安全风险评估方法模板(10篇)

导言：作为写作爱好者，不可错过为您精心挑选的10篇安全风险评估方法，它们将为您的写作提供全新的视角，我们衷心期待您的阅读，并希望这些内容能为您提供灵感和参考。

篇1

档案信息安全风险评估总体方法

档案信息安全风险评估的核心问题之一是风险评估方法的选择，风险评估方法包括总体方法和具体方法。总体方法是从宏观的角度确定档案信息安全风险评估大致方法，包括：风险评价标准确定方法；风险评估中资产、威胁和脆弱性的识别方法；风险评估辅助工具使用方法及风险评估管理方法等。事实上，信息安全风险评估方法经历了一个不断发展的过程，“经历了从手动评估到工具辅助评估的阶段，目前正在由技术评估到整体评估发展，由定性评估向定性和定量相结合的方向发展，由基于知识(或经验)的评估向基于模型(或标准)的评估方法发展。”。随着信息安全技术与安全管理的不断发展，目前信息安全风险评估方法已发展到基于标准的、定性与定量相结合的、借用工具辅助评估的整体评估方法。档案信息安全风险评估总体方法应采用目前最先进方法，即采用依据合适风险评估标准、定性与定量结合、借助评估工具或软件来实现不仅进行档案信息安全技术评估，而且进行档案信息安全管理评估的整体评估方法。

1　档案信息安全风险评估标准的确定

信息安全风险评估标准主要分为国际国外标准和国家标准。国际国外标准有：《ISO／IEC 13335　信息技术　IT安全管理指南》、《ISO／IEC 17799：2005信息安全管理实施指南》、《ISO／IEC27001：2005信息安全管理体系要求》、《NIST SP 800-30信息技术系统的风险管理指南》系列标准等，这些标准在国外已得到广泛使用，而我国信息安全风险评估起步较晚，在吸取国外标准且根据我国国情的基础上于2007年制定了国家标准((GB／T 20984-2007信息安全技术信息安全风险评估规范》，并在全国范围内推广。国家发展改革委员会、公安部、国家保密局于2008年了“关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)”，该文件要求国家电子政务工程建设项目(以下简称电子政务项目)，应开展信息安全风险评估工作，且规定采用《GB／T 20984-2007信息安全技术信息安全风险评估规范》。档案信息系统属于电子政务系统，档案信息安全风险评估也应该采取OB／T 20984-2007标准。

2　档案信息安全风险评估需定性与定量相结合

定性分析方法是目前广泛采用的方法，需要凭借评估者的知识、经验和直觉，为风险的各个要素定级。定性分析法操作相对容易，但也可能因为分析结果过于主观性，很难完全反映安全现实情况。定量分析则对构成风险的各个要素和潜在损失水平赋予数值或货币金额，最后得出系统安全风险的量化评估结果。

定量分析方法准确，但由于信息系统风险评估是一个复杂的过程，整个信息系统又是一个庞大的系统工程，需要考虑的安全因素众多，而完全量化这些因素是不切实际的，因此完全量化评估是很难实现的。

定性与定量结合分析方法就是将风险要素的赋值和计算，根据需要分别采取定性和定量的方法，将定性分析方法和定量分析方法有机结合起来，共同完成信息安全风险评估。档案信息安全风险评估应采取定性与定量相结合的方法，在档案信息系统资产重要度、威胁分析和脆弱性分析可用定性方法，但给予赋值可采用定量方法。具体脆弱性测试软件可得出定量的数据，最后得出风险值，并判断哪些风险可接受和不可接受等。

3　档案信息安全风险评估需借用辅助评估工具

目前信息安全风险评估辅助工具的出现，改变了以往一切工作都只能手工进行的状况，这些工作包括识别重要资产、威胁和弱点发现、安全需求分析、当前安全实践分析、基于资产的风险分析和评估等。其工作量巨大，容易出现疏漏，而且有些工作如系统软硬件漏洞检测等无法用手工完成，因此目前国内外均使用相应的评估辅助工具，如漏洞检测软件和风险评估辅助软件等。档案信息安全风险评估也需借助相应的辅助工具，直接可用的是各种系统软硬件漏洞测试软件或我国依据《GB／T 20984-2007信息安全技术信息安全风险评估规范》开发的风险评估辅助软件，将来可开发专门的档案信息安全风险评估辅助工具软件。

4　档案信息安全风险评估需整体评估

信息安全风险评估不仅需进行安全技术评估，更重要的需进行安全管理等评估，我国已将信息系统等级保护作为一项安全制度，对不同等级的信息系统根据国家相关标准确定安全等级并采取该等级对应的基本安全措施，其中包括安全技术措施和安全管理措施，因此评估风险时同样需进行安全技术和安全管理的整体风险评估，档案信息安全风险评估同样如此。

档案信息安全风险评估具体方法

根据档案信息安全风险评估原理。从资产识别到风险计算，都需根据信息系统自身情况和风险评估要求选择合适的具体方法，包括：资产识别方法、威胁识别方法、脆弱性识别方法、现有措施识别法和风险计算方法等。

1　资产识别方法

档案信息资产识别是对信息资产的分类和判定其价值，因此资产识别方法包括资产分类方法和资产赋值方法。

(1)资产分类方法

在风险评估中资产分类没有严格的标准，但一般需满足：所有的资产都能找到相应的类；任何资产只能有唯一的类相对应。常用的资产分类方法有：按资产表现形式分类、按资产安全级别分类和按资产的功能分类等。

在《GB／T 20984-2007信息安全技术信息安全风险评估规范》中，对资产按其表现形式进行分类，即分为数据、软件、硬件、服务、人员及其他(主要指组织的无形资产)。这种分类方法的优点为：资产分类清晰、资产分类详细，其缺点为：资产分类与其安全属性无关、资产分类过细造成评估极其复杂，因为目前大部分风险评估

都以资产识别作为起点，一项资产面临多项威胁，—项威胁又与多项脆弱性有关，最后造成针对某一项资产的风险评估就十分复杂，缺乏实际可操作性。这种分类方法比较适合于初次风险评估单位对所有信息资产进行摸底和统计。

风险评估中资产的价值不是以资产的经济价值来衡量，所以信息资产分类应与信息资产安全要求有关，即依据信息资产对安全要求的高低进行分类，这种方法同时也满足下一环节即信息资产重要度赋值需求。任何一个档案信息资产无论是硬件、软件还是其他，其均有安全属性，在《GB／T 20984-2007信息安全技术信息安全风险评估规范》中要求：“资产价值应依据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出”。可选择每个资产在上述三个安全属性中最重要的安全属性等级作为其最后重要等级。但档案信息安全属性应该更多，除上述属性外还包括：真实性、不可否认性(抗抵赖)、可控性和可追溯性，所以可以根据档案信息的七个安全属性中最重要属性的等级作为该资产等级。

目前信息资产安全属性等级如保密性等级可分为：很高、高、中等、低、很低，因此信息资产按安全等级也可分为：很高、高、中等、低、很低，即如果此信息资产保密性等级为“中”，完整性等级为“中”，可用性等级为“低”，则取此信息资产安全等级最高的“中”级。

按信息资产安全级别分类法符合风险评估要求，因为体现了安全要求越高其资产价值越高的宗旨，在统计资产时也可按表现形式和安全等级结合的方法进行，如下表1所示。“类别”为按第一种分类方法中的类别，重要度为第二种方法中的五个等级。

但如果风险评估时按表1进行资产分类时，每个档案信息系统将具有很多资产，这样针对每一项资产进行评估的时间和精力对于评估方都难以接受。因此，在《信息安全风险评估——概念、方法和实践》一书中提出：“最好的解决办法应该是面对系统的评估”，信息资产安全等级分类的起点可以认为是系统(或子系统)，这样可以在资产统计时用资产表现形式进行分类，在资产安全等级分类时按系统或子系统进行大致分类，即同一个系统或子系统中的资产的安全等级相同，这样满足了组织进行风险评估时“用最少的时间找到主要风险”的思想。

(2)资产赋值方法

由于信息资产价值与安全等级有关，因此对资产赋值应与“很高、高、中等、低、很低”相关，但这是定性的方法，结合定量方法为对应“5、4、3、2、1”五个值，同时将此值称为“资产等级重要度”。

2　威胁识别方法

(1)威胁分类方法

对档案信息系统的威胁可从表现形式、来源、动机、途径等多角度进行分类，而常用的为按来源和表现形式分类。按来源可分为：环境因素和人为因素，人为因素又分为恶意和无意两种。基于表现形式可分为：物理环境影响、软硬件故障、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改和抵赖等。由于威胁对信息系统的破坏性极大，所以应以分类详细为宗旨，按表现形式方法分类较为合适。

(2)威胁赋值方法

威胁赋值是以威胁出现的频率为依据的，评估者应根据经验或相关统计数据进行判断，综合考虑三个方面：“以往安全事件中出现威胁频率及其频率统计，实践中检测到的威胁频率统计、近期国内外相关组织的威胁预警”。。可以对威胁出现的频率进行等级化赋值，即为：“很高、高、中等、低、很低”，相应的值为：“5、4、3、2、1”。

3　脆弱性识别方法

脆弱性的识别可以以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，同时结合已有安全控制措施，对脆弱性的严重程度进行评估。脆弱性识别时来自于信息资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员等，并对脆弱性识别途径主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。

(1)脆弱性分类方法

脆弱性一般可以分为两大类：信息资产本身脆弱性和安全控制措施不足带来的脆弱性。资产本身的脆弱性可以通过测试或漏洞扫描等途径得到，属于技术脆弱性。而安全控制措施不足的脆弱性包括技术脆弱性和管理脆弱性，管理脆弱性更容易被威胁所利用，最后造成安全事故。档案信息系统脆弱性分类最好按技术脆弱性和管理脆弱性进行。技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题，管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。

(2)脆弱性赋值方法

根据脆弱性对资产的暴露程度(指被威胁利用后资产的损失程度)，采用等级方式可对已经分类并识别的脆弱性进行赋值。如果脆弱性被威胁利用将对资产造成完全损害，则为最高等级，共分五级：“很高、高、中等、低、很低”，相应的值为：“5、4、3、2、1”。

脆弱性值(已有控制措施仍存在的脆弱性)也可称为暴露等级，将暴露等级“5、4、3、2、1”可转化为对应的暴露系数：100％、80％、60％、40％、20％，再将“脆弱性”与“资产重要度等级”联系，计算出如果脆弱性被威胁利用后发生安全事故的影响等级。

影响等级=暴露系数×资产等级重要度

4　已有控制措施识别方法

(1)识别方法

在识别脆弱性的同时应对已经采取的安全措施进行确认，然后确定安全事件发生的容易度。容易度描述的是在采取安全控制措施后威胁利用脆弱性仍可能发生安全事故的容易情况，也就是威胁的五个等级：“很高、高、中等、低、很低”，相应的取值为：“5、4、3、2、1”，“5”为最容易发生安全事故。

同时安全事件发生的可能性与已有控制措施有关，评估人员可以根据对系统的调查分析直接给在用控制措施的有效性进行赋值，赋值等级可分为0-5级，

“0”为控制措施基本有效，“5”为控制措施基本无效。

(2)安全事件可能性赋值

安全事件发生的可能性可用以下公式计算：

发生可能性=发生容易度(即威胁赋值)+控制措施

5　风险计算方法

风险计算方法有很多种，但其必须与资产安全等级、面临威胁值、脆弱性值、暴露等级值、容易度值、已有控制措施值等有关，计算出风险评估原理图中的影响等级和发生可能性值。目前一般而言风险计算公式如下：

风险=影响等级×发生可能性

综上所述，可将信息资产、面临威胁、可利用脆弱性、暴露、容易度、控制措施、影响、可能性、风险值构成表2，最终计算出风险值。下表以某数字档案馆为例，其主要分为馆内档案管理系统和电子文件中心，评估资产以子系统作为分类和赋值为起点，并只以部分威胁、脆弱性列出并计算风险。

上表中暴露等级值体现了脆弱性，容易度体现了威胁，以表2第一行为例计算档案管理系统数据泄密的风险值，过程如下：

影响等级=暴露系数×资产等级重要度＝(3／5)*5＝3

可能性=容易度(威胁值)+控制措施值＝3+3＝6

篇2

1 前言

网络风险评估就是对网络自身存在的脆弱性状况、外界环境可能导致网络安全事件发生的可能性以及可能造成的影响进行评价。网络风险评估涉及诸多方面，为及早发现安全隐患并采取相应的加固方案，运用有效地网络安全风险评估方法可以作为保障信息安全的基本前提。网络安全的风险评估主要用于识别网络系统的安全风险，对计算机的正常运行具有重要的作用。如何进行网络安全的风险评估是当前网络安全运行关注的焦点。因此，研究网络安全的风险评估方法具有十分重要的现实意义。鉴于此，本文对网络安全的风险评估方法进行了初步探讨。

2 概述网络安全的风险评估

2.1 网络安全的目标要求

网络安全的核心原则应该是以安全目标为基础。在网络安全威胁日益增加的今天，要求在网络安全框架模型的不同层面、不同侧面的各个安全纬度，有其相应的安全目标要求，而这些安全目标要求可以通过一个或多个指标来评估，以减少信息丢失和网络安全事故的发生，进而提高工作效率，降低风险。具体说来，网络安全风险评估指标，如图1所示。

2.2 风险评估指标的确定

风险评估是识别和分析相关风险并确定应对策略的过程。从风险评估的指标上来看，网络安全风险指标体系由三大部分组成，分别是网络层指标体系、传输网风险指标体系和物理安全风险指标，为内部控制措施实施指明了方向。同时，每种指标体系中还包含资产、威胁和脆弱性三要素。

3 网络安全的风险评估方法

网络安全问题具有很强的动态特征，在了解网络安全的目标要求和风险评估指标的基础上，为了更合理地评估网络安全风险， 使信息网络安全体系具有反馈控制和快速反应能力，可以从几个方面入手。

3.1 网络风险分析

网络风险分析是网络安全风险评估的关键。在网络安全的风险评估中，安全风险分析是风险评估的第一个环节，是全面掌握安全风险状况的基础。一般来说，风险就是指丢失所需要保护资产的可能性。网络安全风险分析就是估计网络威胁发生的可能性，以及因系统的脆弱性而引起的潜在损失。大多数风险分析在最初要对网络资产进行确认和评估；此后再用不同的方法进行损失计算。

3.2 风险评估工作

风险评估工作在网络安全中具有重要的作用。由于诱发网络安全事故的因素很多，在进行网络安全风险评估时，开展安全风险评估工作，对防范安全风险有举足轻重的作用。总的来说，风险评估的方法有定量的风险评估方法和定性的风险评估方法两种。从网络安全风险的评估方法上看，不同的评估方法对安全风险的评估也不尽相同。在进行安全风险评估时，应结合网络安全的实际情况，选择安全风险评估方法。

3.3 安全风险决策

信息安全风险评估是对信息安全进行风险管理的最根本依据，就网络安全而言，安全风险决策是网络安全风险评估的重要组成部分。安全决策就是根据评估结论决定网络系统所需要采取的安全措施。风险分析与评估的目的是为了向网络管理者提供决策支持信息，进而形成合理的、有针对性地安全策略，保障信息系统安全。由上可知，安全风险决策在一定程度上可以使网络威胁得到有效控制。

3.4 安全风险监测

为加强网络安全管理，在网络安全的风险评估过程中，安全风险监测也至关重要。就目前而言，在网络运行期间，系统随时都有可能产生新的变化，例如增添新的网络软硬件、软件升级、设备更新等都将导致资产发生变化。这时先前的风险评估结论就失去了意义，需要重新进行风险分析、风险评估和安全决策，以适应网络系统的新变化。安全监测过程能够实时监视和判断网络系统中的各种资产在运行期间的状态，并及时记录和发现新的变换情况。因此，建立安全风险监测项目数据库，进行动态分析势在必行。

4 结束语

网络安全的风险评估是一项综合的系统工程，具有长期性和复杂性。网络安全评估系统能够发现网络存在的系统脆弱性，在进行网络安全风险评估的过程中，应把握好网络风险分析、风险评估工作、安全风险决策和安全风险监测这几个环节，发现和堵塞系统的潜在漏洞，不断探索网络安全的风险评估方法，只有这样，才能最大限度的降低网络安全威胁，确保网络的安全运行。

参考文献

[1] 覃德泽，蒙军全.网络安全风险评估方法分析与比较[J].网络安全技术与应用， 2011（04）.

[2] 刘枫.网络安全风险评估研究与实践[J].网络安全技术与应用， 2009（11）.

[3] 党德鹏，孟真.基于支持向量机的信息安全风险评估[J].华中科技大学学报（自然科学版），2010（03）.

[4] 黄水清，张佳鑫，闫雪.一种内部网络信息安全风险评估模型及技术实现[J].情报理论与实践，2010（02）.

[5] 赵冬梅，刘金星，马建峰.基于改进小波神经网络的信息安全风险评估[J].计算机科学，2010（02）.

篇3

中图分类号：F062.5 文献标识码：A 文章编号：1009-914X（2013）06-0100-02

随着计算机信息系统在各军工企业的科研、生产和管理的过程中发挥巨大作用，部分单位提出了军工数字化设计、数字化制造、异地协同设计与制造等概念，并开展了ERP、MES2～PDM等系统的应用与研究。这些信息系统涉及大量的国家秘密和企业的商业秘密，是军工企业最重要的工作环境。因此各单位在信息系统规划与设计、工程施工、运行和维护、系统报废的过程中如何有效的开展信息系统的风险评估是极为重要的。

一、风险评估在信息安全管理体系中的作用

信息安全风险评估是指依据国家风险评估有关管理要求和技术标准，对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。风险评估是组织内开展基于风险管理的基础，它贯穿信息系统的整个生命周期，是安全策略制定的依据，也是ISMS（Information Security Management System，信息安全管理体系）中的一部分。风险管理是一个建立在计划（Plan）、实施（D0）、检查（Check）、改进（Action）的过程中持续改进和完善的过程。风险评估是对信息系统进行分析，判断其存在的脆弱性以及利用脆弱性可能发生的威胁，评价是否根据威胁采取了适当、有效的安全措施，鉴别存在的风险及风险发生的可能性和影响。

二、信息系统安全风险评估常用方法

风险评估过程中有多种方法，包括基于知识（Knowledge based）的分析方法、基于模型（Model based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，各种方法的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。

1、基于知识的分析方法

在基线风险评估时采用基于知识的分析方法来找出目前安全状况和基线安全标准之间的差距。基于知识的分析涉及到对国家标准和要求的把握，另外评估信息的采集也极其重要，可采用一些辅的自动化工具，包括扫描工具和入侵检测系统等，这些工具可以帮助组织拟订符合特定标准要求的问卷，然后对解答结果进行综合分析，在与特定标准比较之后给出最终的报告。

2、定量分析方法

定量分析方法是对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就都可以被量化。定量分析就是从数字上对安全风险进行分析评估的一种方法。定量分析两个关键的指标是事件发生的可能性和威胁事件可能引起的损失。

3、定性分析方法

定性分析方法是目前采用较为广泛的一种方法，它具有很强的主观性，需要凭借分析者的经验和直觉，或国家的标准和惯例，为风险管理诸要素的大小或高低程度定性分级。定性分析的操作方法可以多种多样，包括讨论、检查列表、问卷、调查等。

4、几种评估方法的比较

采用基于知识的分析方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，最终达到消减和控制风险的目的。

理论上定量分析能对安全风险进行准确的分级，但前提是可供参考的数据指标是准确的，事实上随着信息系统日益复杂多变，定量分析所依据的数据的可靠性也很难保证，且数据统计缺乏长期性，计算过程又极易出错，给分析带来了很大困难，因此目前采用定量分析或者纯定量分析方法的比较少。

定性分析操作起来相对容易，但也存在因操作者经验和直觉的偏差而使分析结果失准。定性分析没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力。定量分析依赖大量的统计数据，而定性分析没有这方面的要求，定量分析方法也不方便于后期系统改进与提高。

本文结合以上几种分析方法的特点和不足，在确定评估对象的基础上建立了一种基于知识的定性分析方法，并且本方法在风险评估结束后给系统的持续改进与提高提供了明确的方法和措施。

三、全生命周期的信息系统安全风险评估

由于信息系统生命周期的各阶段的安全防范目的不同，同时不同信息系统所依据的国家标准和要求不一样，使风险评估的目的和方法也不相同，因此每个阶段进行的风险评估的作用也不同。

信息系统按照整个生命周期分为规划与设计、工程实施、运行和维护、系统报废这四个主要阶段，每个阶段进行相应的信息系统安全风险评估的内容、特征以及主要作用如下：

第一阶段为规划与设计阶段，本阶段提出信息系统的目的、需求、规模和安全要求，如信息系统是否以及等级等。信息系统安全风险评估可以起到了解目前系统到底需要什么样的安全防范措施，帮助制定有效的安全防范策略，确定安全防范的投入最佳成本，说服机构领导同意安全策略的完全实施等作用。在本阶段标识的风险可以用来为信息系统的安全分析提供支持，这可能会影响到信息系统在开发过程中要对体系结构和设计方案进行权衡。

第二阶段是工程实施阶段，本阶段的特征是信息系统的安全特征应该被配、激活、测试并得到验证。风险评估可支持对系统实现效果的评价，考察其是否满足要求，并考察系统运行的环境是否是预期设计，有关风险的一系列决策必须在系统运行之前做出。

第三阶段是运行和维护阶段，本阶段的特征是信息系统开始执行其功能，一般情况下系统要不断修改，添加硬件和软件，或改变机构的运行规则、策略和流程等。当定期对系统进行重新评估时，或者信息系统在其运行性生产环境中做出重大变更时，要对其进行风险评估活动，了解各种安全设备实际的安全防范效果是否有满足安全目标的要求；了解安全防范策略是否切合实际，是否被全面执行；当信息系统因某种原因做出硬件或软件调整后，分析原本的安全措施是否依然有效。

第四阶段是系统报废阶段，可以使用信息系统安全风险评估来检验应当完全销毁的数据或设备，确实已经不能被任何方式所恢复。当要报废或者替换系统组件时，要对其进行风险评估，以确保硬件和软件得到了适当的报废处置，且残留信息也恰当地进行了处理，并且要确保信息系统的更新换代能以一个安全和系统化的方式完成。对于是信息系统的报废处理时，应按照国家相关保密要求进行处理和报废。

四、基于评估对象，知识定性分析的风险评估方法

1、评估方法的总体描述

在信息系统的生命周期中存在四个不同阶段的风险评估过程，其中运行和维护阶段的信息系统风险评估是持续时间最长、评估次数最多的阶段，在本阶段进行安全风险评估，首先应确定评估的具体对象，也就是限制评估的具体物理和技术范围。在信息系统当中，评估对象是与信息系统中的软硬件组成部分相对应的。例如，信息系统中包括各种服务器、服务器上运行的操作系统及各种服务程序、各种网络连接设备、各种安全防范设备和产品或应用程序、物理安全保障设备、以及维护管理和使用信息系统的人，这些都构成独立的评估对象，在评估的过程中按照对象依次进行检查、分析和评估。通常将整个计算机信息系统分为七个主要的评估对象：（1）信息安全风险评估；（2）业务流程安全风险评估；（3）网络安全风险评估；（4）通信安全风险评估；（5）无线安全风险评估；（6）物理安全风险评估；（7）使用和管理人员的风险评估。

在对每个对象进行评估时，采用基于知识分析的方法，针对互联网采用等级保护的标准进行合理分析，对于军工企业存在大量的信息系统，采用依据国家相关保密标准进行基线分析，同时在分析的过程中结合定性分析的原则，按照“安全两难定律”、“木桶原理”、“2/8法则”进行定性分析，同时在分析的过程中，设置一些“一票否决项”。对不同的评估对象，按照信息存储的重要程度和数量将对象划分为“高”、“中”、“低”三级，集中处理已知的和最有可能的威胁比花费精力处理未知的和不大可能的威胁更有用，保障系统在关键防护要求上得到落实，提高信息系统的鲁棒性。

2、基于知识的定性分析

军工企业大多数信息系统为信息系统，在信息系统基于知识分析时，重点从以下方面进行分析：物理隔离、边界控制、身份鉴别、信息流向、违规接入、电磁泄漏、动态变更管理、重点人员的管理等。由于重要的信息大多在应用系统中存在，因此针对服务器和用户终端的风险分析时采用2/8法则进行分析，着重保障服务器和应用系统的安全。在风险评估中以信息系统中的应用系统为关注焦点，分析组织内的纵深防御策略和持续改进的能力，判别技术和管理结合的程度和有效性并且风险评估的思想贯穿于应用的整个生命周期，对信息系统进行全面有效的系统评估。在评估过程中根据运行环境和使用人群，判别技术措施和管理措施互补性，及时调整技术和管理措施的合理性。在技术上无法实现的环节，应特别加强分析管理措施的制定和落实是否到位和存在隐患。

篇4

1.前言

建筑业是危险性较大的行业之一，安全生产管理的任务十分艰巨，安全生产不仅关系到广大群众的根本利益，也关系到企业的形象，还关系到国家和民族的形象，甚至影响着社会的稳定和发展。党的十六届五中全会确立了“安全生产”的指导原则，我国“十一五”发展规划中首次提出了“安全发展”的新理念。所有这些表明，安全生产已成为生产经营活动的基本保障，更是当前建筑工程行业管理的首要目标。

风险评估的目的是为了全面了解建设安全的总体安全状况，并明确掌握系统中各资产的风险级别或风险值，从而为工程安全管理措施的制定提供参考。因此可以说风险评估是建立安全管理体系（ISMS）的基础，也是前期必要的工作。风险评估包括两个过程：风险分析和风险评价[1][2]。风险分析是指系统化地识别风险来源和风险类型，风险评价是指按给出的风险标准估算风险水平，确定风险严重性。

2.风险评估模型与方法

风险评估安全要素主要包括资产、脆弱性、安全风险、安全措施、安全需求、残余风险。在风险评估的过程中要对以上方面的安全要素进行识别、分析。

2.1 资产识别与赋值

一个组织的信息系统是由各种资产组成，资产的自身价值与衍生价值决定信息系统的总体价值。资产的安全程度直接反映信息系统的安全水平。因此资产的价值是风险评估的对象。

本文的风险评估方法将资产主要分为硬件资产、软件资产、文档与数据、人力资源、信息服务等[1][2]。建设工程的资产主要体现在建筑产品、施工人员、施工机械等。

风险评估的第一步是界定ISMS的范围，并尽可能识别该范围内对业务过程有价值的所有事物。

资产识别与赋值阶段主要评价要素为{资产名称、责任人、范围描述、机密性值C、完整性值I、可用性值A、QC、QI、QA}。QC、QI、QA分别为保密性，完整性，可用性的权重，QC=C / （C+I+A），QI、QA类似。

2.2 识别重要资产

信息系统内部的资产很多，但决定工程安全水平的关键资产是相对有限的，在风险评估中可以根据资产的机密性、完整性和可用性这三个安全属性来确定资产的价值。

通常，根据实际经验，三个安全属性中最高的一个对最终的资产价值影响最大。换而言之，整体安全属性的赋值并不随着三个属性值的增加而线性增加，较高的属性值具有较大的权重。

在风险评估方法中使用下面的公式来计算资产价值：

资产价值=10×Round{Log2[（2C+2I+2A）/3]}

其中，C代表机密性赋值；I代表完整性赋值；A代表可用性赋值；Round{}表示四舍五入。

从上述表达式可以发现：三个属性值每相差一，则影响相差两倍，以此来体现最高安全属性的决定性作用。在实际评估中，常常选择资产价值大于25的为重要资产。

2.3 威胁与脆弱性分析

识别并评价资产后，应识别每个资产可能面临的威胁。在识别威胁时，应该根据资产目前所处的环境条件和以前的记录情况来判断。需要注意的是，一项资产可能面临多个威胁，而一个威胁也可能对不同的资产造成影响。

识别威胁的关键在于确认引发威胁的人或事物，即所谓的威胁源或威胁。建筑企业的威胁源主要是四个方面：人的不安全行为，物的不安全因素、环境的不安全因素、管理的不安全因素。

识别资产面临的威胁后，还应根据经验或相关的统计数据来判断威胁发生的频率或概率。评估威胁可能性时有两个关键因素需要考虑：威胁动机和威胁能力。威胁源的能力和动机可以用极低、低、中等、高、很高（1、2、3、4、5）这五级来衡量。脆弱性，即可被威胁利用的弱点，识别主要以资产为核心，从技术和管理两个方面进行。在评估中可以分为五个等级：几乎无（1）、轻微（2）、一般（3）、严重（4）、非常严重（5）。在风险评估中，现有安全措施的识别也是一项重要工作，因为它也是决定资产安全等级的一个重要因素。我们要在分析安全措施效力的基础上，确定威胁利用脆弱性的实际可能性。

2.4 综合风险值

资产的综合风险值是以量化的形式来衡量资产的安全水平。在计算风险值时，以威胁最主要影响资产C、I、A三安全属性所对应的系数QC、QI、QA为权重。计算方法为：

威胁的风险值（RT）=威胁的影响值（I）×威胁发生的可能性（P）；

2.5 风险处理

通过前面的过程，我们得到资产的综合风险值，根据组织的实际情况，和管理层沟通后划定临界值来确定被评估的风险结果是可接收还是不可接收的。

对于不可接收的风险按风险数值排序或通过区间划分的方法将风险划分为不同的优先等级，对于风险级别高的资产应优先分配资源进行保护。

对于不可接收的风险处理方法有四种[3]：

1）风险回避，组织可以选择放弃某些业务或资产，以规避风险。是以一定的方式中断风险源，使其不发生或不再发展，从而避免可能产生的潜在损失。例如投标中出现明显错误或漏洞，一旦中标损失巨大，可以选择放弃中标的原则，可能会损失投标保证金，但可避免更大的损失。

2） 降低风险：实施有效控制，将风险降低到可接收的程度，实际上就是设法减少威胁发生的可能性和带来的影响，途径包括：

a.减少威胁：例如降低物的不安全因素和人的不安全因素。

b.减少脆弱性：例如，通过安全教育和意识培训，强化员工的安全意识等。

c.降低影响：例如灾难计划，把风险造成的损失降到最低。

d.监测意外事件、响应，并恢复：例如应急计划和预防计划，及时发现出现的问题。

3）转移风险：将风险全部或者部分转移到其他责任方，是建筑行业风险管理中广泛采用的一项对策，例如，工程保险和合同转移是风险转移的主要方式。

4）风险自留： 适用于别无选择、期望损失不严重、损失可准确预测、企业有短期内承受最大潜在损失的能力、机会成本很大、内部服务优良的风险。

选择风险处理方式，要根据组织运营的具体业务环境与条件来决定，总的原则就是控制措施要与特定的业务要求匹配。最佳实践是将合适的技术、恰当的风险消减策略，以及管理规范有机结合起来，这样才能达到较好的效果。

通过风险处理后，并不能绝对消除风险，仍然存在残余风险：

残余风险Rr =原有的风险Ro-控制R

目标：残余风险Rr≤可接收的风险Rt，力求将残余风险保持在可接受的范围内，对残余风险进行有效控制并定期评审。

主要评估两方面：不可接受风险处理计划表，主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、风险处理方式、优先处理等级、风险处理措施、处理人员、完成日期}；残余风险评估表，主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、增加的控制措施、残余威胁发生可能性、残余威胁影响程度、残余风险值}。

2.6 风险评估报告

在风险评估结束后，经过全面分析研究，应提交详细的《安全风险评估报告》，报告应该包括[4]：

1） 概述，包括评估目的、方法、过程等。

2） 各种评估过程文档，包括重要资产清单、安全威胁和脆弱性清单、现有控制措施的评估等级，最终的风险评价等级、残余风险处理等。

3）推荐安全措施建议。

3.结论

目前仍有相当一部分施工现场存在各种安全隐患，安全事故层出不群，不仅给人们带来剧痛的伤亡和财产损失，还给社会带来不稳定的因素。风险评估是工程安全领域中的一个重要分支，涉及到计算机科学、管理学、建筑工程安全技术与管理等诸多学科，本文的评估方法综合运用了定性、定量的手段来确定建设工程中各个安全要素，最终衡量出建设工程的安全状况与水平，为建立安全管理体系ISMS提供基础，对建设工程的风险评估具有一定的借鉴意义。

参考文献：

[1]ISO/IEC 17799：2000 Information Technology-Code of Practice for Information Security Management.

篇5

二、计算机信息系统安全风险的评估方法分析

（一）以定性与定量为主的评估方法

计算机信息系统安全风险评估方法中应用较为广泛的主要为定性评估方式，其分析内容大多为信息系统威胁事件可能发生的概率及其可能造成的损失。通常以指定期望值进行表示如高值、中值以及低值等。但这种方式无法将风险的大小作出正确判断。另外定量分析方法对威胁事件发生的可能性与其所造成的损失评估时，首先会对特定资产价值进行分析，再以客观数据为依据对威胁频率进行计算，当完成威胁影响系数的计算后，便将三者综合分析，最终推出计算风险的等级。

（二）以知识和模型为基础的风险评估

以知识为基础的风险评估通常会根据安全专家的评估经验为依据，优势在于风险评估的结构框架、实施计划以及保护措施可被提供，对较为相似的机构可直接利用以往的保护措施等便可实现机构安全风险的降低。另外以模型为基础的评估方式可将计算机信息系统自身的风险及其与外部环境交互过程中存在的不利因素等进行分析，以此实现对系统安全风险的定性评估。

（三）动态评估与分析方式

计算信息系统风险管理实际又可理解为信息安全管理的具体过程，一般会将信息安全方针的制定、风险的评估与控制、控制方式的选择等内容包含在内。整个评估与分析方式具有一定的动态特征，以PDCA为典型代表，其计划、实施、检查以及改进实现了对风险的动态管理。

（四）典型风险评估与差距分析方法分析

典型风险评估主要包括FTA、FMECA、Hazop等方法，对计算机信息系统设计中潜在的故障与薄弱之处，都可提出相应的解决措施，以FTA故障树分析为典型代表，在分析家算计信息系统的安全性与可靠性方面极为有效。差距分析方式往往以识别、判断以及具体分析的方式对系统的安全要求与当前的系统现状存在的差距进行系统风险的确定，存在的差距越大则证明存在的风险越大。

篇6

1.引言

自IBM于2009提出“智慧地球”理念以来，国内外已经有众多城市以网络为基础，打造数字化、泛在互联的新型智慧型城市。在智慧城市的建设和研究过程中，将新兴的物联网、云计算、超级计算，以及基础通信网络、软件服务化、数据共享、整合、挖掘与分析等技术全面应用。同时也对信息安全带来了全角度的冲击。

建设智慧城市必将面临各种风险，本文主要研究和讨论智慧城市工程信息系统的风险和评估方法。并且为建设智慧城市信息安全提供设计思路。

目前信息安全风险评估的方法主要有层次分析法[1]、神经网络方法[2]和模糊理论[3]等；信息安全要求是通过对安全风险的系统评估予以识别的[4]。风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。

2.建设智慧城市面临的信息安全风险

2.1 智慧城市信息系统的基本结构

智慧城市主要由三部分组成，底层为基础设施平台，主要包括互联网络和感知网络；数据共享平台主要包括基础信息资源库，例如人口信息、地理信息等；应用服务平台是面向公众、企业及政府的综合服务门户平台。

2.2 智慧城市面临的信息安全风险

信息安全风险是认为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响[5]。如表1所示，智慧城市面临的信息安全风险主要有物理破坏、人为破坏、设备故障、内部与外部攻击、数据误用、数据丢失以及应用程序错误等风险。智慧城市服务面广、影响广泛，面对大众，其持续服务能力和流畅服务能力直接关系到智慧城市建设的成败。而这两个服务能力又取决于管理者和建设者对以上风险的认知和处理程度。

3.信息安全风险识别

信息安全风险识别的基本依据就是客观世界的因果关联性和可认识性[5]。在建设智慧城市的过程中，信息系统必将面临各种安全风险。明确识别风险，评估风险，并合理的管理风险，是参与智慧城市项目建设中每个人的责任和义务。

风险识别主要有两种方法，一种是从主观信息源出发的识别方法。主要利用头脑风暴法，德尔菲方法（Delphi method）和情景分析法（Scenarios analysis）。前两种方法在我国使用的较多，情景分析法是一种定性预测方法，对预测对象可能出现的情况或引起的后果做出预测的方法，操作过程复杂，目前在我国的具体应用较少。另外一种风险识别的方法是从客观信息源出发的识别方法。主要利用核对表法、流程图法、数据或结果实验法、工作结构分解分析法和财务报表法等。

信息安全风险管理是识别并评估风险、将风险降低至可接受级别、执行适当机制来维护这种级别的过程。没有绝对安全的环境，每种环境都会存在某种程度的脆弱性，都会面临一定的威胁。问题的关键在于识别威胁，估计它们实际发生的可能性以及可能造成的破坏，并采取恰当的措施将系统环境的总体风险降低至组织机构认为可以接受的级别。

4.终端面临安全风险

用户访问智慧城市信息数据的终端虽然不属于智能城市建设的范畴，但面对大量的用户终端，智慧城市工程相关管理和技术人员必须要考虑智慧城市系统对用户终端的影响。

根据CATR 2013年3月4日的研究数据显示，预计2013年中国3G用户将增长1.5-1.8亿户，用户规模突破3亿户。也就是说会有很大量用户通过3G智能终端获取信息。智慧城市的信息数据，也将通过3G移动互联网送至用户的智能手机上。会存在黑客利用智慧城市信息服务平台攻击用户智能终端的情况。

另外一部分用户将使用个人计算机机通过互联网访问智慧城市信息数据。同样黑客也有机会利用智慧城市信息服务平台攻击用户的个人计算机。

最后，由于智能电视、网络机顶盒的出现，还将会有部分用户通过电视机访问智慧城市的信息数据，黑客也有攻击智能电视机网络机顶盒等电视机接入设备。

智慧城市工程的建设，要应对网络犯罪和黑客攻击，维护移动互联网安全，需要将移动网络、后台服务以及个体终端结合起来，从全局角度提出一个完整的综合性解决方案，这就对普通用户、移动运营商、网络安全供应商、手机制造商、第三方软件开发商以及网络信息提供商都提出了更高的要求。同时，还需要政府监管部门完善响应的监管体系，加强相关法律法规的建设。

5.信息安全风险评估

信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及其由处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，并提出有针对性的抵御威胁的防护对策和整改措施。进行信息安全风险评估，就是要防范和化解信息安全风险，或者将风险控制在可接受的水平，从而为最大限度的保障网络和信息安全提供科学依据。[6]

通过风险评估后，就可以针对信息系统中的高危风险进行风险管理。风险评估目前主要有定量风险分析方法和定性风险分析方法。国内外研究人员又在此基础上提出了层次分析法（AHP），故障树分析法和基于模糊数学的分析方法。另外就是基于科研机构颁布的标准或指南的信息安全风险评估方法，比较传统的方法有BS7799标准、CC标准、ISO13335信息和通信技术安全管理指南和NIST相关标准等。这些标准或指南对信息安全风险评估具有很好的指导作用，且大多数是基于定性的风险评估，对评估者的能力要求高，评估具有很大的主观性。

对于智慧城市工程的信息系统，可以采用多种不同的方法对信息系统进行综合风险评估，将不同风险评估方法得出的结果系统分析，实施全方位、多角度的风险管理。只有通过对信息系统的安全风险评估才能对智慧城市工程存在的风险进行合理、科学和有效的管理。

6.结束语

在建设智慧城市工程的过程中，信息安全风险评估以及风险管理势在必行。在规划设计阶段根据实际投资和项目情况，以国家相关标准为基础进行规划设计，并参照《信息系统安全等级保护基本要求》（GB/T22239-2008）对信息系统进行安全保护。正确识别和评估安全风险要始终贯穿到工程项目建设的每一个环节中。在项目建设初期从多角度、全方位识别风险，不留风险盲区；在项目建设过程中，通过风险评估的结论，将风险降低到可以接受的程度；在后期的使用维护过程中，始终使用PDCA方法，不断的去识别、评估和降低安全风险。动态将风险识别和风险评估方法贯彻到智慧城市工程的每一个阶段，确保实现安全可靠的智慧型政府、智慧型民生和智慧型产业。

参考文献

[1]王奕，费洪晓，蒋蘋.FAHP方法在信息安全风险评估中的研究[J].计算机工程与科学，2006，28（9）：4-6.

[2]赵冬梅，刘海峰，刘晨光.基于BP神经网络的信息安全风险评估[J].计算机工程与应用，2007，43（1）：139-141.

[3]陈光，匡光华.信息安全风险评估的模糊多准则决策方法[J].信息安全域通信保密，2006，7：23-25.

[4]信息安全管理实施指南（ISO17799：2005C）.

篇7

0 前言

网络安全正逐渐成为一个国际化的问题，每年全球因计算机网络的安全系统被破坏而造成的经济损失达数千亿美元。网络安全是一个系统的概念，有效的安全策略或方案的制定，是网络信息安全的首要目标。安全风险评估是建立网络防护系统，实施风险管理程序所开展的一项基础性工作。

然而，现有的评估方法在科学性、合理性方面存在一定欠缺。例如：评审法要求严格按照BS7799标准，缺乏实际可操作性；漏洞分析法只是单纯通过简单的漏洞扫描或渗透测试等方式对安全资产进行评估；层次分析法主要以专家的知识经验和统计工具为基础进行定性评估。针对现有网络安全评估方法中出现的这些问题，本文拟引用一种定性与定量相结合，综合化程度较高的评标方法――模糊综合评价法。

模糊综合评价法可根据多因素对事物进行评价，是一种运用模糊数学原理分析和评价具有“模糊性”的事物的系统分析方法，它是一种以模糊推理为主的定性与定量相结合、非精确与精确相统一的分析评价方法。该方法利用模糊隶属度理论把定性指标合理的定量化，很好的解决了现有网络安全风险评估方法中存在的评估指标单一、评估过程不合理的问题。

1 关于风险评估的几个重要概念

按照ITSEC的定义对本文涉及的重要概念加以解释：

风险(Risk)：威胁主体利用资产的漏洞对其造成损失或破坏的可能性。

威胁(Threat)：导致对系统或组织有害的，未预料的事件发生的可能性。

漏洞(Vulnerabmty)：指的是可以被威胁利用的系统缺陷，能够增加系统被攻击的可能性。

资产(Asset)：资产是属于某个组织的有价值的信息或者资源，本文指的是与评估对象信息处理有关的信息和信息载体。

2 网络安全风险评估模型

2.1 网络安全风险评估中的评估要素

从风险评估的角度看，信息资产的脆弱性和威胁的严重性相结合，可以获得威胁产生时实际造成损害的成功率，将此成功率和威胁的暴露率相结合便可以得出安全风险的可能性。

可见，信息资产价值、安全威胁和安全漏洞是风险评估时必须评估的三个要素。从风险管理的角度看，这三者也构成了逻辑上不可分割的有机整体：①信息资产的影响价值表明了保护对象的重要性和必要性。完整的安全策略体系中应当包含一个可接受风险的概念；②根据IS0-13335的定义，安全威胁是有能力造成安全事件并可能造成系统、组织和资产损害的环境因素。可以通过降低威胁的方法来降低安全风险，从而达到降低安全风险的目的；③根据IS0-13335的观点，漏洞是和资产相联系的。漏洞可能为威胁所利用，从而导致对信息系统或者业务对象的损害。同样，也可以通过弥补安全漏洞的方法来降低安全风险。

从以上分析可以看出，安全风险是指资产外部的威胁因素利用资产本身的固有漏洞对资产的价值造成的损害，因此风险评估过程就是资产价值、资产固有漏洞以及威胁的确定过程。

即风险R＝f(z，t，v)。其中：z为资产的价值，v为网络的脆弱性等级，t为对网络的威胁评估等级。

2.2 资产评估

资产评估是风险评估过程的重要因素，主要是针对与企业运作有关的安全资产。通过对这些资产的评估，根据组织的安全需求，筛选出重要的资产，即可能会威胁到企业运作的资产。资产评估一方面是资产的价值评估，针对有形资产；另一方面是资产的重要性评估，主要是从资产的安全属性分析资产对企业运作的影响。资产评估能提供：①企业内部重要资产信息的管理；②重要资产的价值评估；③资产对企业运作的重要性评估；④确定漏洞扫描器的分布。

2.3 威胁评估

安全威胁是可以导致安全事故和信息资产损失的活动。安全威胁的获取手段主要有：IDS取样、模拟入侵测试、顾问访谈、人工评估、策略及文档分析和安全审计。通过以上的威胁评估手段，一方面可以了解组织信息安全的环境，另一方面同时对安全威胁进行半定量赋值，分别表示强度不同的安全威胁。

威胁评估大致来说包括：①确定相对重要的财产，以及其价值等安全要求；②明确每种类型资产的薄弱环节，确定可能存在的威胁类型；③分析利用这些薄弱环节进行某种威胁的可能性；④对每种可能存在的威胁具体分析造成损坏的能力；⑤估计每种攻击的代价；⑥估算出可能的应付措施的费用。

2.4 脆弱性评估

安全漏洞是信息资产自身的一种缺陷。漏洞评估包括漏洞信息收集、安全事件信息收集、漏洞扫描、漏洞结果评估等。

通过对资产所提供的服务进行漏洞扫描得到的结果，我们可以分析出此设备提供的所有服务的风险状况，进而得出不同服务的风险值。然后根据不同服务在资产中的权重，结合该服务的风险级别，可以最后得到资产的漏洞风险值。

3 评估方法

3.1传统的评估方法

关于安全风险评估的最直接的评估模型就是，以一个简单的类数学模型来计算风险。即：风险＝威胁+脆弱+资产影响

但是，逻辑与计算需要乘积而不是和的数学模型。即：风险＝威胁x脆弱x资产影响

3.2 模糊数学评估方法

然而，为了计算风险，必须计量各单独组成要素（威胁、脆弱和影响)。现有的评估方法常用一个简单的数字指标作为分界线，界限两边截然分为两个级别。同时，因为风险要素的赋值是离散的，而非连续的，所以对于风险要素的确定和评估本身也有很大的主观性和不精确性，因此运用以上评估算法，最后得到的风险值有很大的偏差。用模糊数学方法对网络安全的风险评估进行研究和分析，能较好地解决评估的模糊性，也在一定程度上解决了从定性到定量的难题。在风险评估中，出现误差是很普遍的现象。风险评估误差的存在，增加了评估工作的复杂性，如何把握和处理评估误差，是评估工作的难点之一。

在本评估模型中，借鉴了模糊数学概念和方法中比较重要的部分。这样做是为了既能比较简单地得到一个直观的用户易接受的评估结果，又能充分考虑到影响评估的各因素的精度及其他一些因素，尽量消除因为评估的主观性和离散数据所带来的偏差。

（1）确定隶属函数。

在模糊理论中，运用隶属度来刻画客观事物中大量的模糊界限，而隶属度可用隶属函数来表达。如在根据下面的表格确定风险等级时，当U值等于49时为低风险，等于51时就成了中等风险。

此时如运用模糊概念，用隶属度来刻画这条分界线就好得多。比如，当U值等于50时，隶属低风险的程度为60％，隶属中等风险的程度为40％。

为了确定模糊运算，需要为每一个评估因子确定一种隶属函数。如对于资产因子，考虑到由于资产级别定义时的离散性和不精确性，致使资产重要级别较高的资产(如4级资产)也有隶属于中级级别资产（如3级资产)的可能性，可定义如下的资产隶属函数体现这一因素：当资产级别为3时，资产隶属于二级风险级别的程度为10％，隶属于三级风险级别的程度为80％，属于四级风险级别的程度为10％。

威胁因子和漏洞因子的隶属度函数同样也完全可以根据评估对象和具体情况进行定义。

（2）建立关系模糊矩阵。

对各单项指标(评估因子)分别进行评价。可取U为各单项指标的集合，则U＝(资产，漏洞，威胁)；取V为风险级别的集合，针对我们的评估系统，则V＝(低，较低，中，较高，高)。对U上的每个单项指标进行评价，通过各自的隶属函数分别求出各单项指标对于V上五个风险级别的隶属度。例如，漏洞因子有一组实测值，就可以分别求出属于各个风险级别的隶属度，得出一组五个数。同样资产，威胁因子也可以得出一组数，组成一个5×3模糊矩阵，记为关系模糊矩阵R。

（3）权重模糊矩阵。

一般来说，风险级别比较高的因子对于综合风险的影响也是最大的。换句话说，高的综合风险往往来自于那些高风险级别的因子。因此各单项指标中那些风险级别比较高的应该得到更大的重视，即权重也应该较大。设每个单项指标的权重值为β1。得到一个模糊矩阵，记为权重模糊矩阵B，则B＝(β1,β2,β3)。

（4）模糊综合评价算法。

进行单项评价并配以权重后，可以得到两个模糊矩阵，即权重模糊矩阵B和关系模糊矩阵R。则模糊综合评价模型为：Y＝B x R。其中Y为模糊综合评估结果。Y应该为一个1x 5的矩阵：Y＝(y1，y2,y3，y4，y5)。其中yi代表最后的综合评估结果隶属于第i个风险级别的程度。这样，最后将得到一个模糊评估形式的结果，当然也可以对这个结果进行量化。比如我们可以定义N＝1×y1十2×y2十3×y3×y4十5×y5作为一个最终的数值结果。

4 网络安全风险评估示例

以下用实例说明基于模糊数学的风险评估模型在网络安全风险评估中的应用。

在评估模型中，我们首先要进行资产、威胁和漏洞的评估。假设对同样的某项资产，我们进行了资产评估、威胁评估和漏洞评估，得到的风险级别分别为：4、2、2。

那么根据隶属函数的定义，各个因子隶属于各个风险级别的隶属度为：

如果要进行量化，那么最后的评估风险值为：PI= 1*0.06+2*0.48+3*0.1+4*0.32+5*0.04＝2.8。因此此时该资产的安全风险值为2.8。

参考文献

［1］郭仲伟.风险分析与决策［M］.北京：机械工业出版社，1987.

［2］韩立岩，汪培庄.应用模糊数学［M］.北京：首都经济贸易大学出版社，1998.

篇8

2信息系统管理中信息安全风险评估方法

2.1信息安全风险评估内容

信息安全风险评估的主要内容包括评估资产的威胁性和脆弱性,对已有安全措施进行风险评估分析。信息资产是指对信息资源产生一定利用价值的总称,是信息安全评估中的重点保护对象,主要分为人员、数据、软件和硬件等资源,根据各种资源的完整性、保密性以及可用性进行等级划分,评估组织系统中资产的威胁性,包括直接威胁和间接威胁等,根本目的在于对安全风险需求的分析,建立风险防范措施,有效降低信息安全的威胁性因素。

2.2风险评估方法

信息系统管理中的信息安全风险评估方法较多,本文主要从人工评估法和定性评估法两方面进行分析。人工评估法。又称为手工评估法,是指在整个风险评估的过程中,运用人工作业的形式进行信息安全风险评估,通过对资产、投资成本的风险的安全需求、威胁性、脆弱性以及安全措施等,进行有效评估,根据其风险效益制定出与之相对应的决策。定性评估法。定性评估法是根据专业机构以及专家等对风险的判断分析,属于一种相对主观的评估方法,该评估方法偏向于关注风险带来的损失,忽略了风险的发生频率。其他评估方法包括工具辅助评估和定量评估等方法。

2.3层次分析方法

通过运用层次分析法对信息安全的评价体系进行构建,进而对风险进行综合性评价。通过运用层次分析法对信息安全的风险作出评估,评价信息安全风险所涉及到的各个要素间的相对重要的权数,根据各个要素的排序,作出横向比较分析,为信息安全的风险评估提供可靠依据。对信息安全的风险评估中,通过运用层次分析法进行有效评估,进而增强风险评估的有效性。通过分析资产、威胁性、脆弱性以及安全措施的四个评价指标体系,对安全风险进行合理性的分析评估,降低安全风险系数。

篇9

随着社会经济快速发展，信息传递无论是速度还是容量均不断创造新的高度。信息传递方式与人们的生活、工作、学习息息相关。信息产业发展蒸蒸日上，建立在信息技术基础上的信息系统存在一定风险，易受到黑客攻击，且信息系统充斥各种病毒，系统运行过程存在一定风险。基于此必须做好信息系统安全建设，进行安全风险评估，奠定安全基础。

1 风险评估概述

互联网快速发展极大提高人们的生活、工作、学习效率，与此同时发来一系列安全隐患。人们通过互联网可实现信息有效获取，信息传递过程中仍旧可能出现信息被第三方截取情况，信息保密性、完整性、可靠性等均收到影响。网络环境虽然方便信息处理方式，但也带来一系列安全隐患。

从信息安全角度而言，风险评估就是对信息系统自身存在的的种种弱点进行分析，判断可能存在的威胁、可能造成的影响等。综合风险可能性，便于更好展开风险管理。风险评估是研究信息安全的重要途径之一，属于组织信息安全管理体系策划过程。

风险评估主要内容包括：识别信息系统可能面对的各种风险、风险出现的概率、风险可能导致的后果、风险消除策略、风险控制策略等。信息系统构成极为复杂，因此信息系统安全风险评估是一项综合性工作，其组织架构较为繁杂，主要包括技术体系、组织结构、法律体系、标准体系、业务体系等。

20世纪八十年代，以美国、加拿大为代表的发达国家已建立起风险评估体系。我国风险评估体系建立较晚，至今只有十几年时间。目前我国安全风险评估已得到相关部门高度重视，为其快速发展奠定坚实基础。

网络环境虽然带来无穷便利，却也带来各种安全隐患。互联网环境下信息系统易被黑客攻击。一切社会因素均与信息系统联系在一起，人们生活在同一信息系统下总是希望自身隐私得到保护，因此在建设信息系统是必须做好信息安全风险评估，规避信息系统存在的各种风险，提高信息系统安全性，让人们生活在安全信息环境中。

2 信息安全风险评估方法

网络的出现对人们的生活和思维方式带来极大变革，信息交流更加方便，资源共享程度无限扩大，但是网络是一个较为开放的系统，对进入网络系统的人并未有一定约束，因此必然导致安全隐患的出现。随着信息系统建设不断深入，信息系统必将对社会经济、政治、文化、教育等造成巨大影响。基于此需要提升信息系统安全风险评估合理性，降低安全隐患，让人们在安全的信息环境下生活和工作。

2.1 定性评估方法

定性评估是信息安全风险评估使用最频繁的方法，此法基于评估者通过特有评估方法，总结经验、历史等无法量化 因素对系统风险进行综合评估，从而得出评估结果。该中方法更注重安全风险可能导致的后果，忽略安全时间可能发生的概率。定性评估中有很多因素无法量化处理，因此其评估结果本身就存在一定不确定性，此种评估方法适用于各项数据收集不充分情况。

定性评估虽然在概率上无法保障，但可挖掘出一些较为深刻的思想，其结论主观性较强，可预判断一些主观性结论。基于此需要评估人员具较高职业素养，不受限与数据及经验的束缚。典型定性评估方法有逻辑评估法、历史比较法、德尔菲法。

德尔菲法是定性评估中较为常见评估方法之一，经过多轮征询，将专家的意见进行归结，总结专家预测趋势，从而做出评估，预测未来市场发展趋势，得出预测结论。从本质上来说，德尔菲法是一种匿名预测函询法，其流程为：征求专家匿名意见――对该项数据进行归纳整理――反馈意见给专家――收集专家意见――…――得出一致意见。德尔菲法是一种循环往复的预测方法可逐渐消除不确定因素，促进预测符合实际。

2.2 定量评估方法

定量评估与定性评估是相互对立的，此种方法需要建立在一切因素均标准化基础上。定量评估首先需要收集相关数据，且需保证数据准确性，之后利用数学方法建立模型，验证各种过程从而得出结论。定量评估需要准备充足资料，是一种利用公式进行结果推到的方法。从本质上来说定量评估客服定性评估存在的不足，更具备客观性。定量评估可将复杂评估过程量化，但该种方法需要建立在准确数据基础上。定量评估方法主观性不足，其结论不够深刻具体。定量评估方法中具有代表性的方法为故障树评估法。

故障树评估法采用逻辑思维进行风险评估，其特点是直观明了，思路清晰。是一种演绎逻辑推理方法，其推理过程由果及因，即在推理中由结果推到原因，主要运用于风险预测阶段，得出风险发生具体概率，并以此为基础得出风险控制方法。

2.3 定性评估与定量评结合综合评价方法

由前文可知定性评估和定量评估各自存在优缺点。定性评估主观性较强，客观性不足。定量评估主观性不足，客观性较强。因此将二者结合起来便可起到互补不足的效果。定性评估需要耗费少量人力、物力、财力成本，建立在评估者资质基础上。定量评估运用数学方法展开工作，预测结果较为准确，逻辑性较强，但成本较高。从本质上来看，定性为定量的依据，定量是对定性的具体化，因此只有将二者结合起来才能实现最佳评估效果。

3 信息安全风险评估过程

信息安全风险评估建立在一定评估标准基础上，评估标准是评估活动开展的基础和前提。信息安全风险评估过程需要评估技术、工具、方法等全面支持，在此基础上展开全面风险评估，结合实际情况选择合适评估方法。正确的评估方法可提高信息安全风险评估结果准确性，这就要求评估过程中需建立正确评估方法，克服评估过程存在的不足，从而取得最佳结果。

4 结束语

当今信息系统不断发展完善，为保证信息系统运行环境的安全性必须对信息系统进行安全风险评估。信息安全风险评估具有多种方法，实际评估中应该结合实际情况选择合适方法，提高信息安全风险评估结果准确性，为建立安全信息环境奠定坚实基础。

参考文献

[1]应力.信息安全风险评估标准与方法综述[J].上海标准化，2014（05）：34-39.

[2]张玉清.信息安全风险评估综述[J].通信学报，2015（02）：45-53.

篇10

中图分类号：U448.23文献标识码：A

一、概述

风险评估是通过深入讨论风险发生机理，辨识风险源，并利用概率论和数理统计的方法测算风险事故发生的概率及损失程度，然后制定应对策略，降低风险发生的概率及其可能导致的损失。为加强公路桥梁和隧道工程安全管理，增强安全风险意识，优化工程建设方案，提高工程建设和运营安全性，2010年9月1日，交通运输部批准实施了《公路桥梁和隧道工程设计安全风险评估指南》，对建设条件，施工工艺以及结构形式复杂的节后工程开展风险评估工作。

二、评估方法

（一）定量评估方法

此方法以实验数据为依据，通过建立数学模型，运用数值分析和数学计算，对风险进行量化，将风险造成的损失频率、损失程度以及其它有关因素结合起来考虑，分析风险造成的影响。主要有失效概率法、蒙特卡罗法等。

（二）定性评估方法

此方法以评估人员的分析能力，借助经验及专家意见对风险进行分析与判断，是一种感性直观的方法。主要用于对无法量化和量化水平较低的风险进行分析评价，或者在定量联系的基础上做定性分析，得出更加可靠的结果。主要有检查表法、头脑风暴法、专家调查法等。

（三）定量定性评估方法

此方法兼顾了定性评估方法和定量评估方法的优点，弥补各自的不足，能更好达到对工程项目的各项风险进行可靠的评估。

三、工程背景及评估过程

（一）工程简介

某五跨大跨径预应力混凝土连续刚构桥，桥跨布置：60+120+120+120+60m。主桥上部结构为预应力混凝土变截面连续刚构桥，桥面为两幅，分离式，宽2×15m，箱梁为单箱单室截面。采用midas civil有限元程序进行建模计算，整体模型如下：

图1有限元计算模型

（二）评估过程

风险评估从建设条件、施工技术、结构方案、运营管理四个方面进行，评估过程按照风险识别、风险估测、风险评价、风险控制进行，首先确定风险评估的范围与对象，然后进行风险源的识别，确定主要风险源与次要风险源，计算其风险概率与风险损失，对其风险进行安全性评价，最后根据评估结果进行风险控制及应急预案。

（三）评估结果

本文主要对该刚构桥结构方案进行评估，作用效应采用以下三种组合：

组合I：恒载+基础沉降+汽车荷载+人群

组合II：恒载+基础沉降+汽车荷载+人群+体系升温+正温差

组合II：恒载+基础沉降+汽车荷载+人群+体系降温+负温差

表1主梁持久状况承载能力极限状态安全验算

评估小组依据《公路桥梁和隧道工程设计安全风险评估指南》中的方法和程序，通过搜集资料、现场查看、专家咨询、专家调查等工作，对该桥方案进行了风险评估：结论如下：

主要风险为：主梁下挠与开裂、施工期间风致失稳、挂篮施工风险等。

该方案设计风险等级为II级，风险水平可以接受。

四、结语

在今后的桥梁建设过程中，为了将风险损失降到最低，为桥梁工程的建设提供科学的决策，风险评估技术变的越来越重要，尤其是对建设条件复杂、技术难度大的桥梁更应该进行风险评估研究。

参考文献：

关于在初步设计阶段实行公路桥梁和隧道工程安全风险评估制度的通知（交公路发〔2010〕175号）〔S〕.中华人民共和国交通运输部，2010.

中交公路规划设计研究院有限公司.公路桥梁和隧道工程设计安全评估指南（试用本）〔R〕北京：中交公路规划设计院有限公司，2008.

桥梁工程风险评估.阮欣，陈艾荣，石雪飞.北京：人民交通出版社，2008.