信息安全风险评估的漏洞分析及评估方法改进.pdfVIP

摘 要 在信息安全保障越来越受业内人士关注的今天，风险评估作为信息安全管理 的一个重要环节，对保障企事业单位的基础信息系统安全起着非常重要的作用。 但是，目前我国的信息安全风险评估工作刚刚起步，具体的评估方法、指标体系、 支撑软件等还很不完善，或者缺乏现实的可操作性。本文针对风险评估中非常重 要的部分：技术脆弱性及其对应的威胁的评估，提出了一种新的具有良好可操作 性的评估方法。 本文的研究工作以“重庆市级部门信息安全风险评估”项目（合同编号： 200612002 ）为基础，对风险评估和漏洞分析的关系作了深入的研究。 信息安全风险评估中，有两大关键因素：“脆弱性严重程度”和“威胁出现频 率”，但是目前的计算方法对此大多是定性的，简单的以“高”，“中”，“低”概括， 难以进行风险值的计算；或者给出的评估标准过于粗糙，对评估人员的经验和水 平依赖太大，不同的评估人员对同一对象的评估结果可能相去甚远；或者需要的 数据在实际工作中难以获得，可操作性不强。 本文在具体分析了漏洞与“脆弱性严重程度”和“威胁出现频率”的关系的 基础上，提出了“脆弱性严重程度”和“威胁出现频率”新的赋值方法。同时， 提出了对风险评估流程的改进意见，总结了漏洞分析的具体流程。