涉密信息系统风险评估与安全测评实施..pdfVIP

s e a r c h 学术研究 刘玉林 1, 王建新 1, 谢永志 2 (1 中南大学信息科学与工程学院 , 湖南 长沙 410082; 2 中国信息安全产品测评认证中心华中测评中心 , 湖南 长沙 410001 【摘 要】风险评估与安全测评是两种不同的安全评估活动 ,在信息安全建 设中占有重要地位。论文通过介绍风险评 估与安全测评的基本概念及相互关系 ,针 对涉密信息系统的特殊性要求 ,深入探讨了涉密信息系统风险评估与安全测 评的具 体可操作的实施方法。 【关键词】风险评估 ;安全测评 ;涉密信息系统 【中图分类号】TP309 【文献标识码】A 【文章编号】1009- 8054(2007 01-0142-03 A Study about Secret-involved Information System Risk Evaluation and Security Testing Evaluation Liu Yulin1, Wang Jianxin1, Xie Yongzhi2 (1School of Information Science Engineering, Central South University, Changsha 410082, China; 2 China Information Technology Security Certification Center Central China Testing Evaluation Center, Changsha, 410001, China 【 Abstract 】 Risk evaluation and security testing evaluation, which are different kinds of security evaluation activities,are important to information security. In this article, we analyze the concept and relationship of risk evaluation andsecurity testing evaluation in detail. Considering the difference of secret-involved information system, we explore theway to carry out risk evaluation and security testing evaluation of secret-involved information system. 【 Keywords 】 risk evaluation; security testing evaluation; secret- involved information system 涉密信息系统风险评估与安全测评实施 1 引言 信息系统的风险评估 ,简单的说就是发现风险 , 进行 定性或定量分析 ,为风险管 理提供依据。信息系统安全测 评则是根据系统技术方案、安全策略等检验系统安 全状况 是否符合所定义的评估标准 [1] 。 关于风险评估及安全测评 , 有不少人认为两者内容基本一致。如有的文章在概念介绍 时认为安全测评的目的也是 最大程度地降低系统的安全“ 风险 ” [2] ;有的文章在进行风险评估探讨时 ,讨论的主体内 容是安全测评的实施 [3] 。事实上 ,风险评估与安全测评是 信息系统安全工程生 命周期中不同阶段、不同目的的安全