信息安全风险评估方法研究 毛捍东1作者简介：毛捍东（1979—），博士研究生，研究方向为网络安全、安全风险评估。陈锋，硕士研究生。张维明，博士教授。黄金才，副教授。 陈锋张维明黄金才 （国防科技大学管理科学与工程系长沙410073） handmao@163.net 摘要 在信息安全领域，对信息系统进行风险评估十分重要，其最终目的就是要指导决策者在“投资成本”和“安全级别”这两者之间找到平衡，从而为等级化的资产风险制定保护策略和缓和计划。信息安全风险评估方法经历了从手动评估到半自动化评估的阶段，现在正在由技术评估向整体评估发展，由定性评估向定性和定量评估相结合的方法发展，由基于知识的评估向基于模型的评估方法发展。该文阐述了信息安全风险评估所要解决的问题，介绍了目前在信息安全风险评估领域的主要方法以及今后的发展方向。 关键词：信息系统；风险评估；资产；威胁；脆弱性 ASurveyofInformationSecurityRiskAssessmentMethods MaoHandong,ChenFeng,ZhangWeiming,HuangJincai (DepartmentofManagementScienceandEngineering,NationalUniversityofDefenseTechnologyChangsha410073) handmao@163.net Abstract:Informationsystemsriskassessmenthasexperiencedthestageofmanual-to-automatic.It’snowexpandingfromtechnologyassessmenttoholistic,fromqualitativetosyntheticmethodofqualitativeandquantitativeanalysis,fromknowledge-basedtomodel-based.Tomaketheassessmentcomprehensiveandaccurate,thetargetofassessmentmustbeconsideredasawholesystemwithtechnological,organizationalandpersonnelfactors.Specifyinganinformationsystemisoftenacomplicatedtaskthatdemandsamethodthatcanprovideboththedetailsandtheoverviewofthesystem.Modelingtechniquesgiveusthepossibilitytospecifyallaspectsofthesystemwhilekeepingagoodoverviewatthesametime. Keywords:InformationSystem;riskassessment;asset;threat;vulnerability. 一、引言 信息系统已经成为人们生活中重要组成部分，人们总是希望信息系统能够带来更多的便利。但是信息系统自身以及与信息系统相连的网络环境的特点与局限性决定了信息系统的发展和应用将遭受木马、病毒、恶意代码、物理故障、人为破坏等各方面的威胁。由于这个原因，人们在不断的探索和研究防止信息系统威胁的手段和方法，并且迅速在杀毒软件、防火墙和入侵检测技术等方面取得了迅猛的发展。然而，这没有从根本上解决信息系统的安全问题，来自计算机网络的威胁更加多样化和隐蔽化，黑客、病毒等攻击事件也越来越多。据CERT/CC的统计，2003年报告的安全事件（securityincident）的数量达到137529件，远远高于2001年的52658件和2002年的82094件http://www.cert.org/stats/cert_stats.html 。 怎样确保组织能够在长时间内处于较高的安全水平，是目前急需解决的问题。安全管理是一个过程，而不是一个产品，不能期望通过一个安全产品就能把所有的安全问题都解决。同时，需要基于安全风险管理来建立信息安全战略，最适宜的信息安全战略实际上就是最优的风险管理对策。信息安全风险管理可以看成是一个不断降低安全风险的过程，其最终目的是使安全风险降低到一个可接受的程度，使用户和决策者可以接受剩余的风险。如何获得信息系统的安全状态，以及如何对信息系统受到的威胁进行有效客观科学的分析和评估是信息安全风险管理的第一步。 信息安全风险评估的初期，主要是通过从实际使用中总结经验，然后用这些经验去评估更多的信息系统，研究的重点也就在于如何提取知识和运用知识的过程。目前，研究的出发点是基于组织的资产所处的具体环境来构造