风险评价除了建立越来越完善的标准以外，在实践上也从手动评估发展到工具辅助评估的阶段，现在国际上常见的评估工具有：ASSET(Automated Security Self?Evaluation Tool )（美国国家标准技术协会发布）^[3]?、风险管理决策支持系统CORA (Cost?of?Risk Analysis )（国际安全技术公司开发）^[4]?、风险分析工具CRAMM(CCRA Risk Analysis and Management Method )（英国政府中央计算机与电信局开发）^[5]?、COBRA (Consultative, Objective and Bi?functional Risk Analysis )（英国C&A系统安全公司开发）??[6]?等一系列风险分析工具。?

    2.2我国信息安全风险评价的发展现状?

    随着我国对信息安全问题的认识逐步深化，安全风险评价作为信息系统安全评估的重要环节，成为了我国信息系统安全研究的重点之一。风险意识和安全风险评价的实践工作在不断强化，包括安全测评认证机构的建立和完善，风险评价相关技术标准和管理规范的制定和完备等一系列实践活动都在逐步展开。?

    但是，由于我国在安全风险评价的理论和技术上的研究工作时间不长，同时比较缺乏实践的经验，还存在风险评价在我国的普及程度较弱，风险评价研究积累不足，风险评价规范标准急需出台等问题。?

3信息安全风险评价方法?

    3.1信息安全风险评价方法概述?

    安全风险评价是信息系统安全评估的前提和基础，但由于无法准确预测未知的风险事件，导致信息系统安全风险评价中往往采用评估者主观赋值的方法，严重的影响了安全风险评价的客观性与准确性。信息系统安全评估，主要的意义不在于得出一个信息系统安全程度的绝对值，而是可以给出相对的安全程度，为安全评估结果的可比性提供了基础，以利于评估者进行比较，从而对信息系统能够起到提高安全性的作用。?

    安全风险评价是系统安全评估的第一个过程，是信息系统安全评估的基础，脱离了风险评价的安全评估就缺乏现实意义和针对性。在安全风险评价阶段，要确定什么威胁是信息系统潜在的风险。除此之外，还要确定这些威胁发生的可能性，以及风险发生可能带来的后果。安全风险评价阶段的输出是被评估系统所面临威胁的相对威胁指数和威胁排序列表。?

    3.2风险评价模型?

    安全风险评价就是对信息系统在开发、运行等过程中其保密性、完整性、可用性遭到破坏的可能性以及由此产生的后果的一个估计或评价[7]?。风险评价已经发展成为安全评估的基本组成部分。?

    威胁所对应的风险R (Risk)，与信息系统的脆弱性V (Vulnerability)、威胁T (Threat)、威胁发生的可能性P(threat Probability)、威胁发生所造成的后果I (Impact)有关，可以用如下函数表示：?

    R=f (V, T, P, I) (3-1)?