信息安全风险评估技术手段综述王英梅1(北京科技大学信息工程学院 北京 100101)摘要:信息安全成为国家安全的重要组成部分,因此为保证信息安全,建立信息安全管理体系已成为目前安全建设的首要任务。风险评估作为信息安全管理体系建设的基础,在体系建设的各个阶段发挥着重要的作用。风险评估的进行离不开风险评估工具,本文在对风险评估工具进行分类的基础上,探讨了目前主要的风险评估工具的讨论现状及进展方向.关键词:风险评估 综合风险评估 信息基础设施 工具引言当今时代,信息是一个国家最重要的资源之一,信息与网络的运用亦是二十一世纪国力的象征,以网络为载体、信息资源为核心的新经济改变了传统的资产运营模式,没有各种信息的支持,企业的生存和进展空间就会受到限制。信息的重要性使得他不但面临着来自各方面的层出不穷的挑战,因此,需要对信息资产加以妥善保护。正如中国工程院院长徐匡迪所说:“没有安全的工程就是豆腐渣工程”.信息同样需要安全工程.而人们在实践中逐渐认识到科学的管理是解决信息安全问题的关键。信息安全的内涵也在不断的延伸,从最初的信息保密性进展到信息的完整性、可用性、可控性和不可否认性 ,进而又进展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)"等多方面的基础理论和实施技术。如何保证组织一直保持一个比较安全的状态,保证企业的信息安全管理手段和安全技术发挥最大的作用,是企业最关怀的问题。同时企业高层开始意识到信息安全策略的重要性。突然间,IT 专业人员发现自己面临着挑战:设计信息安全政策该从何处着手?如何拟订具有约束力的安全政策?如何让公司员工真正接受安全策略并在日常工作中执行?借助于信息安全风险评估和风险评估工具,能够回答以上的问题。一. 信息安全风险评估与评估工具风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估.它是确认安全风险及其大小的过程,即利用定性或定量的方法,借助于风险评估工具,确定信息资产的风险等级和优先风险控制。风险评估是风险管理的最根本依据,是对现有网络的安全性进行分析的第一手资料,也1 作者介绍:王英梅(1974-),博士讨论生,讨论方向为信息安全、风险评估。国家信息中心《信息安全风险评估指南》编写小组成员。是网络安全领域内最重要的内容之一.企业在进行网络安全设备选型、网络安全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互联、与第三方...
