search学术研究www.cismag.com.cn刘玉林1,王建新1,谢永志2(1中南大学信息科学与工程学院,湖南长沙410082;2中国信息安全产品测评认证中心华中测评中心,湖南长沙410001【摘要】风险评估与安全测评是两种不同的安全评估活动,在信息安全建设中占有重要地位。论文通过介绍风险评估与安全测评的基本概念及相互关系,针对涉密信息系统的特殊性要求,深入探讨了涉密信息系统风险评估与安全测评的具体可操作的实施方法。【关键词】风险评估;安全测评;涉密信息系统【中图分类号】TP309【文献标识码】A【文章编号】1009-8054(200701-0142-03AStudyaboutSecret-involvedInformationSystemRiskEvaluationandSecurityTestingEvaluationLiuYulin1,WangJianxin1,XieYongzhi2(1SchoolofInformationScience&Engineering,CentralSouthUniversity,Changsha410082,China;2ChinaInformationTechnologySecurityCertificationCenterCentralChinaTestingEvaluationCenter,Changsha,410001,China【Abstract】Riskevaluationandsecuritytestingevaluation,whicharedifferentkindsofsecurityevaluationactivities,areimportanttoinformationsecurity.Inthisarticle,weanalyzetheconceptandrelationshipofriskevaluationandsecuritytestingevaluationindetail.Consideringthedifferenceofsecret-involvedinformationsystem,weexplorethewaytocarryoutriskevaluationandsecuritytestingevaluationofsecret-involvedinformationsystem.【Keywords】riskevaluation;securitytestingevaluation;secret-involvedinformationsystem涉密信息系统风险评估与安全测评实施1引言信息系统的风险评估,简单的说就是发现风险,进行定性或定量分析,为风险管理提供依据。信息系统安全测评则是根据系统技术方案、安全策略等检验系统安全状况是否符合所定义的评估标准[1]。关于风险评估及安全测评,有不少人认为两者内容基本一致。如有的文章在概念介绍“时认为安全测评的目的也是最大程度地降低系统的安全”风险[2];有的文章在进行风险评估探讨时,讨论的主体内容是安全测评的实施[3]。事实上,风险评估与安全测评是信息系统安全工程生命周期中不同阶段、不同目的的安全评价活动。本文将针对涉密信息系统的特殊性要求,介绍信息系统安全风险评估与安全测评的基本概念、相互关系,在此基础上深入探讨涉及国家秘密的信息系统(“”以下简称涉密信息系统风险评估和安全测评具体实施的形式、步骤、方法等内容。2风险评估与安全测评风险评估是指针对确立的风险管理对象所面临的风险进行识别、分析和评价,即根据资产的实际环境对资产的学术研究Acade信息安全与通信保密・2007.1143脆弱性、威胁进行识别,对脆弱性被威胁利用的可能性和所产生的影响进行评估,从而确认该资产的安全风险及其大小。风险评估贯穿于整个信息系统安全工程生命周期,是风险管理的重要组成部分。系统安全测评是指从信息系统建设完毕到废弃之间这段时间内,由国家授权的信息安全测评部门所进行的,对信息系统已采取的安全控制措施(如管理措施、运行措施、技术措施等的有效性进行验证,从而给出系统现有的安全状况是否符合相关规范要求的准确判断的活动。安全测评结果的有效期依据相关部门的要求确定,测评结果失效后必须重新进行测评。风险评估和安全测评都是安全测度方法,两者关系密切,风险评估报告是安全测评的依据之一,安全测评将进一步检验风险评估结果是否有效。虽然实施过程中,某些技术手段(如技术渗透性测试、安全扫描等可以互用,但风险评估与安全测评是不同的安全评价活动。简单的说,风险评估目的是为了发现系统中存在的风险,从而给出信息系统安全建设的相关建议;安全测评目的是检验已完成安全建设的系统中的残余风险是否符合相关标准的要求,为系统准入提供依据。风险评估与安全测评互为补充,不是对立的,但任何将风险评估与安全测评混为一谈的做法也都会使信息安全建设缺失一个重要环节。对于涉密信息系统而言,正确认识风险评估与安全测评非常重要。3涉密信息系统的风险评估实施方法涉密信息系统与非涉密信息系统风险评估具体操作上有很多相通之处,基本流程、计算方法等都可...