信息系统风险评估方法讨论摘要：该文从标准、模型、学问、动态等多个角度对信息系统风险评估方法进行解析，指出了定量分析方法和定性分析方法各自的优缺点，最终对风险评估方法的进展趋势给出了一点看法；关键词：风险评估；标准；模型；学问；动态；定量分析和定性分析中图分类号：TP311文献标识码：A文章编号：1009-3044〔2021〕23-5647-02RiskAssessmentofInformationSystemWANGFu-hua,WANGLi-jun,JIANGYuan〔ChongqingCommunicationInstitute,Chongqing400035,China〕Abstract:Thisarticlefromstandard,models,knowledge,anddynamic,andmanyotheraspectsofinformationsystemsriskassessmentmethodsforparsingandpointedoutthatthemethodforquantitativeandqualitativeanalysisoftheirrespectiveadvantagesanddisadvantages,finallyonthedevelopmentofriskassessmentmethodoftrendviewsaregiven.Keywords:riskassessment;standards;model;knowledge;dynamic;quantitativeandqualitativeanalysis随着网络技术的进展，网络安全问题已成为影响社会经济进展和国家进展战略的重要因素；然而面对网络日趋复杂的结构和巨大的规模，特殊是利用系统安全弱点的新型攻击手段的大量被入侵者所应用，信息系统所面临的安全风险和威逼日益严峻,信息系统风险评估更凸显出其重要性；目前国内有许多文章都对风险评估进行了介绍，但大都介绍得不是很全面，本文从多个角度对风险评估方法进行介绍，并对其进展方向给出了一点看法；1基于标准的安全评估方法运算机系统信息安全评估的第一个正式标准是可信的运算机系统安全评估标准（TCSEC）由美国国防部于1985年公布的；它把运算机系统的安全分为4类、7个级别，对用户登录、授权治理、拜访掌握、审计跟踪、隐藏通道分析、可信通道建立、安全检测、生命周期保证、文档写作、用户指南等内容提出了规范性要求；信息技术安全评估标准（ITSEC）是由法、英、荷、德欧洲四国90岁月初联合发布的，它提出了信息安全的秘密性、完整性、可用性的安全属性；信息技术安全评判的通用标准（CC）由六个国家（美、加、英、法、德、荷）于1996年联合提出的，并逐步形成国际标准ISO15408；该标准定义了评判信息技术产品和系统安全性的基本准就，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求以及如何正确有效地实施这些功能的保证要求；BS7799是英国的工业、政府和商业共同需求而进展的一个标准，它分两部分：第一部分为“信息安全治理事务准就”，其次部分为“信息安全治理系统的规范”；目前此标准已经被许多国家采纳，并已成为国际标准ISO17799；ISO13335标准首次给出了关于IT安全的保密性、完整性、可用性、审计性、认证性、牢靠性6个方面含义，并提出了以风险为核心的安全模型：企业的资产面临许多威逼（包括来自内部的威逼和来自外部的威逼）；威逼利用信息系统存在的各种漏洞对信息系统进行渗透和攻击；假如渗透和攻击胜利，将导致企业资产的暴露；资产的暴露会对资产的价值产生影响（包括直接和间接的影响）；风险就是威逼利用漏洞使资产暴露而产生的影响的大小，这可以为资产的重要性和价值所打算；对企业信息系统安全风险的分析，就得出了系统的防护需求；依据防护需求的不同制定系统的安全解决方案，挑选适当的防护措施，进而降低安全风险，并抗击威逼；我国于2001年采纳ISO/IEC15408制定了相应国家标准GB/T18336-2001；运算机信息系统安全爱护等级划分准就已经正式颁布并实施，该准就将信息系统安全分为五个等级，主要的安全考核指标有身份认证、自主拜访掌握、数据完整性、审计等，涵盖了不同级别的安全要求；2004年9月完成了《信息安全风险评估指南》和《信息安全风险治理指南》两个标准草案的制定初稿，前者主要内容包括风险评估要素关系模型、风险运算模型、风险评估实施模型、风险评估贯穿于信息系统生命周期以及风险评估的形式等后者针对信息安全风险治理所涉及的不同过程进行了综合性描述和规范，对信息安全风险治理在信息系统生命周期各阶段的应用作了系统阐述；2定量分析与定性分析2.1定量分析...