信息安全风险评估方法研究

提出信息安全风险评估的概念,论述当前在信息安全风险评估领域中应用的主要方法以及今后的发展方向。

维普资讯 http://

总第 14期 5 20年第 4 06期

舰船电子工程Shp Elc rnc En i￣ rn i e to i gn ig

V0 . 6 NO. 12 4

6 5

信息安全风险评估方法研究杜辉刘霞汪厚祥武汉 40 3 ) 30 3

(海军工程大学计算机工程系摘要

提出信息安全风险评估的概念，论述当前在信息安全风险评估领域中应用的主要方法以及今后的发展方向。 信息安全风险评估；基于知识；定性；定量；于模型； C A E基 O TVT 39 P 0

关键词

中图分类号

Re e r h l I o ma i n S c r t Rik As e s ntM eho s s a c Ol nf r to e u i y s s s me t d

Du Hu Lh a W a g Ho a g i l Xi n md n

( o pt n eI gD pr et N vl n esyo ni ei,Wua 403 ) C m u r ne n eat n, aa U vrt f g er g eE i m i i E n n hn 303 A s at T i ppr rl r i sh ocp o t fm tns ui s ss et hniseie em j pr ce bt c h ae fsypo d ecnet fh io a o e r rka es n.Te pc st a r po hs r s t i vet enr i c ti s m y t i f h oa aan.

d a o sbe a p cs o h i se s n . l p si l s e t fte r k as sme t l s Ke y w ifr t n sc r s s e s n,k o ld e—b s d,q ai t e u ni t e no ma o e u i r k a ssme t n w e g i y ti ae u l a v,q a t i,m d l b s d, C ti a t v o e— ae O TAV E

Cls u￣r T 3 9 a sn ml P 0

组织内部的敏感信息被入侵者偷看，导致这种

1引言 随着网络技术运用的日益广泛，息安全问题信

状况有几种原因，寻径错误的电子邮件、置错如配误的访问控制列表，没有严格地设置好不同用户的

访问权限等等 () 4信息删除有时网管员对安全权限设置不当，导致某些怀

越来越多地受到人们的关注。信息系统自身以及与信息

系统相连的网络环境的特点与局限性决定

了信息系统的发展和应用将遭受各方面的威胁。 信息系统面临的威胁是多种多样的，种威胁可能这是恶意的，也可能是非恶意的 (因失误而造成的如

有恶意的人故意破坏信息机密的完整性以及向竞争对手故意泄露商业机密等等。 因此，必要对信息系统面临的风险进行评有估。通过开展信息安全风险评估工作，可以发现信息系统安全存在的主要问题和矛盾，到相应的解找决办法。

事故 )恶意的危险又分为理智型的 (如故意窃取；机密 )和非理智型的(如毁坏系统数据 )。总的说来，比较典型的威胁主要包括如下几个方面：( )硬件设计故障导致网络瘫痪 1软

如防火墙意外瘫痪而导致失效，以致安全设置形同虚设；由于内外部人员同时访问导致服务器负载过大以致死机、严重者导致数据丢失等等。 ( )客人侵 2黑一

2信息安全风险评估的概念风险评估是对信息系统面临的威胁、在的弱存

点、造成的影响，以及三者综合作用而带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

些不怀好意的人强行闯入系统实施破坏；冒

充合法的用户进入系统内部，偷盗机密信息等。 ( )感信息泄露 3敏

收稿 1:06年 2 1修回日期：06年 2 2 3期 20月 31 3, 20月 21 3