文档介绍:信息系统风险评估法研究
摘要:该文从标准、模型、知识、动态等多个角度对信息系统风险评估法进行解析,指出了定量分析法和定性分析法各自的优缺点,最后对风险评估法的发展趋势给出了一点看法。
关键词:风险评估;标准;模型;知识;动态;定量分析和定性分析
中图分类号:TP311文献标识码:A文章编号:1009-3044(2011)23-5647-02
Risk Assessment of Information System
WANG Fu-hua, WANG Li-jun, JIANG Yuan
(Chongqing Communication Institute, Chongqing 400035, China)
Abstract: This article from standard, models, knowledge, and dynamic, and many other aspects of information systems risk assessment methods for parsing and pointed out that the method for quantitative and qualitative analysis of their respective advantages and disadvantages, finally on the development of risk assessment method of trend views are given.
Key words: risk assessment; standards; model; knowledge; dynamic; quantitative
and qualitative analysis
随着网络技术的发展,网络安全问题已成为影响社会经济发展和发展战略的重要因素。然而面对网络日趋复杂的结构和庞大的规模,特别是利用系统安全弱点的新型攻击手段的大量被入侵者所应用,信息系统所面临的安全风险和威胁日益重,信息系统风险评估更凸显出其重要性。目前国有很多文章都对风险评估进行了介绍,但大都介绍得不是很全面,本文从多个角度对风险评估法进行介绍,并对其发展向给出了一点看法。
1 基于标准的安全评估法
计算机系统信息安全评估的第一个正式标准是可信的计算机系统安全评估标准(TCSEC)由美国国防部于1985 年公布的。它把计算机系统的安全分为4 类、7 个级别,对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命期保障、文档写作、用户指南等容提出了规性要求。信息技术安全评估标准(ITSEC)是由法、英、荷、德欧洲四国90 年代初联合发布的,它提出了信息安全的性、完整性、可用性的安全属性。信息技术安全评价的通用标准(CC)由六个(美、加、英、法、德、荷)于1996 年联合提出的,并逐渐形成国际标准ISO15408。该标准定义了评价信息技术产品和系统安全性的基本准则,提出了目前国际上公认的表述信息技术安全性的结构,即把安全要求分为规产品和系统安全行为的功能要求以及如正确有效地实施这些功能的保证要求。BS7799是英国的工