综合风险评估工具的设计与实现

研究了信息安全风险评估工具的分类方法与发展趋势，在分析国内外多种风险评估方法的基础上，设计并实现了一个综合风险评估工具。该工具是多专家评估系统，集成了安全管理评价工具、系统软件评估工具和风险评估辅助工具3类工具的功能，运用定量和定性相结合的方法进行风险评估，为提高风险评估效率、确保评估结果的科学性提供了有力支持。     

基于TSP风险评估的研究

控制软件项目的风险是软件项目管理的重要组成部分。要控制软件项目的风险，首先需要进行软件风险评估，但是目前的软件风险评估方法存在着一些不足。对一些中小规模的软件开发来说，比如TSP，复杂的、高成本的风险评估方法并不适合。因此，对于类似TSP的中小规模软件开发，需要一种相对简单实用的风险评估方法。文中根据TSP开发的特点，在分析已有风险评估方法的基础上，提出了一个基于概率分类权重求和的风险评估方法，并在几个中小项目开发中应用了该方法，为项目的风险管理提供了快速有效的风险评估数值。     

建立健全信息安全风险评估的工作机制--信息安全专家赵战生访谈

作为国家信息安全保障的重要基础性工作，信息安全风险评估在信息体系建设的各个阶段扮演着重要的角色。据悉，2003年7月，国信办信息安全风险评估课题组就启动了信息安全风险评估相关标准的编制工作，今年下半年，国家还将对信息安全风险评估进行试点，全国信息安全风险评估工作指导意见也有望于今年内出台。日前，本刊记者就相关话题采访了我国著名信息安全专家，信息安全风险评估课题组成员赵战生。     

关于信息安全风险评估的研究

文章从信息安全风险评估的概念入手，点出了开展信息安全风险评估的意义，着重论述了信息安全风险评估的模型、方法和手段。     

基于BS7799风险评估数据库的设计与实施

BS7799是国际上得到广泛应用的风险评估标准。在基于BS7799的风险评估中，风险评估数据在保证评估的客观性与真实性中起着重要的作用。本文根据风险评估的一般原理和BS7799的特点，探讨了针对BS7799风险评估数据进行管理与分析的风险评估数据库的设计，并在实际的评估工具中进行实现。为基于BS7799标准的风险评估工作提供了可以借鉴的经验。     

信息安全风险评估:既要勇于探索,又需谨慎前行

从去年开始，国信办组织了8个试点单位在试点单位所主管或运营的部分网络和信息系统中，围绕不同环节，开展了一次信息安全风险评估试点工作。为了做好试点工作，在国信办安全组领导下，组建了由信息安全主管部门代表和一批业界专家组成的信息安全风险评估课题组，课题组秘书处设在国家信息中心，同时委托国家信息中心牵头负责试点的具体工作，同时明确了课题组的三项任务：进一步完善“全国信息安全风险评估工作意见”，开展信息系统安全风险评估试点，做好信息安全风险评估宣传。     

系统安全风险评估数据库

描述了风险评估数据库的整体设计方案。对风险评估数据库的应用背景作了概要的介绍，结合数据的获取方式分析了数据库中用于风险评估的数据源的内容，分析了数据库的结构，给出了数据库表之间的关系，并介绍了系统中数据库管理工具的设计思想。     

一种有效的风险评估模型、算法及流程

风险评估作为信息安全管理流程中最关键的步骤之一，需要一套科学的模型来保证其有效实施。研究和制定风险评估的模型、算法和流程成为当前研究的热点问题。该文依据ISO/IEC通用标准及一些商用标准，提出了一种较为科学且行之有效的风险评估模型和算法，并且描述了风险评估的流程，对组织自评估有很好的参考意义。     

从风险评估到风险管理

继7月5日、7月12日《高端导刊－安全》栏目持续关注信息安全风险评估之后，本期的话题转向信息安全风险管理。国信办信息安全风险评估课题组成员范红博士认为，风险评估和风险管理是不可分的。风险评估是风险管理的重要环节，只有通过有效的风险管理，风险评估的作用和意义才能实现。在风险管理中应对如何建立客户与评估方之间的标准会话提供指导性意见，并注重评估风险。并确定风险评估应对应于客户的业务运营系统，而不仅仅局限于计算设施系统。CA、IBM、冠群金辰、卫士通等公司的相关人士从不同的角度，阐述了信息安全风险管理的实际意义及实施方法。栏目热线：jiez@ccu.com.cn     

基于GQM模型的工业控制系统风险评估方法

风险评估是保证工业控制系统安全的重要机制，当前，信息安全和功能安全的耦合越来越紧密，考虑到不同组织的业务目标和运营环境多样化程度高，工控系统信息安全风险评估应紧密结合业务目标。基于目标-问题-度量（GQM）模型，从目标确定、问题描述、度量指标定义工控系统风险评估流程，以工控系统所承载的业务目标为指引，基于风险场景模型提出问题，围绕提出的问题收集信息，根据收集的信息和数据对度量指标进行关联分析和评价。最后，以PLC风险评估为实例，具体说明和验证了基于GQM模型的工业控制系统风险评估方法的有效性。     

基于云计算模式的信息安全风险评估研究

该文介绍了云计算的概况和面临的安全威胁,结合传统信息安全风险评估工作,分析了云计算信息安全风险评估中需要考虑的评估指标,重点论述了信息资产评估识别过程,给出了基于云计算的信息安全风险定量计算方法。     

基于层次分析涉密信息系统风险评估

信息技术的发展使得政府和军队相关部门对信息系统安全问题提出更高要求。涉密信息系统安全有其独特性,风险评估区别于普通信息安全系统。文章以涉密信息系统为研究对象,首先阐述涉密信息系统的特点,针对其独特性对现有信息安全风险评估方法进行分析评价。然后将基于层析分析法的评估模型引入到涉密信息系统安全风险评估中。为涉密信息系统进行风险评估提供一种新的技术思路。最后通过实例分析,所提模型在处理涉密信息系统评估过程中对得到的离散数据分布无要求,与德菲尔法以及 BP 神经网络相比,该模型具有一定实用性和可扩张性,适合用于实际地涉密信息系统风险评估中。     

军校学员信息安全风险评估问题及对策研究

迅速发展和广泛应用的互联网,是广大军校学员获取信息的有效途径,同时也对信息安全形成巨大挑战,展开针对军校学员信息安全的风险评估具有现实意义势在必行。本文分析了结合对军校学员面临的网络信息安全风险,指出了行为的调研和信息安全风险评估的技术方法,同时总结了军校学员面临的信息安全风险和目前风险评估存在的问题,并提出了具体的实施对策。     

信息安全风险评估方法研究——基于"资产-威胁"评价指数矩阵风险分析方法研究

信息安全风险评估是组织信息安全的基础和前提,也是信息安全保障的重要内容。该文介绍了信息安全及其信息安全风险评估概念,然后对信息安全风险评估因素、方法进行了分析,并提出基于"资产—威胁/脆弱性"评价指数矩阵风险分析方法。     

一个信息安全风险评估系统的设计及应用

文章给出了信息安全风险评估的定义及研究现状,并在此基础上设计了一个信息安全评估系统的体系结构,给出风险评估过程和安全风险评估功能。同时将该安全风险评估系统进行了实际测试,结果表明该系统能确定受测系统存在的安全风险。     

基于改进模糊综合评价方法的信息系统安全风险评估

针对信息系统安全风险分析的准确性问题,提出一种基于改进模糊综合评价方法的信息系统安全风险分析方法。该方法结合一种模糊一致矩阵来求得各风险因素的权重。并在此基础上采用多级模糊方法对风险进行评估,通过风险评估模型的指标数据,得到风险评估安全级别,为今后信息系统安全风险评估提供了一定的帮助。     

模糊评价在信息系统安全综合评测中的应用

随着我国信息化的快速发展,信息安全变的越来越重要,信息安全等级保护、信息安全风险评估和安全检查作为我国信息安全保障的重要手段和制度越来越被政府和各行各业重视．笔者通过积累多年的信息安全测评经验,以及结合金融行业和国税总局等多个全国联网大系统的风险评估、等级保护测评和安全检查三项整合工作的经验总结,提出在信息系统信息安全三合一整合的综合信息安全测评中采用基于模糊综合评价方法论,进行信息安全的综合评价具有实际的可操作性和指导意义．     

基于电子商务的信息安全风险评估与对策

近年来,电子商务业务在我国的发展日益迅速,随之而来便是备受人们关注的电子商务系统的信息安全问题及其风险评估。本文在就我国电子商务系统所存在的信息安全问题进行讨论的基础上,分析了我国电子商务信息安全风险评估的现状与改善对策,旨在提高我国的电子商务信息安全风险评估意识和技术,建立一套完善的电子商务信息安全及评估机制。     

基于智能电网的信息安全风险评估研究

智能电网的信息安全将会给智能电网的正常运行产生直接且重要的影响。鉴于此,本文基于智能电网的信息安全风险评估展开相关研究,首先阐述了研究智能电网信息安全风险评估的重要意义,其次探索了智能电网信息安全风险评估机制,再次讨论了智能电网信息安全的防护措施,最后结合案例加以分析,以期为业内人士提供一些有益参考。     

信息安全风险评估分析方法简述

随着信息化的发展,信息系统依赖程度日益增强,采用风险管理的理念去识别安全风险,解决信息安全问题得到了广泛的认识和应用。该文首先介绍了风险评估工作的操作模式,指出了风险评估的实施过程阶段,简要阐述了信息安全风险评估的主要分析方法。