信息系统安全风险评估方法和技术研究.doc

: .
信息系统安全风险评估方法和技术研究
随着我国计算机信息技术的不断发展，我国对信息系 统的安全要求愈加提高，而对信息系统进行安全风险评估对 于我国信息安全工作中遇到的相关问题有着很不错的预防 作用。针对这种情况，本文就信息系统安全风险评估方法和 技术进行相关研究，希望能对我国相关事业的更好发展尽一 份力。
【关键词】信息系统安全 风险评估方法 技术研究 随着我国经济与社会的不断发展，我国信息系统为了满 足日益增长的信息管理需求也变得愈加复杂，信息系统的安 全程度也日益引起社会各界的关注。为了解决我国信息系统 可能面临的种种威胁，我们需要一种针对于信息系统的安全 评估方法来识别信息系统可能面临的风险，并将其扼杀于无 形，所以我们说对信息系统安全风险评估方法和技术进行相 关研究有着极为深刻的现实意义。
1 信息系统安全评估的工作流程
资产识别
所谓资产，在这里指的是对相关信息系统的主体组织来 说具有价值的信息资源，也是我们研究的信息安全评估所保 护的对象。这里的资产一般可以分为数据、软件、硬件、文 档、服务与人员等类别， 在进行具体的信息系统安全评估中， 相关工作人员可以对所评估的系统主体中不同的资产赋予 不同的等级，并根据相关机密性、完整性与可用性作为等级 赋予的参考。在这种信息系统的安全评估中，对系统主体的 赋值过程，也是对系统资产机密性、完整性与可用性达成程 度的分析，而通过这些分析相关工作人员会得到一个较为综 合的评估结果。
脆弱性识别 所谓脆弱性，在这里指的是对相关信息系统的主体组织 来说一个或多个资产弱点的总称。在进行具体的信息系统安 全评估中，相关工作人员对所评估的系统主体资产为核心， 并在具体评估中将每个资产的弱点进行分别标注，最后运用 得到的每个资产的弱点对该信息系统中的资产进行总体评 估。此外，相关工作人员也可以通过对评估的系统主体物理、 网络、应用等层级进行逐级评估，并在最后将评估得到的资 产报告与相关威胁相结合。在通过脆弱性是别发对信息系统 的安全评估中，相关工作人员可以选择物理环境、服务器、 网络结构、数据库、应用系统、技术管理与组织管理多方面 进行评估，通过发现其脆弱点进行具体的评估工作。
威胁识别 所谓威胁，在这里指的是对相关信息系统的主体组织来 说，在其信息系统存在脆弱性以及相关安全措施缺乏的前提
下，相关威胁作用到信息系统的某个安全资产上，并造成了 一定程度破坏的信息安全风险。威胁识别是通过评估信息系 统中存在的问题，查出这些直接威胁或间接威胁的过程，在 相关人员进行具体的威胁识别工作中，其需要建立风险分析 所需要的威胁场景进行相关威胁的识别。
风险分析
在对相关相关信息系统进行资产识别、脆弱识别与威胁 识别后，相关信息系统的评估人员就应进入信息系统的风险 评估阶段，在这个阶段相关工作人员的工作是对于相关风险 进行分析与计算。
2 信息系统的风险评估方法
基于知识的信息系统风险分析方法
在基于知识的信息系统风险分析方法的具体操作中，主 要依靠的是相关风险评估工作的工作人员自身的经验，通过 对相关信息系统资