信息系统风险评估方法综述

龙源期刊网 http://www.qikan.com.cn

信息系统风险评估方法综述

作者：顾华杰

来源：《无线互联科技》2014年第09期

摘要：信息系统风险评估是信息系统安全的前提和基础。信息系统风险评估总是基于一定的技术手段与评估模型，需要根据系统的具体情况，选择合适的风险评估方法。本文分析了信息系统风险评估的基本的内容，包括研究现状，模型的建立，评估标准的选择，并着重对几种主流的风险评估的方法进行分析比较，以此来展望信息系统风险评估方法未来的发展。关键词：信息安全；风险评估；层次分析法；模糊综合评价

随着互联网技术的普及，信息的传送和共享变得异常的便捷和快速。但是互联网技术的开放性给人类带来信息资源充分共享潜在能力的同时，也为外部世界非授权进入你的信息系统、非授权获取、窃取你的信息资源提供了同等的机会。

近年来，由于信息系统安全问题所产生的损失、影响不断加剧，信息系统的安全问题越来越受到人们的普遍关注，它已经成为影响信息技术发展的重要因素。信息系统的风险是指由人为或自然的威胁与攻击直接或间接地利用系统存在的脆弱性和漏洞所造成的不确定性事件及其后果。传统的事后、被动、单一，针对出现的问题，采用一些安全防护措施，已经不能满足信息系统安全防护的发展要求。如何有效预防和控制风险事件的发生，从安全角度保障信息系统正常、有序和持续性的运行，合理地利用现有资源获取最大的社会和经济效益，这是信息系统所面临的重大研究课题。

因此为了对信息系统的风险进行有效管理，将信息系统风险控制在可接受范围内，科学地分析和评估信息系统的风险分布和风险强度是其必要条件。通过系统周密的风险分析与评估，可以导出系统风险的安全需求，实现系统风险的安全控制，从而建立一个可靠、有效的风险控制体系，保障信息系统的动态安全。因此，科学有效的风险评估方法是信息系统安全的基础和前提。

1 国内外研究概况

信息安全是作为整个国家信息保障的战略，着眼于整个国家关键网络和基础设施的健壮性和可生存能力。实践应用方面。西方国家在信息安全实践过程中，提出了几种典型的风险管理和评估方法。

1995年，澳大利亚和新西兰联合开发的AS/NZS 4360风险管理标准，把风险管理分为建立环境、风险识别、风险分析、风险评价、风险处置、风险监控与回顾、通信和咨询七个步骤。

1999年，国际标准化组织发布了《信息技术安全评估共同准则》。

信息系统风险评估方法综述

相关文章