信息安全风险评估综述（9页）.pdf

摘  要信息安全风险评估是信息系统安全工程的重要组成部分是建立信息系统安全体系的基础和前提本文分析了信息安全风险评估所涉及的主要内容包括国内外现状评估体系模型评估标准评估方法评估过程等探讨了国内外测评体系指出了目前信息安全风险评估需要解决的问题展望了信息安全风险评估的发展前景
关键词信息安全脆弱性威胁风险评估 
1  引言 
在过去的几十年时间里信息技术已经翻天地覆地改变了整个世界信息在人们的生产生活中扮演着越来越重要的角色 人类越来越依赖基于信息技术所创造出来的产品 以信息技术为基础的信息产业已经成为世界经济的重要支柱产业 信息产业的发达程度已经成为一个国家的综合国力和国际竞争力强弱的重要标志 然而人们在尽情享受信息技术带给人类巨大进步的同时 也逐渐意识到它是一把双刃剑 在该领域潘多拉盒子 已经不止一次被打开 近年来 由于信息系统安全问题所产生的损失影响不断加剧信息系统的安全问题越来越受到人们的普遍关注 它已经成为影响信息技术发展的重要因素 然而传统的事后被动单一针对出现的问题 采用一些安全防护措施并以某个问题的暂时解决为过程结束标志的信息系统安全建设已经远不能适应信息系统安全防护的发展要求 这种模式往往缺少系统的考虑 就事论事带有很大盲目性 经常是花费不少 收效甚微 造成资金 人员的巨大浪费  
信息系统安全问题单凭技术是无法得到彻底解决的 它的解决涉及到政策法规 管理标准技术等方方面面 任何单一层次上的安全措施都不可能提供真正的全方位的安全 信息系统安全问题的解决更应该站在系统工程的角度来考虑 在这项系统工程中 信息系统安
全风险评估占有重要的地位 它是信息系统安全的基础和前提  
2  风险评估概述 
信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量 是对威胁 脆弱点以及由此带来的风险大小的评估  对系统进行风险分析和评估的目的就是 了解系统目前与未来的风险所在 评估这些风险可能带来的安全威胁与影响程度 为安全策略的确定信息系统的建立及安全运行提供依据 同时通过第三方权威或者国际机构评估和认证也给用户提供了信息技术产品和系统可靠性的信心 增强产品 单位的竞争力  
信息系统风险分析和评估是一个复杂的过程 一个完善的信息安全风险评估架构应该具备相应的标准体系 技术体系 组织架构 业务体系和法律法规  
3  国内外发展现状 
国外关于信息系统安全风险评估的研究已有20多年的历史 美国加拿大等IT 发达国家于20世纪70年代和80年代建立了国家认证机构和风险评估认证体系负责研究并开发相关的评估标准 评估认证方法和评估技术 并进行基于评估标准的信息安全评估和认证 目前这些国家与