信息系统风险评估方法研究摘要：该文从标准、模型、知识、动态等多个角度对信息系统风险评估方法进展解析，指出了定量分析方法和定性分析方法各自的优缺点，最后对风险评估方法的开展趋势给出了一点看法。关键词：风险评估；标准；模型；知识；动态；定量分析和定性分析：TP311文献标识码：A：1009-3044(2011)23-5647-02RiskAssessmentofInformationSystemWANGFu-hua,WANGLi-jun,激ANGYuan(ChongqingmunicationInstitute,Chongqing400035,China)Abstract:Thisfromstandard,models,knowledge,anddynamic,andmanyotheraspectsofinformationsystemsriskassessmentmethodsforparsingandpointedoutthatthemethodforquantitativeandqualitativeanalysisoftheirrespectiveadvantagesanddisadvantages,finallyonthedevelopmentofriskassessmentmethodoftrendviewsaregiven.Keywords:riskassessment;standards;model;knowledge;dynamic;quantitativeandqualitativeanalysis随着网络技术的开展，网络平安问题已成为影响社会经济开展和国家开展战略的重要因素。然而面对网络日趋复杂的构造和庞大的规模，特别是利用系统平安弱点的新型攻击手段的大量被入侵者所应用，信息系统所面临的平安风险和威胁日益严重,信息系统风险评估更凸显出其重要性。目前国有很多文章都对风险评估进展了介绍，但大都介绍得不是很全面，本文从多个角度对风险评估方法进展介绍，并对其开展方向给出了一点看法。1基于标准的平安评估方法计算机系统信息平安评估的第一个正式标准是可信的计算机系统平安评估标准〔TCSEC〕由美国国防部于1985年公布的。它把计算机系统的平安分为4类、7个级别，对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、平安检测、生命周期保障、文档写作、用户指南等容提出了规性要求。信息技术平安评估标准〔ITSEC〕是由法、英、荷、德欧洲四国90年代初联合发布的，它提出了信息平安的性、完整性、可用性的平安属性。信息技术平安评价的通用标准〔CC〕由六个国家〔美、加、英、法、德、荷〕于1996年联合提出的，并逐渐形成国际标准ISO15408。该标准定义了评价信息技术产品和系统平安性的根本准则，提出了目前国际上公认的表述信息技术平安性的构造，即把平安要求分为规产品和系统平安行为的功能要求以及如何正确有效地实施这些功能的保证要求。BS7799是英国的工业、政府和商业共同需求而开展的一个标准，它分两局部：第一局部为“信息平安管理事务准则〞，第二局部为“信息平安管理系统的规〞。目前此标准已经被很多国家采用，并已成为国际标准ISO17799。ISO13335标准首次给出了关于IT平安的性、完整性、可用性、审计性、认证性、可靠性6个方面含义，并提出了以风险为核心的平安模型：企业的资产面临很多威胁〔包括来自部的威胁和来自外部的威胁〕；威胁利用信息系统存在的各种漏洞对信息系统进展渗透和攻击。如果渗透和攻击成功，将导致企业资产的暴露；资产的暴露会对资产的价值产生影响〔包括直接和间接的影响〕；风险就是威胁利用漏洞使资产暴露而产生的影响的大小，这可以为资产的重要性和价值所决定；对企业信息系统平安风险的分析，就得出了系统的防护需求；根据防护需求的不同制定系统的平安解决方案，选择适当的防护措施，进而降低平安风险，并抗击威胁。我国于2001年采用ISO/IEC15408制定了相应国家标准GB/T18336-2001。计算机信息系统平安保护等级划分准则已经正式公布并实施，该准则将信息系统平安分为五个等级，主要的平安考核指标有身份认证、自主访问控制、数据完整性、审计等，涵盖了不同级别的平安要求。2004年9月完成了?信息平安风险评估指南?和?信息平安风险管理指南?两个标准草案的制定初稿，前者主要容包括风险评估要素关系模型、风险计算模型、风险评估实施模型、风险评估贯穿于信息系统生命周期以及风险评估的形式等后者针对信息平安风险管理所涉及的不同过程进展了综合性描述和规，对信息平安风险管理在信息系统生命周期各阶段的应用作了系统阐述。2定量分析与定性分析2.1定量分析定量分析方法是指根据一定的数据，建立数学模型，然后计算分析各...