信息安全风险评估方法研究.pdf

T echnology World
技术天地
信息安全风险评估方法研究
● 谭春晖 陈红梅 / 中国航空工业发展研究中心
【摘 要】 本文研究了信息安全风险评估的基础理论和流程，对风险评估方法、风险管理过程等进行了
研究和探讨。重点研究了信息系统在运行使用过程中的风险管理，提出了一种基于脆弱性识别的风险自评
估方法，简化了风险分析模型，并提出了持续改进所关注的重点内容，通过风险控制降低信息系统的安全
风险，保障安全目标的实现。
【关键词】信息安全 风险评估 威胁 脆弱性
1 引言 背景建立、风险评估、风险处理和批准监督
是信息安全风险管理的4个基本步骤。
信息化技术的广泛应用，在提高科研、生产 （1）背景建立阶段：确定风险管理的对象
效率和质量的同时，也极大地增加了信息安全风 和范围，进行相关信息的调查分析，准备风险管
险。目前解决信息安全问题普遍采用的方法是风 理的实施。
险评估，从风险管理的角度，系统地分析信息系 （2）风险评估阶段：根据风险管理的范围
统所面临的威胁及其存在的脆弱性，评估安全事 识别资产，分析信息系统所面临的威胁以及资产
件一旦发生时可能造成的危害程度，并提出有针 的脆弱性，结合采用的安全控制措施，在技术和
对性的防护对策和整改措施，将风险控制在可接 管理两个层面对信息系统所面临的风险进行综合
受的水平，最大程度地保障信息安全[1]。 判断，并对风险评估结果进行等级化处理。
信息安全风险评估分为自评估和检查评估 （3）风险处理阶段：综合考虑风险控制的
两种形式。风险自评估是建立信息安全体系的基 成本和风险造成的影响，从技术、组织和管理层
础和前提，目前风险自评估没有统一的标准和方 面分析信息系统的安全需求，提出实际可行的安
法，如何组织风险自评估是困扰评估单位的难 全措施。明确信息系统可接受的残余风险，采取
题，也是本文的主要讨论内容。 接受、降低、规避或转移等控制措