信息安全风险评估理论研究.pdfVIP

　　　　　　　　　　　　　山/ 西/ 财/ 经/ 大/ 学/ 学/ 报 　　　　　　　　　　　　　 2008 年 4 月 Jou nal of ShanXi Finance and Economic s Uni ve sity Ap . ,2008 第 30 卷 第 1 期 Vol . 30 No . 1 信 息 安 全 风 险 评 估 理 论 研 究 1 2 张 　胜 , 陈玉红 (1. 武警太原指挥学院 , 山西 太原 030031 ;2 . 山西财经大学 财政金融学院 ,山西 太原 030006) 　　[摘 　要 ]信息安全风险评估是信息安全 管理 的基础 和关键环节 ,通 过开 展风险评估 ,可 以对网络与信息系 统的资产价 值 、潜在的威胁 、薄弱环节 、防护措施等进行分析 ,并有针对性地进行管理 。 [ 关键词]信息安全 ;风险评估 ;风险值 　　2003 年 9 月 7 日, 中共中央 办公厅 、国务院办 公厅 以中 根据信息安全风险评估流程与风 险分析原理示意图 , 风 办发 〔2 003 〕2 7 号文件转发了《国家信息化领 导小组关于加强 险评估的主要 内容及步骤有四 。 信息安全保障工作的意见》,其中明确提出“要重视信息安全 其一 ,对资产进行识 别 , 并对资产 的重要 性进行赋值 。 风险评估工作 ”。2004 年 1 月 9 日,在全国首次信息安全 保 风险评估中资产的价值不仅仅 以资产 的账面价格 来衡量 , 而 障会议上再次强调“要开展信 息安全风险评估 和检查 ,并且 是由资产在机密性 、完整性和可用性等安全 属性上的达 成程 进一步明确信息安全 风险评 估在 国家信 息安全保障工作 中 度或者其安全属 性 未达 成时所造成 的影 响程度 来决定 的 。 的重要地位”。2004 年 3 月 ,《信息安全风险评 估指南》和《信 对资产的赋值不仅要考虑资产本身的价值 , 更重要的是要考 息安全风险管理规 范》两个 标准开始制 定 。2005 年 ,全 国开 虑资产的安全状况对于组织的重要性 ,即由资产在其三个安 展信息安全风险评估试点工作 ,检验两个标准 的可行性和 可 全属性上的达成程度决定 。为确保资产赋值 时的一致性和 用性 , 试点单位涉及政府 、银行 、电力 、税务等二十多家单位 。 准确性 , 组织应建立一个资产 价值评价尺度 , 以指 导资产 赋 本文将对信息安全风 险评估 的基 本概念 和理论模型构建等 值 。 问题进行探讨 。 其二 ,对威胁进行识别 ,描述威胁的属性 ,并对威胁出现 一 、信息安全风险评估概述 的频率赋值 。威胁是一种对组织及其 资产构成潜在破坏 的 信息安全风险评估 , 是指依据有关信息安全技术与管理 可能性因素 ,是客观存在的 。造成威胁的因素可分为人 为因 标准 ,对 信息系统及由其处理 、传输和存储的信息 的机密性 、 素和环境因素 。威胁 作用 形式可 以是对信息系统直接或 间 完整性和可用性等安全 属性进 行评 价的过程 。它要评估 资 接的攻击 ,如非授权的泄露 、篡改 、删除等 ,在机密性 、完整性 产面临的威胁以及威胁利用脆弱性导致 安全事件的可能性 , 或可用性等方面造 成损 害 ; 也可能是偶 发的或 蓄意 的事件 。 并结合安全事件所涉及的资产价值来判 断安全事件 一旦发 判断威胁出现的频率是威胁识别的重要工作 ,评估者应根据 生对组织造成的影响 。 经验和有关的统计数据