《信息安全风险评估综述》.pdfVIP

2004 年7 月 通 信 学 报 Vol.25 No.7 第25 卷 第7 期 JOURNAL OF CHINA INSTITUTE OF COMMUNICATIONS July 2004 信息安全风险评估综述 冯登国 张阳 张玉清 1. 信息安全国家重点实验室 中国科学院研究生院 北京 100039 2. 中国科学院 软件研究所 北京 100080 摘 要 信息安全风险评估是信息系统安全工程的重要组成部分 是建立信息系统安全体系的基 础和前提 本文分析了信息安全风险评估所涉及的主要内容 包括国内外现状 评估体系模型 评估标准 评估方法 评估过程等 探讨了国内外测评体系 指出了目前信息安全风险评估需要 * 解决的问题 展望了信息安全风险评估的发展前景 关键词 信息安全 脆弱性 威胁 风险评估 中图分类号 TP309 文献标识码 A 文章编号 100-436X(2004)07-0010-09 Survey of information security risk assessment FENG Deng-guo, ZHANG Yang, ZHANG Yu-qing (1. State Key Laboratory of Information Security (Graduate School of Chinese Academy of Sciences), Beijing 100039, China; 2. Institute of Software of Chinese Academy of Sciences, Beijing 100080, China) Abstract: In the information security engineering, Risk Assessment plays an important part. It is the basis of the information system security systematism. The article discusses in detail the contents of risk assessment, for example: present situation, models, standards, methods, process, then introduces information security test and evaluation system, finally, the paper analyzes the problems existing in Risk Assessment and the future prospect. Key words: information security; vulnerability; risk; risk assessment 1 引言 在过去的几十年时间里 信息技术已经翻天地覆地改变了整个世界 信息在人们的生产 生活中扮演着越来越重要的角色 人类越来越依赖基于信息技术所创造出来的产品 以信息 技术为基础的信息产业已经成为世界经济的重要支柱产业 信息产业的发达程度已经成为一 个国家的综合国力和国际竞争力强弱的重要标志 然而人们在尽情享受信息技术带给人类巨 大进步的同时 也逐渐意识到它是一把双刃剑 在该领域 潘多拉盒子 已经不止一次被打 开 近年来 由于信息系统安全问题所产生的损失 影响不断加剧 信息系统的安全问题越 来越受到人们的普遍关注 它已经成为影响信息技术发展的重要因素 然而 传统的事后 被动 单一 针对出现的问题 采用一些安全防护措施 并以某个问题的暂时解决为过程结 收稿日期 2004-02-10 基金项目 国家 973 基金资助项目 国家杰出青年科学基金资助项目