年9月至1996年4月，美国总审计局为因应国会“加强信息安全、降低信息战威胁”的要求，对美国国防系统的信息系统进行了大规模风险评估，于1996年5月发表了名为信息安全针对国防部的计算机攻击正构成日益增大的风险的报告。,1995年12月美国国防部提出了信息安全的动态模型，即“防护监测反应”多环节保障体系，后通称“PDR模型”。1990年，欧洲英、法、德、荷四国着手制定了共同的信息技术安全评估标准（ITSEC），强调要把信息系统实用环境中的威胁与风险纳入评估视野。加拿大也制定了本国的信息安全测评标准。,一、信息安全风险管理理论来源于信息安全实践,（二）、20世纪80年代末至90年代中期是信息安全风险管理实践和理论走向初步成熟的阶段,一、信息安全风险管理理论来源于信息安全实践,（二）、20世纪80年代末至90年代中期是信息安全风险管理实践和理论走向初步成熟的阶段,1993年欧美六个国家又启动了建立共同评测标准（即后来的CC标准）的计划。这个期间英国自己还研发了基于风险管理的BS7799信息安全管理标准，澳大利亚和新西兰制定了共同的风险管理标准AS/NES4360。此外，荷兰、德国、挪威等国也制定了相应的本国标准。所有这些标准，都强调风险评估和管理的重要性、基础性作用。,一、信息安全风险管理理论来源于信息安全实践,（二）、20世纪80年代末至90年代中期是信息安全风险管理实践和理论走向初步成熟的阶段,1997年12月，美国国防部发表了信息技术安全认证和批准程序（DITSCAP），成为美国涉密信息系统的安全评估和风险管理的重要标准和依据。,一、信息安全风险管理理论来源于信息安全实践,（三）、20世纪90年代末，国际范围的风险管理实践与理论进入第三个阶段，即全球化阶段,由于90年代以来因特网、移动通信和跨国光缆的高速发展，各国原本局限于本国内的信息网络迅速跨越国境连成一片。与此同时，信息安全也成为世界各国面临的共同挑战。,一、信息安全风险管理理论来源于信息安全实践,（三）、20世纪90年代末，国际范围的风险管理实践与理论进入第三个阶段，即全球化阶段,在共同需求的驱动下，1996年国际标准组织发布了ISO/IECTR13335标准即信息技术安全管理指南。1999年发布了ISO/IEC15408标准即信息技术安全评估共同准则（CC标准）。2000年又发布了ISO/IEC177799即信息技术信息安全管理实用规则。,一、信息安全风险管理理论来源于信息安全实践,（三）、20世纪90年代末，国际范围的风险管理实践与理论进入第三个阶段，即全球化阶段,国际标准的出台，反过来又推动了各国自身风险管理标准研发的进程。例如美国，从90年代末开始，在风险管理相关标准的制定上掀起了一个新高潮，仅NIST（美国国家标准与技术局）近几年制定的与风险管理相关的标准就达十多个。,一、信息安全风险管理理论来源于信息安全实践,（三）、20世纪90年代末，国际范围的风险管理实践与理论进入第三个阶段，即全球化阶段,美国国防部于2002年发布了信息（安全）保障指令（85001），于2003年发布了信息（安全）保障实现指令（85002）两个文件，作为国防系统安全评估也包括风险管理的依据。,一、信息安全风险管理理论来源于信息安全实践,（三）、20世纪90年代末，国际范围的风险管理实践与理论进入第三个阶段，即全球化阶段,基中正式发布的此类标准主要有：SP80026信息技术系统安全自评估指南（2001年）SP80030信息技术系统风险管理指南（2002年）SP80051CVE使用和漏洞命名法（2002年）等等。,关于信息安全风险管理理论与实践发展的一些思考,一、信息安全风险管理理论来源于信息安全实践,二、我国信息安全实践对风险管理理论提出了新问题、新要求,三、信息安全风险管理上存在的问题只能靠信息安全实践来解决,二、我国信息安全实践对风险管理理论提出了新问题、新要求,20世纪90年代以来，随着经济全球化和世界科技革命，我国的信息技术、信息产业和信息网络蓬勃发展。信息安全日益突出，风险管理的重要性空前彰显。,2002年我国在863计划中首次规划了系统安全风险分析和评估方法研究课题。,二、我国信息安全实践对风险管理理论提出了新问题、新要求,2003年8月至今年在国信办直接指导下，组成了风险评估课题组，开展了系统的风险评估和管理理论研究。这期间，我国一些国家研究机构、大专院校、民营企业、外资企业、向国内介绍了美、英等发达国家关于信息安全风险评估、风险管理的理论、方法和经验，为我国这个领域工作的开展发挥了重要作用。,二、我国信息安全实践对风险管理理论提出了新问题、新要求,但是在新形势下，我国风险管理理论和实践还存在不少亟待解决的问题。根据“国信办信息安全风险评估课题组”去年年底至今年年初进行调研中接触到的情况，我认为可以归纳为如下五个方面的问题：,二、我国信息安全实践对风险管理理论提出了新问题、新要求,（一）、绝对安全的观念束缚着风险管理思想的树立,（二）、主观上风险意识谈薄影响着对我国在信息安全上面临高风险形势的认识,（三）、现代信息网络已成为复杂系统，现有的风险管理理论和手段难以完全满足有关要求,（四）、风险管理理论研究与信息安全实践结合不够紧密,（五）、现有的风险评估、管理理论和方法有待完善,二、我国信息安全实践对风险管理理论提出了新问题、新要求,（一）、绝对安全的观念束缚着风险管理思想的树立,但信息安全保密实践历史告诉我们，安全保密是一个动态过程，安全事件是一种随机事件，很难做到百分之百安全。祈求“绝对安全”将在人力物力上付出极大代价，造成严重浪费。,二、我国信息安全实践对风险管理理论提出了新问题、新要求,（二）、主观上风险意识谈薄影响着对我国在信息安全上面临高风险形势的认识,一些有关人员风险意识谈薄，信息安全知识不足，却津津乐道“太平盛世”，双耳不闻“盛世危言”，甚至认为，谈风险是“杞人忧天”，说安全是“天下本无事庸人自扰之”。这些都严重影响了正确认识形势，树立信息安全风险观念。,二、我国信息安全实践对风险管理理论提出了新问题、新要求,（三）、现代信息网络已成为复杂系统，现有的风险管理理论和手段难以完全满足有关要求,信息系统在规模上日益庞大，网络结构越来越复杂。这样的复杂型系统进行有效地风险分析、评估和管理，需要更先进的理论和手段，现有的理论难以充分满足其要求。,二、我国信息安全实践对风险管理理论提出了新问题、新要求,（四）、风险管理理论研究与信息安全实践结合不够紧密,在信息安全实践中主动结合风险管理理论不够。近几年由一批留学人员、民营企业将系统的风险评估理论带回国内，引起有关部门重视。,二、我国信息安全实践对风险管理理论提出了新问题、新要求,（五）、现有的风险评估、管理理论和方法有待完善,当前一些研究人员正在探讨的“网络控制论”、“自动化分析工具”和“形式化分析方法”等新理论、新方法有可能为未来的风险评估和管理提供一些新的、可借鉴的方法和工具。,关于信息安全风险管理理论与实践发展的一些思考,一、信息安全风险管理理论来源于信息安全实践,二、我国信息安全实践对风险管理理论提出了新问题、新要求,三、信息安全风险管理上存