文档介绍:网络通讯与安全电脑知识与技术信息安全风险评估的定量与定性分析方法刘曼华1,刘萍2(,河南周口466001;,河南郑州450004)摘要:在信息安全领域,对信息系统进行风险评估十分重要,其最终目的就是要指导决策者在和这两者之间“投资成本”“安全级别”找到平衡,从而为等级优化的资产风险制定保护策略和缓和计划。本文基于BS7799的结构特点阐述了定性与定量的分析方法在风险评估过程中的应用。关键词:信息系统;风险评估;定量分析;定性分析中图分类号:TP393文献标识码:A文章编号:1009-3044(2006)11-0053-03TheMethodsofQuantitativeAnalysisandQualitativeAnalysisofInformationSecurityRiskAssessmentLIUMan-hua1,LIUping2(,Zhoukou466001,China;,ThePLAInformationEngineeringUniversity,Zhengzhou450004,China)Abstract:Intherealmoftheinformationsecurity,"investmentcost"and"safeclass",inordertoestablishtheprotectionstrategyandal-':InformationSystem;RiskAssessment;QuantitativeAnalysis;QualitativeAnalysis1引言信息系统已经成为人们生活中的重要组成部分,人们总是希望信息系统能够带来更多的便利。但是信息系统自身以及与信息系统相连的网络环境的特点与局限性决定了信息系统的发展和应用将遭受木马、病毒、恶意代码、物理故障、人为破坏等各方面的威胁。由于这个原因,人们在不断的探索和研究防止信息系统威胁的手段和方法,并且迅速在杀毒软件、防火墙和入侵检测技术等方面得到了迅猛发展。然而,这并没有从根本上解决信息系统的安全问题,来自计算机网络的威胁更加多样化和隐蔽化,黑客、病毒攻击事件也越来越多。的统计2005年报告的安全事件(Securityincident)的数量远远高于往年。怎样使组织能够在长时间内处于较高的安全水平,是目前急需解决的问题。安全管理是一个过程,而不是一个产品,不能期望通过一个安全产品就能把所有的安全问题都解决。同时,需要基于安全风险管理来建立信息安全战略,最适宜的信息安全战略就是最优化的风险管理对策。信息安全管理可以看成是一个不断降低安全风险的过程,其最终目的是使安全风险降低到一个可以接受的程度,使用户和决策者接受剩余的风险。如何获得信息系统的安全状态,以及如何对信息系统受到的威胁进行有效客观科学的分析和评估是信息安全风险管理的第一步。权行为的弱点[2]。技术弱点是指系统、设备和直接导致未授权行为的组件中存在的弱点[3],文献[4]将其分为三类:(1)设计弱点(硬件或者软件中设计或者规范中存在的弱点)。(2)实现弱点(由一个良好的设计在实现软件或者硬件时产生的错误而导致的弱点)。(3)配置弱点(由一个系统或者组件在配置时产生的错误而导致的错误)。威胁是指潜在的不希望发生事件的指示器[3],文献[2]将其分为四类:基于网络方式访问造成的威胁、基于物理方式访问造成的威胁、系统问题以及其他问题等。威胁的属性包括资产、访问、主角、动机和结果等。当一个威胁利用了资产所包含的弱点后,资产将会面临风险。这种危害将会影响资产的保密性、完整性和可用性,并造成资产价值的损失。资产、威胁、弱点以及影响之间的关系如图1。2信息安全风险评估概念信息安全风险评估涉及4个主要因素:资产、威胁、弱点和风险。资产是企业有价值的东西[1]。信息技术资产结合了逻辑和