資源描述:
《信息安全風險評估綜述_馮登國》由會員上傳分享�,免費在線閱讀�����,更多相關內容在教育資源-天天文庫�����。
1�����、2004年7月通信學報Vol.25No.7第25卷第7期JOURNALOFCHINAINSTITUTEOFCOMMUNICATIONSJuly2004信息安全風險評估綜述馮登國�����,張陽,張玉清(1.信息安全國家重點實驗室(中國科學院研究生院)����,北京100039;2.中國科學院軟件研究所��,北京100080)摘要:信息安全風險評估是信息系統(tǒng)安全工程的重要組成部分�,是建立信息系統(tǒng)安全體系的基礎和前提。本文分析了信息安全風險評估所涉及的主要內容���,包括國內外現(xiàn)狀、評估體系模型���、評估標準��、評估方法����、評估過程等��,
2����、探討了國內外測評體系����,指出了目前信息安全風險評估需要*解決的問題���,展望了信息安全風險評估的發(fā)展前景�����。關鍵詞:信息安全�����;脆弱性�����;威脅�;風險評估中圖分類號:TP309文獻標識碼:A文章編號:100-436X(2004)07-0010-09SurveyofinformationsecurityriskassessmentFENGDeng-guo,ZHANGYang,ZHANGYu-qing(1.StateKeyLaboratoryofInformationSecurity(GraduateSchoolo
3��、fChineseAcademyofSciences),Beijing100039,China;2.InstituteofSoftwareofChineseAcademyofSciences,Beijing100080,China)Abstract:Intheinformationsecurityengineering,RiskAssessmentplaysanimportantpart.Itisthebasisoftheinformationsystemsecuritysystematism.Th
4���、earticlediscussesindetailthecontentsofriskassessment,forexample:presentsituation,models,standards,methods,process,thenintroducesinformationsecuritytestandevaluationsystem,finally,thepaperanalyzestheproblemsexistinginRiskAssessmentandthefutureprospect.
5���、Keywords:informationsecurity;vulnerability;risk;riskassessment1引言在過去的幾十年時間里�,信息技術已經(jīng)翻天地覆地改變了整個世界���。信息在人們的生產(chǎn)�、生活中扮演著越來越重要的角色��,人類越來越依賴基于信息技術所創(chuàng)造出來的產(chǎn)品��,以信息技術為基礎的信息產(chǎn)業(yè)已經(jīng)成為世界經(jīng)濟的重要支柱產(chǎn)業(yè)��,信息產(chǎn)業(yè)的發(fā)達程度已經(jīng)成為一個國家的綜合國力和國際競爭力強弱的重要標志����。然而人們在盡情享受信息技術帶給人類巨大進步的同時,也逐漸意識到它是一把雙刃劍�,在該領域“潘
6���、多拉盒子”已經(jīng)不止一次被打開�,近年來�����,由于信息系統(tǒng)安全問題所產(chǎn)生的損失��、影響不斷加劇,信息系統(tǒng)的安全問題越來越受到人們的普遍關注�,它已經(jīng)成為影響信息技術發(fā)展的重要因素。然而�����,傳統(tǒng)的事后���、被動��、單一�,針對出現(xiàn)的問題����,采用一些安全防護措施,并以某個問題的暫時解決為過程結收稿日期:2004-02-10基金項目:國家“973”基金資助項目(G19990358)����;國家杰出青年科學基金資助項目(60025205)第7期馮登國等:信息安全風險評估綜述·11·束標志的信息系統(tǒng)安全建設已經(jīng)遠不能適應信息系統(tǒng)安全防護
7、的發(fā)展要求��。這種模式往往缺少系統(tǒng)的考慮��,就事論事,帶有很大盲目性�,經(jīng)常是花費不少、收效甚微�����,造成資金�����、人員的巨大浪費���。信息系統(tǒng)安全問題單憑技術是無法得到徹底解決的����,它的解決涉及到政策法規(guī)�����、管理��、標準�、技術等方方面面�,任何單一層次上的安全措施都不可能提供真正的全方位的安全,信息系統(tǒng)安全問題的解決更應該站在系統(tǒng)工程的角度來考慮。在這項系統(tǒng)工程中�,信息系統(tǒng)安全風險評估占有重要的地位,它是信息系統(tǒng)安全的基礎和前提�。2風險評估概述信息系統(tǒng)的風險評估是指確定在計算機系統(tǒng)和網(wǎng)絡中每一種資源缺失或遭到破壞對整個系
8、統(tǒng)造成的預計損失數(shù)量��。是對威脅�����、脆弱點以及由此帶來的風險大小的評估�����。對系統(tǒng)進行風險分析和評估的目的就是:了解系統(tǒng)目前與未來的風險所在���,評估這些風險可能帶來的安全威脅與影響程度��,為安全策略的確定���、信息系統(tǒng)的建立及安全運行提供依據(jù)。同時通過第三方權威或者國際機構評估和認證����,也給用戶提供了信息技術產(chǎn)品和系統(tǒng)可靠性的信心,增強產(chǎn)品、單位的競爭力�����。信息系統(tǒng)風險分析和評估是一個復雜的過程�����,一個完善的信息安全風險評估架構應該具備相應的標準體系����、技術體系、組織架構�����、業(yè)務體系和法律法規(guī)��。3國內外發(fā)展
