《信息安全风险管理理论优秀课件.ppt》由会员分享,可在线阅读,更多相关《信息安全风险管理理论优秀课件.ppt(34页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全风险管理理论第1页,本讲稿共34页关于信息安全风险管理理论与实践发展的一些思考关于信息安全风险管理理论与实践发展的一些思考一、信息安全风险管理理论来源于信息安一、信息安全风险管理理论来源于信息安 全实践全实践二、我国信息安全实践对风险管理理论提二、我国信息安全实践对风险管理理论提 出了新问题、新要求出了新问题、新要求三、信息安全风险管理上存在的问题只能三、信息安全风险管理上存在的问题只能 靠信息安全实践来解决靠信息安全实践来解决第2页,本讲稿共34页关于信息安全风险管理理论与实践发展的一些思考关于信息安全风险管理理论与实践发展的一些思考一、信息安全风险管理理论来源于信息安一、信息安全风
2、险管理理论来源于信息安 全实践全实践二、我国信息安全实践对风险管理理论提二、我国信息安全实践对风险管理理论提 出了新问题、新要求出了新问题、新要求三、信息安全风险管理上存在的问题只能三、信息安全风险管理上存在的问题只能 靠信息安全实践来解决靠信息安全实践来解决第3页,本讲稿共34页一、信息安全风险管理理论来源于信息安全实践一、信息安全风险管理理论来源于信息安全实践风险管理(风险管理(Risk managementRisk management)包括风险识别、风险分)包括风险识别、风险分析、风险评估和风险控制等内容。析、风险评估和风险控制等内容。国外许多专家认为,风险管理是信息安全的基础工国外许
3、多专家认为,风险管理是信息安全的基础工作和核心任务之一,是最有效的一种措施,是保证作和核心任务之一,是最有效的一种措施,是保证信息安全投资回报率优化的科学方法。信息安全投资回报率优化的科学方法。现代风险管理理论产生于西方资本主义国家,它是为现代风险管理理论产生于西方资本主义国家,它是为制定有效的经济发展战略和市场竞争策略而创造的一制定有效的经济发展战略和市场竞争策略而创造的一种理论、方法和措施。种理论、方法和措施。第4页,本讲稿共34页一、信息安全风险管理理论来源于信息安全实践一、信息安全风险管理理论来源于信息安全实践风险管理理论由于它的广泛适用性、现已应用于各国社会风险管理理论由于它的广泛适
4、用性、现已应用于各国社会与经济发展、国家建设、国家安全、公共安全和信息安全与经济发展、国家建设、国家安全、公共安全和信息安全诸多领域。诸多领域。风险管理理论应用于信息安全领域始于风险管理理论应用于信息安全领域始于2020世纪世纪6060年代。此后,信息安全风险管理的实践和理论的发展年代。此后,信息安全风险管理的实践和理论的发展大体上经过了三个阶段:大体上经过了三个阶段:第5页,本讲稿共34页一、信息安全风险管理理论来源于信息安全实践一、信息安全风险管理理论来源于信息安全实践(一)、(一)、2020世纪世纪6060年代至年代至8080年代是信息安全风险管理年代是信息安全风险管理 实践与理论发展的
5、初期阶段实践与理论发展的初期阶段(二)、(二)、2020世纪世纪8080年代末至年代末至9090年代中期是信息安全风年代中期是信息安全风 险管理实践和理论走向初步成熟的阶段险管理实践和理论走向初步成熟的阶段(三)、(三)、2020世纪世纪9090年代末,国际范围的风险管理实践年代末,国际范围的风险管理实践 与理论进入第三个阶段,即全球化阶段与理论进入第三个阶段,即全球化阶段第6页,本讲稿共34页一、信息安全风险管理理论来源于信息安全实践一、信息安全风险管理理论来源于信息安全实践(一)、(一)、2020世纪世纪6060年代至年代至8080年代是信息安全风险管理实践与理年代是信息安全风险管理实践与
6、理论发展的初期阶段论发展的初期阶段 2020世纪世纪6060年代,随着资源共享计算机系统和早期年代,随着资源共享计算机系统和早期计算机网络的出现,计算机安全问题初步显露。计算机网络的出现,计算机安全问题初步显露。19671967年秋,美国国防部委托兰德公司为首的多个研究机构和企年秋,美国国防部委托兰德公司为首的多个研究机构和企业,进行了美国历史上第一次大规模的计算机安全风险评业,进行了美国历史上第一次大规模的计算机安全风险评估,历时三年。估,历时三年。19701970年初出版了一个长达数百页的机密报年初出版了一个长达数百页的机密报告告计算机安全控制计算机安全控制。该报告奠定了国际安全风险。该报
7、告奠定了国际安全风险评估的理论基础。评估的理论基础。第7页,本讲稿共34页一、信息安全风险管理理论来源于信息安全实践一、信息安全风险管理理论来源于信息安全实践(一)、(一)、2020世纪世纪6060年代至年代至8080年代是信息安全风险管理实践与理论年代是信息安全风险管理实践与理论发展的初期阶段发展的初期阶段 在此基础上,美国率先推出了首批关于信息安全风险在此基础上,美国率先推出了首批关于信息安全风险管理及相关的安全评测标准。其中:管理及相关的安全评测标准。其中:第一组标准是由国家标准局第一组标准是由国家标准局(NBS)(NBS)制定的,如:制定的,如:FIPS PUB 31FIPS PUB
8、31自动数据处理系统物理安全和风险管理指自动数据处理系统物理安全和风险管理指南(南(19741974年)。年)。FIPS PUB 65FIPS PUB 65自动数据处理系统风险分析指南(自动数据处理系统风险分析指南(19791979年)年)第8页,本讲稿共34页一、信息安全风险管理理论来源于信息安全实践一、信息安全风险管理理论来源于信息安全实践(一)、(一)、2020世纪世纪6060年代至年代至8080年代是信息安全风险管理实践与理论发展年代是信息安全风险管理实践与理论发展的初期阶段的初期阶段 第二组是由美国国防部国家安全局于第二组是由美国国防部国家安全局于19831983年后陆续年后陆续制定
9、的计算机系统安全评估系列标准,主要包括制定的计算机系统安全评估系列标准,主要包括可可信计算机系统安全评估准则信计算机系统安全评估准则(TCSEC(TCSEC)、)、可信网络解可信网络解释释(TNITNI)、)、特定环境下的安全需求特定环境下的安全需求等等,总计等等,总计约约4040来个各类标准。由于每个标准用不同颜色的封皮,俗称来个各类标准。由于每个标准用不同颜色的封皮,俗称为为“彩虹系列彩虹系列”。第9页,本讲稿共34页一、信息安全风险管理理论来源于信息安全实践一、信息安全风险管理理论来源于信息安全实践(一)、(一)、2020世纪世纪6060年代至年代至8080年代是信息安全风险管理实践与理
10、论年代是信息安全风险管理实践与理论发展的初期阶段发展的初期阶段 这套标准建立在风险评估理论基础上。该系列中这套标准建立在风险评估理论基础上。该系列中安全需求技术原理安全需求技术原理标准指出:标准指出:“评估一个计算机系评估一个计算机系统的安全级别依赖于该系统存在的风险水平,即风险统的安全级别依赖于该系统存在的风险水平,即风险因子(因子(RISK INDEXRISK INDEX)”,“还存在影响安全风险的其他诸还存在影响安全风险的其他诸如任务关键性、所需拒绝服务保护和威胁的严重性等因素。如任务关键性、所需拒绝服务保护和威胁的严重性等因素。”第10页,本讲稿共34页一、信息安全风险管理理论来源于信
11、息安全实践一、信息安全风险管理理论来源于信息安全实践(二)、(二)、2020世纪世纪8080年代末至年代末至9090年代中期是信息安全风险管理实践年代中期是信息安全风险管理实践和理论走向初步成熟的阶段和理论走向初步成熟的阶段 19891989年美国率先建立了计算机应急组织,次年,建立年美国率先建立了计算机应急组织,次年,建立了信息安全事件应急国际论坛(了信息安全事件应急国际论坛(FIRSTFIRST)。)。19921992年美国国防部建立了漏洞分析与评估计划。年美国国防部建立了漏洞分析与评估计划。19941994年美国国家安全局等组织构成的联合委员会明年美国国家安全局等组织构成的联合委员会明确
12、提出,美国国家信息安全必须建立在风险管理的基础确提出,美国国家信息安全必须建立在风险管理的基础上。上。第11页,本讲稿共34页一、信息安全风险管理理论来源于信息安全实践一、信息安全风险管理理论来源于信息安全实践(二)、(二)、2020世纪世纪8080年代末至年代末至9090年代中期是信息安全风险管理实践和年代中期是信息安全风险管理实践和理论走向初步成熟的阶段理论走向初步成熟的阶段 19951995年年9 9月至月至19961996年年4 4月,美国总审计局为因应国会月,美国总审计局为因应国会“加强信息安全、降低信息战威胁加强信息安全、降低信息战威胁”的要求,对美国国防的要求,对美国国防系统的信
13、息系统进行了大规模风险评估,于系统的信息系统进行了大规模风险评估,于19961996年年5 5月月发表了名为发表了名为信息安全信息安全针对国防部的计算机攻击正构成针对国防部的计算机攻击正构成日益增大的风险日益增大的风险的报告。的报告。第12页,本讲稿共34页 19951995年年1212月美国国防部提出了信息安全的动态模型,即月美国国防部提出了信息安全的动态模型,即“防护防护监测监测反应反应”多环节保障体系,后通称多环节保障体系,后通称“PDRPDR模模型型”。19901990年,欧洲英、法、德、荷四国着手制定了共同的信年,欧洲英、法、德、荷四国着手制定了共同的信息技术安全评估标准(息技术安全
14、评估标准(ITSECITSEC),强调要把信息系统实用),强调要把信息系统实用环境中的威胁与风险纳入评估视野。加拿大也制定了本环境中的威胁与风险纳入评估视野。加拿大也制定了本国的信息安全测评标准。国的信息安全测评标准。一、信息安全风险管理理论来源于信息安全实践一、信息安全风险管理理论来源于信息安全实践(二)、(二)、2020世纪世纪8080年代末至年代末至9090年代中期是信息安全风险管理实年代中期是信息安全风险管理实践和理论走向初步成熟的阶段践和理论走向初步成熟的阶段第13页,本讲稿共34页一、信息安全风险管理理论来源于信息安全实践一、信息安全风险管理理论来源于信息安全实践(二)、(二)、2
15、020世纪世纪8080年代末至年代末至9090年代中期是信息安全风险管理实践年代中期是信息安全风险管理实践和理论走向初步成熟的阶段和理论走向初步成熟的阶段 19931993年欧美六个国家又启动了建立共同评测标准年欧美六个国家又启动了建立共同评测标准(即后来的(即后来的CCCC标准)的计划。这个期间英国自己还研发了基标准)的计划。这个期间英国自己还研发了基于风险管理的于风险管理的BS7799BS7799信息安全管理标准,澳大利亚和新西信息安全管理标准,澳大利亚和新西兰制定了共同的风险管理标准兰制定了共同的风险管理标准AS/NES4360AS/NES4360。此外,荷兰、。此外,荷兰、德国、挪威等
16、国也制定了相应的本国标准。所有这些标准,德国、挪威等国也制定了相应的本国标准。所有这些标准,都强调风险评估和管理的重要性、基础性作用。都强调风险评估和管理的重要性、基础性作用。第14页,本讲稿共34页一、信息安全风险管理理论来源于信息安全实践一、信息安全风险管理理论来源于信息安全实践(二)、(二)、2020世纪世纪8080年代末至年代末至9090年代中期是信息安全风险管理实践年代中期是信息安全风险管理实践和理论走向初步成熟的阶段和理论走向初步成熟的阶段 19971997年年1212月,美国国防部发表了月,美国国防部发表了信息技术安全认信息技术安全认证和批准程序证和批准程序(DITSCAPDIT
17、SCAP),成为美国涉密信息系统),成为美国涉密信息系统的安全评估和风险管理的重要标准和依据。的安全评估和风险管理的重要标准和依据。第15页,本讲稿共34页一、信息安全风险管理理论来源于信息安全实践一、信息安全风险管理理论来源于信息安全实践(三)、(三)、2020世纪世纪9090年代末,国际范围的风险管理实践与理论年代末,国际范围的风险管理实践与理论进入第三个阶段,即全球化阶段进入第三个阶段,即全球化阶段 由于由于9090年代以来因特网、移动通信和跨国光缆的高年代以来因特网、移动通信和跨国光缆的高速发展,各国原本局限于本国内的信息网络迅速跨越国速发展,各国原本局限于本国内的信息网络迅速跨越国境
18、连成一片。与此同时,信息安全也成为世界各国面临境连成一片。与此同时,信息安全也成为世界各国面临的共同挑战的共同挑战。第16页,本讲稿共34页一、信息安全风险管理理论来源于信息安全实践一、信息安全风险管理理论来源于信息安全实践(三)、(三)、2020世纪世纪9090年代末,国际范围的风险管理实践与理论进入第年代末,国际范围的风险管理实践与理论进入第三个阶段,即全球化阶段三个阶段,即全球化阶段 在共同需求的驱动下,在共同需求的驱动下,19961996年国际标准组织发布了年国际标准组织发布了ISO/IEC TR 13335ISO/IEC TR 13335标准即标准即信息技术安全管理指南信息技术安全管
19、理指南。19991999年发布了年发布了ISO/IEC15408ISO/IEC15408标准即标准即信息技术安全评估共信息技术安全评估共同准则同准则(CCCC标准)。标准)。20002000年又发布了年又发布了ISO/IEC177799ISO/IEC177799即即信息技术信息安全管理实用规则信息技术信息安全管理实用规则。第17页,本讲稿共34页一、信息安全风险管理理论来源于信息安全实践一、信息安全风险管理理论来源于信息安全实践(三)、(三)、2020世纪世纪9090年代末,国际范围的风险管理实践与理论进年代末,国际范围的风险管理实践与理论进入第三个阶段,即全球化阶段入第三个阶段,即全球化阶段
20、 国际标准的出台,反过来又推动了各国自身风险国际标准的出台,反过来又推动了各国自身风险管理标准研发的进程。例如美国,从管理标准研发的进程。例如美国,从9090年代末开始,年代末开始,在风险管理相关标准的制定上掀起了一个新高潮,仅在风险管理相关标准的制定上掀起了一个新高潮,仅NISTNIST(美国国家标准与技术局)近几年制定的与风险(美国国家标准与技术局)近几年制定的与风险管理相关的标准就达十多个。管理相关的标准就达十多个。第18页,本讲稿共34页一、信息安全风险管理理论来源于信息安全实践一、信息安全风险管理理论来源于信息安全实践(三)、(三)、2020世纪世纪9090年代末,国际范围的风险管理
21、实践与理论进入第年代末,国际范围的风险管理实践与理论进入第三个阶段,即全球化阶段三个阶段,即全球化阶段 美国国防部于美国国防部于20022002年发布了年发布了信息(安全)保障信息(安全)保障指指令(令(850085001 1),于),于20032003年发布了年发布了信息(安全)保障实现信息(安全)保障实现指令(指令(850085002 2)两个文件,作为国防系统安全评估也包)两个文件,作为国防系统安全评估也包括风险管理的依据。括风险管理的依据。第19页,本讲稿共34页一、信息安全风险管理理论来源于信息安全实践一、信息安全风险管理理论来源于信息安全实践(三)、(三)、2020世纪世纪9090
22、年代末,国际范围的风险管理实践与理论进年代末,国际范围的风险管理实践与理论进入第三个阶段,即全球化阶段入第三个阶段,即全球化阶段基中正式发布的此类标准主要有:基中正式发布的此类标准主要有:SP800P8002626信息技术系统安全自评估指南(信息技术系统安全自评估指南(20012001年)年)SP800SP8003030信息技术系统风险管理指南(信息技术系统风险管理指南(20022002年)年)SP800SP80051CVE51CVE使用和漏洞命名法(使用和漏洞命名法(20022002年)等等。年)等等。第20页,本讲稿共34页关于信息安全风险管理理论与实践发展的一些思考关于信息安全风险管理理
23、论与实践发展的一些思考一、信息安全风险管理理论来源于信息安一、信息安全风险管理理论来源于信息安 全实践全实践二、我国信息安全实践对风险管理理论提二、我国信息安全实践对风险管理理论提 出了新问题、新要求出了新问题、新要求三、信息安全风险管理上存在的问题只能三、信息安全风险管理上存在的问题只能 靠信息安全实践来解决靠信息安全实践来解决第21页,本讲稿共34页二、我国信息安全实践对风险管理理论提出了新问题、新要求二、我国信息安全实践对风险管理理论提出了新问题、新要求2020世纪世纪9090年代以来,随着经济全球化和世界科技革命,年代以来,随着经济全球化和世界科技革命,我国的信息技术、信息产业和信息网
24、络蓬勃发展。信我国的信息技术、信息产业和信息网络蓬勃发展。信息安全日益突出,风险管理的重要性空前彰显。息安全日益突出,风险管理的重要性空前彰显。20022002年我国在年我国在863863计划中首次规划了计划中首次规划了系统安全风险系统安全风险分析和评估方法研究分析和评估方法研究课题课题。第22页,本讲稿共34页二、我国信息安全实践对风险管理理论提出了新问题、新要求二、我国信息安全实践对风险管理理论提出了新问题、新要求20032003年年8 8月至今年在国信办直接指导下,组成了风险评月至今年在国信办直接指导下,组成了风险评估课题组,开展了系统的风险评估和管理理论研究。这估课题组,开展了系统的风
25、险评估和管理理论研究。这期间,我国一些国家研究机构、大专院校、民营企业、期间,我国一些国家研究机构、大专院校、民营企业、外资企业、向国内介绍了美、英等发达国家关于信息安外资企业、向国内介绍了美、英等发达国家关于信息安全风险评估、风险管理的理论、方法和经验,为我国这全风险评估、风险管理的理论、方法和经验,为我国这个领域工作的开展发挥了重要作用。个领域工作的开展发挥了重要作用。第23页,本讲稿共34页二、我国信息安全实践对风险管理理论提出了新问题、新要求二、我国信息安全实践对风险管理理论提出了新问题、新要求 但是在新形势下,我国风险管理理论和实践还存在但是在新形势下,我国风险管理理论和实践还存在不
26、少亟待解决的问题。根据不少亟待解决的问题。根据“国信办信息安全风险评国信办信息安全风险评估课题组估课题组”去年年底至今年年初进行调研中接触到的去年年底至今年年初进行调研中接触到的情况,我认为可以归纳为如下五个方面的问题:情况,我认为可以归纳为如下五个方面的问题:第24页,本讲稿共34页二、我国信息安全实践对风险管理理论提出了新问题、新要求二、我国信息安全实践对风险管理理论提出了新问题、新要求(一)、绝对安全的观念束缚着风险管理思想的树立(一)、绝对安全的观念束缚着风险管理思想的树立(二)、主观上风险意识谈薄影响着对我国在信息安(二)、主观上风险意识谈薄影响着对我国在信息安 全上面临高风险形势的
27、认识全上面临高风险形势的认识(三)、现代信息网络已成为复杂系统,现有的风险(三)、现代信息网络已成为复杂系统,现有的风险 管理理论和手段难以完全满足有关要求管理理论和手段难以完全满足有关要求(四)、风险管理理论研究与信息安全实践结合不够(四)、风险管理理论研究与信息安全实践结合不够 紧密紧密(五)、现有的风险评估、管理理论和方法有待完善(五)、现有的风险评估、管理理论和方法有待完善 第25页,本讲稿共34页二、我国信息安全实践对风险管理理论提出了新问题、新要求二、我国信息安全实践对风险管理理论提出了新问题、新要求(一)、绝对安全的观念束缚着风险管理思想的树立(一)、绝对安全的观念束缚着风险管理
28、思想的树立 但信息安全保密实践历史告诉我们,安全保密是但信息安全保密实践历史告诉我们,安全保密是一个动态过程,安全事件是一种随机事件,很难做到一个动态过程,安全事件是一种随机事件,很难做到百分之百安全。祈求百分之百安全。祈求“绝对安全绝对安全”将在人力物力上付将在人力物力上付出极大代价,造成严重浪费。出极大代价,造成严重浪费。第26页,本讲稿共34页二、我国信息安全实践对风险管理理论提出了新问题、新要求二、我国信息安全实践对风险管理理论提出了新问题、新要求(二)、主观上风险意识谈薄影响着对我国在信息安全上面临高风险(二)、主观上风险意识谈薄影响着对我国在信息安全上面临高风险形势的认识形势的认识
29、 一些有关人员风险意识谈薄,信息安全知识不足,一些有关人员风险意识谈薄,信息安全知识不足,却津津乐道却津津乐道“太平盛世太平盛世”,双耳不闻,双耳不闻“盛世危言盛世危言”,甚,甚至认为,谈风险是至认为,谈风险是“杞人忧天杞人忧天”,说安全是,说安全是“天下本无天下本无事庸人自扰之事庸人自扰之”。这些都严重影响了正确认识形势,树。这些都严重影响了正确认识形势,树立信息安全风险观念。立信息安全风险观念。第27页,本讲稿共34页二、我国信息安全实践对风险管理理论提出了新问题、新要求二、我国信息安全实践对风险管理理论提出了新问题、新要求(三)、现代信息网络已成为复杂系统,现有的风险管理理论和手段难以(
30、三)、现代信息网络已成为复杂系统,现有的风险管理理论和手段难以完全满足有关要求完全满足有关要求 信息系统在规模上日益庞大,网络结构越来越复杂。信息系统在规模上日益庞大,网络结构越来越复杂。这样的复杂型系统进行有效地风险分析、评估和管理,这样的复杂型系统进行有效地风险分析、评估和管理,需要更先进的理论和手段,现有的理论难以充分满足需要更先进的理论和手段,现有的理论难以充分满足其要求。其要求。第28页,本讲稿共34页二、我国信息安全实践对风险管理理论提出了新问题、新要求二、我国信息安全实践对风险管理理论提出了新问题、新要求(四)、风险管理理论研究与信息安全实践结合不够紧密(四)、风险管理理论研究与
31、信息安全实践结合不够紧密 在信息安全实践中主动结合风险管理理论不够。在信息安全实践中主动结合风险管理理论不够。近几年由一批留学人员、民营企业将系统的风险评近几年由一批留学人员、民营企业将系统的风险评估理论带回国内,引起有关部门重视估理论带回国内,引起有关部门重视。第29页,本讲稿共34页二、我国信息安全实践对风险管理理论提出了新问题、新要求二、我国信息安全实践对风险管理理论提出了新问题、新要求(五)、现有的风险评估、管理理论和方法有待完善(五)、现有的风险评估、管理理论和方法有待完善 当前一些研究人员正在探讨的当前一些研究人员正在探讨的“网络控制论网络控制论”、“自动化分析工具自动化分析工具”
32、和和“形式化分析方法形式化分析方法”等新理论、等新理论、新方法有可能为未来的风险评估和管理提供一些新的、新方法有可能为未来的风险评估和管理提供一些新的、可借鉴的方法和工具。可借鉴的方法和工具。第30页,本讲稿共34页关于信息安全风险管理理论与实践发展的一些思考关于信息安全风险管理理论与实践发展的一些思考一、信息安全风险管理理论来源于信息安一、信息安全风险管理理论来源于信息安 全实践全实践二、我国信息安全实践对风险管理理论提二、我国信息安全实践对风险管理理论提 出了新问题、新要求出了新问题、新要求三、信息安全风险管理上存在的问题只能三、信息安全风险管理上存在的问题只能 靠信息安全实践来解决靠信息
33、安全实践来解决第31页,本讲稿共34页三、信息安全风险管理上存在的问题只能靠信息安全实践来解决三、信息安全风险管理上存在的问题只能靠信息安全实践来解决 目前信息安全风险管理中存在的诸多问题也只目前信息安全风险管理中存在的诸多问题也只能在实践中、发展中加以解决。能在实践中、发展中加以解决。有如下五点建议:有如下五点建议:第32页,本讲稿共34页三、信息安全风险管理上存在的问题只能靠信息安全实践来解决三、信息安全风险管理上存在的问题只能靠信息安全实践来解决(一)、把风险管理思想、理论和方法与信息系统的等(一)、把风险管理思想、理论和方法与信息系统的等 级保护工作紧密结合起来级保护工作紧密结合起来(二)、普及风险管理知识,增强信息安全风险意识(二)、普及风险管理知识,增强信息安全风险意识(三)、深化风险管理理论研究,科学规范风险管理工(三)、深化风险管理理论研究,科学规范风险管理工 作体系作体系 (四)、重视技术开发,打造新的高效的风险评估工具(四)、重视技术开发,打造新的高效的风险评估工具 (五)、加紧建设风险管理的专业队伍(五)、加紧建设风险管理的专业队伍第33页,本讲稿共34页更多资料,教程请到免费下载第34页,本讲稿共34页