信息安全風險評估模型的研究及其應用.pdf

1、當前，隨著信息技術發(fā)展和社會信息化進程的全面加快，國民經(jīng)濟對信息和信息系統(tǒng)的依賴越來越大。由此而產(chǎn)生的信息安全問題也日益突出，必須高度重視，并有充分的對策。信息安全管理的本質是風險管理，這是因為沒有絕對的安全也沒有徹底的風險，安全和風險密不可分。所謂的安全信息系統(tǒng)，就是通過最優(yōu)的風險管理策略，把信息系統(tǒng)上客觀存在的風險，逐步降低到一個可以接受的程度。而風險評估是風險管理的第一步工作，是保障信息安全的重要手段，其作用被越來越多的人所認可。

2、 信息安全風險評估實際上就是根據(jù)有關的信息安全測評標準，對信息資產(chǎn)存在的脆弱性、面臨的威脅以及脆弱性被威脅利用會產(chǎn)生的負面影響和危害事件發(fā)生的可能性，進行科學評價的過程。對信息安全風險而言，脆弱性和威脅是原因，負面影響和可能性是結果。 本文以有關信息安全的國際標準為理論基礎，提出了以風險管理為核心理念的信息安全風險評估模型，詳細論述了以該模型為主導的風險評估方法，并在實際的信息安全風險評估項目中加以實施和驗證。在本文中包

3、括以下工作： 首先，針對越來越多的信息安全需求，介紹了信息安全風險評估的概念、工作模式，以及國內外開展信息安全風險評估工作的情況，并從管理、技術和工程三個方面，介紹了業(yè)內最流行的測評標準，這些為風險評估模型提供了豐富的理論基礎。 第二，根據(jù)風險評估的幾個關鍵因素如資產(chǎn)、脆弱性、威脅、安全策略、風險的相互關系，提出了相應的信息安全風險評估模型，充分體現(xiàn)了風險管理的核心理念。同時還論述了PDCA過程方法如何指導風險評估的各個