信息系统风险评估方法讨论 摘要:该文从标准、模型、知识、动态等多个角度对信息系统风险评估方法进行解析,指出了定量分析方法和定性分析方法各自的优缺点,最后对风险评估方法的进展趋势给出了一点看法。 关键词:风险评估;标准;模型;知识;动态;定量分析和定性分析 中图分类号:TP311 文献标识码:A 文章编号:1009—3044(2025)23—5647-02 Risk Assessment of Information System WANG Fu—hua, WANG Li—jun, JIANG Yuan (Chongqing Communication Institute, Chongqing 400035, China) Abstract: This article from standard, models, knowledge, and dynamic, and many other aspects of information systems risk assessment methods for parsing and pointed out that the method for quantitative and qualitative analysis of their respective advantages and disadvantages, finally on the development of risk assessment method of trend views are given。 Key words: risk assessment; standards; model; knowledge; dynamic; quantitative and qualitative analysis 随着网络技术的进展,网络安全问题已成为影响社会经济进展和国家进展战略的重要因素.然而面对网络日趋复杂的结构和庞大的规模,特别是利用系统安全弱点的新型攻击手段的大量被入侵者所应用,信息系统所面临的安全风险和威胁日益严重,信息系统风险评估更凸显出其重要性。目前国内有很多文章都对风险评估进行了介绍,但大都介绍得不是很全面,本文从多个角度对风险评估方法进行介绍,并对其进展方向给出了一点看法. 1 基于标准的安全评估方法 计算机系统信息安全评估的第一个正式标准是可信的计算机系统安全评估标准(TCSEC)由美国国防部于 1985 年公布的。它把计算机系统的安全分为 4 类、7 个级别,对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了法律规范性要求.信息技术安全评估标准(ITSEC)是由法、英、荷、德欧洲四国 90 年代初联合发布的,它提出了信息安全的机密性、完整性、可用性的安全属性。信息技术安全评价的通用标准(CC)由六个国家(美、加、英、法、德、荷)于 1996 年联合提出的,并逐渐形成国际标准 ISO15408。该标准定义了评价信息技术产品和系...
