计算机信息安全风险管理发展展望

　　一、引言

　　计算机信息技术在促进交流、助力生产、提升效率等方面业已产生了惊人效果，对世界发展和全球化进程具有不可替代的作用，已经潜移默化、无孔不入地改变了人们的工作方式、生活方式、学习方式，如今无论是在个体层面，还是在国家层面，计算机信息网络的影响和应用均愈来愈广。但与此同时，对于计算机信息网络的个体依赖性和社会依赖性愈来愈大，计算机信息网络中稍有脆弱、稍生紊乱，则在很短时间之内便会产生个体性安全威胁和整体性安全威胁。因此，计算机信息安全在个体生活、可持续发展、信息化网络的正常运行、国家安全、社会经济等方面均有异常重要的意义，必须对计算机信息安全进行风险管理的理论和实践探索，摸索出最具实用性、最能商业化、最有科学性的预防计算机信息风险的成果，从而使得计算机信息网络体系的风险出现几率和扩散几率降到极限，从而有效维护国家安全、经济安全和社会安全。

　　二、计算机信息安全风险管理的初期发展

　　当代计算机信息安全的风险管理是建立在相关理论基础之上的。其理论主要源于风险管理理论。而风险管理理论发源于二十世纪六七十年代的西方国家，主要目的是从战略层面维护经济安全和市场安全，当然对于国家安全也有一定意义，不过，最初的风险管理理论主要基于经济考量、市场考量而生。如今，风险管理理论已经发展到颇为成熟的境地，适用范围扩展到各种领域和各行各业，对于计算机信息安全的风险管理理论的萌生和发展具有异常重要的作用。

　　在二十世纪六十年代，早期计算机网络萌生并应用于某些社会领域，计算机资源共享领域的问题与日俱增，计算机信息安全问题渐次凸显出来。面对此种状况，美国国防科学委员会委托迈特公司、兰德公司等知名企业、机构对计算机信息网络安全问题进行历经数年之久的研究，最后，于1970年提交了相关报告。美国在此报告的基础之上，参考风险管理理论，对计算机信息安全制订了系列标准，如1974年制定的FIPS PUB 31,即自动数据处理系统的物理性安全和风险管理指南。后来，在二十世纪八十年代，美国国防部国安局又制订了一系列的关于计算机信息安全的标准，如TIVI,即《可信网络之解释》等，此后，美国相关部门又陆续推出一些关于计算机信息安全的标准。这些标准被称为“彩虹系列”,被很多国家通用，为世界计算机信息安全作出了重大贡献，为计算机信息安全的风险管理奠定了理论基础、技术基础和实践基础。

　　三、计算机信息安全风险管理体系的渐趋成熟

　　美国推出关于计算机信息安全风险管理的“彩虹系列”之后，计算机普及速度与日俱增，计算机网络民用技术也不断发展，不仅为计算机信息安全风险管理的进一步完善提出了新的要求，也为计算机信息安全风险管理的不断成熟创造了客观条件。美国陆续推出了有关计算机信息安全风险管理的组织、论坛，更为详细和完备的计算机信息安全风险管理理论应运而生。如，由美国国防部牵头，制订了有关计算机信息安全漏洞防护的评估分析标准，并将风险管理理论置于美国国家信息安全理论的基础地位，以“信息战”的战略高度来衡量、构建计算机国家安全风险管理理论体系，推出了“PDR模型”.随后，基于“PDR模型”的计算机信息风险管理理论体系在国际层面被推向一个新的应用广度和理性高度。在1990年，欧洲出台了TT SEC标准，并于1993年与美国等美洲国家联合推出了一个横跨大洋和大洲的计算机信息安全风险管理理论体系，后来，这一体系发展成为CC标准。随着计算机信息安全风险管理理论体系的国际标准的构建不断完善，更为系统化、大众化的国际计算机信息安全风险管理理论体系和标准不断推出，更为注重实践性、通俗化和时效性，为计算机信息安全风险管理理论体系的个性化运用奠定了强大基础，CCC等标准陆续问世，通过BS7799认证的相关计算机信息网络公司不断增多。

　　四、计算机信息安全风险管理在我国的发展趋势和主要问题

　　作为一名中国研究者，必然关注计算机信息安全风险管理对我国的影响。我国自二十世纪九十年代逐渐开始普及计算机，因此在此时开始重视计算机信息安全风险管理的引进、应用和创新。随着计算机在我国各个领域迅速普及，计算机信息安全风险管理的重要性愈来愈受重视。我国政府顺应这一潮流，从战略高度、应用高度、防范高度对计算机信息安全风险管理展开系统化研究，取得了一系列的丰硕成果，计算机信息安全风险管理的重要性不断为社会所认知，所重视，不少科研机构、着名国内企业、高等院校开始引入计算机信息安全风险管理，有力促进了我国计算机信息安全风险的积极管控。

　　然而，必须看到，我国计算机信息安全风险管理虽然取得了较大的发展成绩，但是，我国计算机事业毕竟起步很晚，因此，计算机信息安全风险管理体系的应用和建设还存在不少的不足之处。譬如，由于我国国情较为特殊，一些党政机关部门对于计算机信息安全要求较高，但这样的高要求，与民间计算机信息安全风险管理的标准不相匹配。而且，我国政府部门对于国际计算机信息安全风险管理理论体系还只是停留在照抄照搬的阶段，不能将理论与实践密切结合，不能对国际计算机信息安全风险管理理论体系进行有效的国情化、地域化、单位化、个体化的引用。诸如此类的问题，应引起我国政府相关部门和我国计算机行业人员的高度重视。

　　参考文献

　　[1] 王海源，商尔从，张永强。多元化的信息安全管理[J].中国教育网络，2008,（9）：43.

　　[2] 张灼，张勇。信息系统安全与风险管理之我见[J].信息技术与信息化，2009,（3）：23-25.

　　[3] 金永琦。互联网电子商务系统及其信息安全[D].北京邮电大学，2010.

　　[4] 孔宪平。对推行安全风险管理的调研与思考[J].理论学习与探索，2012（，3）：58-59.

　　[5] 付亚新。安全风险管理应抓好三要素分析[J].黑龙江科技信息，2014,（18）283.