万方数据 信息安全风险评估策略研究王涛，陈金仕现代电子技术assessment风险评估宏观上的目标是服务于国家信息化发展，促进信息安全保障体系的建设，提高信息系统的安全保护能力。具体而言，风险评估是帮助企事业单位准确了解单位内部的网络和系统安全现状。明晰单位内信息系统的需求，制定出符合单位内部网络和信息系统的安全策略和安全解决方案，指导单位未来的安全建设和投入，建立安全管理框架c¨。认清信息安全环境，信息安全状况，有助于达成共识，明确责任，采取和完善安全保障措施，使其更加经济有效，并使信息安全策略保持一致性和持续性口]。国外对风险评估越来越重视，在他们看来没有任何事情比解决错误的问题和错误的系统更加有效率。特别是西方国家。他们在信息安全领域大大加强了风险评估安全系统的评估工作睁引，制定了相关的法规标准等，如英国BS7799—1：1995《信息安全管理实施细则》、BS7799—2：2002《信息安全管理体系一规范与使用指南》等。20世纪70年代，美国政府提出了风险评估的要求，2002年颁布了联邦信息安全管理法，对信息安全风险评估提出了更加具体的要求。国际上也相应的制定了些标准[5。7]，如《IS013335信息安全风险管理指南》、《IS015408信息技术安全性评估准则》等。国内近几年也意识到风险评估的重要性，逐渐的加以重视。并且在风险评估领域也做了些工作[8曲]：一是对全国的中小企事业单位信息系统进行了调研，了解信息安全方面存在的问题；二是编制了风险评估的国家标准；三是起草了风险评估的政策性文件。特别是在2003年提出的27号文件(《国家信息化领导小组关于加强信息安全保障工作的意见》)里专门提到了开展风险评估的要求，27号文件的发布，也标志着我国风险评估工作的真正启动。本文结合当前风险评估理论及风险评估工作发展现状，通过构造风险评估模型，提出了一种机构化的风险评估分析方法，从而为信息安全保障体系的建设上做出合理的决策提供了有力的依据。1风险评估模型风险存在两个属性：损失程度和可能性。最终风险对信息系统的影响。也就是对风险的评估赋值是对上述两个属性权衡作用的结果。风险评估模型如图1所示。从该模型中可以看出，风险评估过程是要识别出资产本身面临的威胁以及自身存在的能被威胁利用的弱2012年5月1日第35卷第9期摘要：风险评估是当前企事业单位信息化工作的迫切需要和客观的需求，在此结合当前风险评估发展的现状，通过构造风险评估模型，提出了一种以定量方式为主的结构化的风险评估分析方法。该方法通过分析信息资产价值、威胁值、弱点值，合理地计算出风险值后构造出一种结构化的风险评估体系，提高了信息系统的安全防护能力。关键词：风险评估；信息安全}信息资产价值；威胁值；弱点值中图分类号：TN915．08—34Researchofinformationrisk引言ModernMay(南京电子设备研究所，江苏南京文献标识码：A文章编号：1004—373X(2012)09—0073一04strategysecurityWANGJin—shiobjectiveenterprises．With0收稿日期：Z011-11-02Electronics。FechniqueV01．35210007)Tao。CHENAbstract：Risktheneedandrequirementinformationalworkinforma—tiontechnologydevelopmentassessment，astructuredanalysismethodbasedquantifypresentedbyconstructingmodel．Theconstructedturedsystemimprovedabilitysystems’securityanalyzingvalueasset，threatvulnerabilityaftercalculatingvalue．Keywords；riskassessment；informationsecurity；informationworth；threatfactor；vulnerability2012NO．9on(NanjingElectronicEquipment，Nanjing210007，China)isurgentinInstitutecurrentstatusastruc—net 万方数据 春现代电子技术点，最后从可能性和影响程度这两个方面来评价资产信息的风险，综合后得到企业所面临的信息安全风险。2风险值的计算风险值的计算主要采用了矩阵的方法[1引，矩阵法主要用于两个要素值确定一个要素值的情形。在风险值计算中，通常需要对两个要素确定另一个要素值进行的计算，通常是威胁性和脆弱性确定安全事件发生的可能性值，由资产值和脆