信息安全风险评估浅谈.PDFVIP

信息安全风险评估浅谈 吴 兰 摘 要 ：本文介绍了信息系统安全风险评估的要素、分析原理、实施流程，指出 开展信息安全风险评估工作是提高信息安全保障水平的一项重要举措。 关键词：风险评估、资产、威胁、脆弱性 随着我国国民经济和社会信息化进程的加快，网络与信息系统的基础性、 全局性作用日益增强，经济社会发展对网络和信息系统的依赖性也越来越大。 但由于网络与信息系统自身存在的缺陷、脆弱性以及面临的威胁，使信息系统 的运行客观上存在着潜在风险。《国家信息化领导小组关于加强信息安全保障 工作的意见》（中办发[2003]27号）明确提出“要重视信息安全风险评估工作， 对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综 合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进 行相应等级的安全建设和管理”，将开展信息安全风险评估工作作为提高我国 信息安全保障水平的一项重要举措。 信息安全风险和事件不可能完全避免，关键在于如何控制、化解和规避。不 计成本地追求零风险或试图完全消灭风险、避免风险也是不可行的。信息安全风 险评估就是从风险管理的角度，运用科学的方法和手段，全面检测网络和信息系 统存在的脆弱性，系统分析和评估安全防护水平，从而有针