欢迎来到天天文库
浏览记录
ID:34488604
大小:311.76 KB
页数:9页
时间:2019-03-06
《信息安全风险评估综述_冯登国》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、2004年7月通信学报Vol.25No.7第25卷第7期JOURNALOFCHINAINSTITUTEOFCOMMUNICATIONSJuly2004信息安全风险评估综述冯登国,张阳,张玉清(1.信息安全国家重点实验室(中国科学院研究生院),北京100039;2.中国科学院软件研究所,北京100080)摘要:信息安全风险评估是信息系统安全工程的重要组成部分,是建立信息系统安全体系的基础和前提。本文分析了信息安全风险评估所涉及的主要内容,包括国内外现状、评估体系模型、评估标准、评估方法、评估过程等,
2、探讨了国内外测评体系,指出了目前信息安全风险评估需要*解决的问题,展望了信息安全风险评估的发展前景。关键词:信息安全;脆弱性;威胁;风险评估中图分类号:TP309文献标识码:A文章编号:100-436X(2004)07-0010-09SurveyofinformationsecurityriskassessmentFENGDeng-guo,ZHANGYang,ZHANGYu-qing(1.StateKeyLaboratoryofInformationSecurity(GraduateSchoolo
3、fChineseAcademyofSciences),Beijing100039,China;2.InstituteofSoftwareofChineseAcademyofSciences,Beijing100080,China)Abstract:Intheinformationsecurityengineering,RiskAssessmentplaysanimportantpart.Itisthebasisoftheinformationsystemsecuritysystematism.Th
4、earticlediscussesindetailthecontentsofriskassessment,forexample:presentsituation,models,standards,methods,process,thenintroducesinformationsecuritytestandevaluationsystem,finally,thepaperanalyzestheproblemsexistinginRiskAssessmentandthefutureprospect.
5、Keywords:informationsecurity;vulnerability;risk;riskassessment1引言在过去的几十年时间里,信息技术已经翻天地覆地改变了整个世界。信息在人们的生产、生活中扮演着越来越重要的角色,人类越来越依赖基于信息技术所创造出来的产品,以信息技术为基础的信息产业已经成为世界经济的重要支柱产业,信息产业的发达程度已经成为一个国家的综合国力和国际竞争力强弱的重要标志。然而人们在尽情享受信息技术带给人类巨大进步的同时,也逐渐意识到它是一把双刃剑,在该领域“潘
6、多拉盒子”已经不止一次被打开,近年来,由于信息系统安全问题所产生的损失、影响不断加剧,信息系统的安全问题越来越受到人们的普遍关注,它已经成为影响信息技术发展的重要因素。然而,传统的事后、被动、单一,针对出现的问题,采用一些安全防护措施,并以某个问题的暂时解决为过程结收稿日期:2004-02-10基金项目:国家“973”基金资助项目(G19990358);国家杰出青年科学基金资助项目(60025205)第7期冯登国等:信息安全风险评估综述·11·束标志的信息系统安全建设已经远不能适应信息系统安全防护
7、的发展要求。这种模式往往缺少系统的考虑,就事论事,带有很大盲目性,经常是花费不少、收效甚微,造成资金、人员的巨大浪费。信息系统安全问题单凭技术是无法得到彻底解决的,它的解决涉及到政策法规、管理、标准、技术等方方面面,任何单一层次上的安全措施都不可能提供真正的全方位的安全,信息系统安全问题的解决更应该站在系统工程的角度来考虑。在这项系统工程中,信息系统安全风险评估占有重要的地位,它是信息系统安全的基础和前提。2风险评估概述信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系
8、统造成的预计损失数量。是对威胁、脆弱点以及由此带来的风险大小的评估。对系统进行风险分析和评估的目的就是:了解系统目前与未来的风险所在,评估这些风险可能带来的安全威胁与影响程度,为安全策略的确定、信息系统的建立及安全运行提供依据。同时通过第三方权威或者国际机构评估和认证,也给用户提供了信息技术产品和系统可靠性的信心,增强产品、单位的竞争力。信息系统风险分析和评估是一个复杂的过程,一个完善的信息安全风险评估架构应该具备相应的标准体系、技术体系、组织架构、业务体系和法律法规。3国内外发展
此文档下载收益归作者所有