关于信息安全风险管理理论与实践发展的一些思考.ppt

关于信息安全风险管理理论与实践发展的一些思考 一、信息安全风险管理理论来源于信息安 全实践 二、我国信息安全实践对风险管理理论提 出了新问题、新要求 三、信息安全风险管理上存在的问题只能 靠信息安全实践来解决 三、信息安全风险管理上存在的问题只能靠信息安全实践来解决 目前信息安全风险管理中存在的诸多问题也只能在实践中、发展中加以解决。 有如下五点建议： 三、信息安全风险管理上存在的问题只能靠信息安全实践来解决 （一）、把风险管理思想、理论和方法与信息系统的等 级保护工作紧密结合起来 （二）、普及风险管理知识，增强信息安全风险意识 （三）、深化风险管理理论研究，科学规范风险管理工 作体系 （四）、重视技术开发，打造新的高效的风险评估工具 （五）、加紧建设风险管理的专业队伍 关于信息安全风险管理理论与实践发展的一些思考 崔书昆 二00四年十月十二日 关于信息安全风险管理理论与实践发展的一些思考 一、信息安全风险管理理论来源于信息安 全实践 二、我国信息安全实践对风险管理理论提 出了新问题、新要求 三、信息安全风险管理上存在的问题只能 靠信息安全实践来解决 关于信息安全风险管理理论与实践发展的一些思考 一、信息安全风险管理理论来源于信息安 全实践 二、我国信息安全实践对风险管理理论提 出了新问题、新要求 三、信息安全风险管理上存在的问题只能 靠信息安全实践来解决 一、信息安全风险管理理论来源于信息安全实践 风险管理（Risk management）包括风险识别、风险分析、风险评估和风险控制等内容。 国外许多专家认为，风险管理是信息安全的基础工作和核心任务之一，是最有效的一种措施，是保证信息安全投资回报率优化的科学方法。 现代风险管理理论产生于西方资本主义国家，它是为制定有效的经济发展战略和市场竞争策略而创造的一种理论、方法和措施。 一、信息安全风险管理理论来源于信息安全实践 风险管理理论由于它的广泛适用性、现已应用于各国社会与经济发展、国家建设、国家安全、公共安全和信息安全诸多领域。 风险管理理论应用于信息安全领域始于20世纪60年代。此后，信息安全风险管理的实践和理论的发展大体上经过了三个阶段： 一、信息安全风险管理理论来源于信息安全实践 （一）、20世纪60年代至80年代是信息安全风险管理 实践与理论发展的初期阶段 （二）、20世纪80年代末至90年代中期是信息安全风 险管理实践和理论走向初步成熟的阶段 （三）、20世纪90年代末，国际范围的风险管理实践 与理论进入第三个阶段，即全球化阶段 一、信息安全风险管理理论来源于信息安全实践 （一）、20世纪60年代至80年代是信息安全风险管理实践与理论发展的初期阶段 20世纪60年代，随着资源共享计算机系统和早期计算机网络的出现，计算机安全问题初步显露。1967年秋，美国国防部委托兰德公司为首的多个研究机构和企业，进行了美国历史上第一次大规模的计算机安全风险评估，历时三年。1970年初出版了一个长达数百页的机密报告《计算机安全控制》。该报告奠定了国际安全风险评估的理论基础。 一、信息安全风险管理理论来源于信息安全实践 （一）、20世纪60年代至80年代是信息安全风险管理实践与理论发展的初期阶段 在此基础上，美国率先推出了首批关于信息安全风险管理及相关的安全评测标准。其中： 第一组标准是由国家标准局(NBS)制定的，如： FIPS PUB 31自动数据处理系统物理安全和风险管理指南（1974年）。 FIPS PUB 65自动数据处理系统风险分析指南（1979年） 一、信息安全风险管理理论来源于信息安全实践 （一）、20世纪60年代至80年代是信息安全风险管理实践与理论发展的初期阶段 第二组是由美国国防部国家安全局于1983年后陆续制定的计算机系统安全评估系列标准，主要包括《可信计算机系统安全评估准则》(TCSEC）、《可信网络解释》（TNI）、《特定环境下的安全需求》等等，总计约40来个各类标准。由于每个标准用不同颜色的封皮，俗称为“彩虹系列”。 一、信息安全风险管理理论来源于信息安全实践 （一）、20世纪60年代至80年代是信息安全风险管理实践与理论发展的初期阶段 这套标准建立在风险评估理论基础上。该系列中《安全需求技术原理》标准指出：“评估一个计算机系统的安全级别依赖于该系统存在的风险水平，即风险因子（RISK INDEX）”，“还存在影