王丹琛¹，许宁¹，巩琼²，许龙江³?

（1 四川省信息安全测评中心；2 南阳师范学院；3 电子科技大学）

    摘要：信息安全风险评估是信息安全保障体系建立过程中重要的评价方法和决策机制。信息系统安全评估的基础和前提是安全风险评价。本文介绍了目前国内外关于信息安全风险评价的发展状况，概述了信息安全风险评价的方法和实施过程，并归纳总结了信息安全风险评价的计算确定。?

1引言?

    美国国家安全局发布的《信息保障技术框架(IATF)》 ^[1]?给出了信息保障(Information Assurance)的概念，指出要保障信息安全除了被动的保护，还需要增加系统脆弱性检测、入侵检测、安全事件的响应和损毁系统的恢复等环节，形成了包括保护、检测、反应和恢复这四个动态反馈环节的信息保障的概念。?

    根据近年来暴露的安全问题表明，人们在意识到安全风险的同时，仍不能有效地利用已有的安全控制措施保护自己的信息资产，无法应对来自因特网或组织内部的威胁，难以对信息系统当前的安全状况做出正确的判断。因此，信息系统安全评估方法研究、构件组装安全性研究等内容成为近年来信息安全领域的一个重要研究方向。?

    信息安全问题是一项复杂的系统工程。而这项工程的基础和前提就是对信息安全解决方案进行充分有效的风险分析和评估。信息安全风险是人为或自然的威胁利用信息系统存在的脆弱性引发的安全事件，并由于受损信息资产的重要性而对机构造成的影响。信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。其中，信息安全风险评价(Risk Assessment)是安全评估的基础和前提。了解系统目前与未来的风险所在，评估这些风险可能带来的安全威胁与影响程度，从而将系统的风险降到一个可以接受的程度，安全风险评价作为安全评估的前提和基础，其评价结果的客观性和正确性对整个评估结论有着重要的影响。?

    安全风险评价是信息系统安全评估的基础和前提。通过风险评价能够清楚信息系统的安全需求，了解信息系统的脆弱性，为降低信息系统的安全风险提供必要的依据。所以，只有正确、全面地评价信息系统的安全风险，才能在信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策，因此信息系统安全评估通常都包含或完全采用了基于风险的评价。?

    2.1国外信息安全风险评估的发展状况?

    国际上的信息安全风险评价经历了一个从只重技术的单方面评估到技术、管理并重的全面评估，从单机到网络再到信息系统基础设施，从单一安全属性到多种安全属性的发展过程。随着安全风险评价理论和技术的不断完善，信息系统的安全风险评价己经有了相当大的发展，并将为信息系统安全评估提供有力的支持。?

    美国是信息安全风险评价研究历史最长和研究成果最丰富的国家，联邦政府信息系统的安全工作是在信息系统整个生命周期中进行的，而整个信息系统安全工作的关键控制点就是信息安全风险评价。随着安全事件的驱动和信息安全技术、信息安全管理概念的发展深化，形成了与国家安全、反恐战略、国土安全等国家战略相配套的网络空间信息保障的国家战略，风险评价思想在其中得

(责任编辑：adminadmin2008)