信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。

信息安全风险评估，则是指依据有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。

信息系统风险分析和评估是一个复杂的过程，一个完善的信息安全风险评估架构应该具备相应的标准体系、技术体系、组织架构、业务体系和法律法规。

任何系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险，综合平衡风险和代价的过程就是风险评估。风险评估不是某个系统(包括信息系统)所特有的。在日常生活和工作中，风险评估也是随处可见，为了分析确定系统风险及风险大小，进而决定采取什么措施去减少、避免风险，把残余风险控制在可以容忍的范围内。人们经常会提出这样一些问题：什么地方、什么时间可能出问题?出问题的可能性有多大？这些问题的后果是什么？应该采取什么样的措施加以避免和弥补？并总是试圈找出最合理的答案。这一过程实际上就是风险评估。

风险评估

信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量。是对威胁、脆弱点以及由此带来的风险大小的评估。

对系统进行风险分析和评估的目的就是：了解系统目前与未来的风险所在，评估这些风险可能带来的安全威胁与影响程度，为安全策略的确定、信息系统的建立及安全运行提供依据。同时通过第三方权威或者国际机构评估和认证，也给用户提供了信息技术产品和系统可靠性的信心，增强产品、单位的竞争力。

风险评估的主要任务包括：

· 识别组织面临的各种风险；

· 评估风险概率和可能带来的负面影响；

· 确定组织承受风险的能力；

· 确定风险降低和控制的优先等级；

. 推荐风险降低政策。

风险评估过程就是在评估标准的指导下，综合利用相关评估技术、评估方法、评估工具，针对信息系统展开全方位的评估工作的完整历程。对信息系统进行风险评估，首先应确保风险分析的内容与范围应该覆盖信息系统的整个体系，应包括:系统基本情况分析、信息系统基本安全状况调查、信息系统安全组织、政策情况分析、信息系统弱点漏洞分析等。

风险评估具体评估过程如下：

1.确定资产

安全评估的第一步是确定信息系统的资产，并明确资产的价值，资产的价值是由对组织、供应商、合作伙伴、客户和其他利益相关方在安全事件中对保密性、完整性和可用性的影响来衡量的。资产的范围很广，一切需要加以保护的东西都算作资产，包括:信息资产、纸庚文件、软件资产、物理资产、人员、公司形象和声誉、服务等。资产的评估应当从关键业务开始，最终覆盖所有的关键资产。

2. 脆弱性和威胁分析

对资产进行细致周密的分析，发现它的脆弱点及由脆弱点所引发的威胁，统计分析发生概率、被利用后所造成的损失等。

3. 制定及评估控制措施

在分析各种威胁及它们发生可能性基础上，研究消除、减轻、转移威胁风险的手段。这一阶段不需要做出什么决策，主要是考虑可能采取的各种安全防范措施和它们的实施成本。

制定出的控制措施应当全面，在有针对性的同时，要考虑系统地、根本性的解决方法，为下一阶段的决策作充足的准备，同时将风险和措施文档化。

4. 决策

这一阶段包括评估影响，排列风险，制定决策。应当从3 个方面来考虑最终的决策:接受风险、避免风险、转移风险。对安全风险决策后，明确信息系统所要接受的残余风险。在分析和决策过程中，要尽可能多地让更多的人参与进来，从管理罩的代表到业务部门的主管，从技术人员到非技术人员。

5. 沟通与交流

由上一阶段所做出的决策，必须经过领导层的签字和批准，并与各方面就决策结论进行沟通。这是很重要的一个过程，沟通能确保所有人员对风险有清醒地认识，并有可能在发现一些以前没有注意到的脆弱点。

6. 监督实施

最后的步骤是安全措施的实施。实施过程要始终在监督下进行，以确保决策能够贯穿于工作之中。在实施的同时，要密切注意和分析新的威胁并对控制措施进行必要的修改。

另外，由于信息系统及其所在环境的不断变化，在信息系统的运行过程中，绝对安全的措施是不存在的：攻击者不断有新的方法绕过或扰乱系统中的安全措施；系统的变化会带来新的脆弱点；实施的安全措施会随着时间而过时等等，所有这些表明，信息系统的风险评估过程是一个动态循环的过程，应周期性的对信患系统安全进行重评估。

风险评估的方法有很多种，概括起来可分为三大类：定量的风险评估方法、定性的风险评估方法、定性与定量相结合的评估方法。标准在信息系统风险评估过程中的指导作用不容忽视，而在评估过程中使用何种方法对评估的有效性同样占有举足轻重的地位。评估方法的选择直接影响到评估过程中的每个环节，甚至可以左右最终的评估结果，所以需要根据系统的具体情况，选择合适的风险评估方法。

1.定量评估方法

定量的评估方法是指运用数量指标来对风险进行评估。典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法、决策树法等。

定量的评估方法的优点是用直观的数据来表述评估的结果，看起来一目了然，而且比较客观，定量分析方法的采用，可以使研究结果更科学，更严密，更深刻。有时，一个数据所能够说明的问题可能是用一大段文字也不能够阐述清楚的；但常常为了量化，使本来比较复杂的事物简单化、模糊化了，有的风险因素被量化以后还可能被误解和曲解。

2. 定性评估方法

定性的评估方法主要依据研究者的知识、经验、历史教训 、政策走向及特殊变例等非量化资料对系统风险状况做出判断的过程。它主要以与谓查对象的深入访谈做出个案记录为基本资料，然后通过一个理论推导演绎的分析框架，对资料进行编码整理，在此基础上做出调查结论。典型的定性分析方法有因素分析法、逻辑分析法、历史比较法、德尔斐法。

定性评估方法的优点是避免了定量方法的缺点，可以挖掘出一些蕴藏很深的思想，使评估的结论更全面、更深刻；但它的主观性很强，对评估者本身的要求很高。

3. 定性与定量相结合的综合评估方法

系统风险评估是一个复杂的过程，需要考虑的因素很多，有些评估要素是可以用量化的形式来表达，而对有些要素的量化又是很因难甚至是不可能的，所以不主张在风险评估过程中一味地追求量化，也不认为一切都是量化的风险评估过程是科学、准确的。

定量分析是定性分析的基础和前提，定性分析应建立在定量分析的基础上才能揭示客观事物的内在规律。定性分析则是灵魂，是彤成概念、观点，做出判断，得出结论所必须依靠的，在复杂的信息系统风险评估过程中，不能将定性分析和定量分析两种方法简单的割裂开来。雨是应该将这两种方法融合起来，采用综合的评估方法。

4. 典型的风险评估方法

在信息系统风险评估过程中，层次分析法经常被用到，它是一种综合的评佑方法。该方法是由美国著名的运筹学专家萨蒂TL于20世纪70年代提出来的，是一种定性与定量相结合的多目标决策分析方法。这一方法的核心是将决策者的经验判断给予量化，从而为决策者提供定量形式的决策依据。目前该方法已被广泛地应用于尚无统一度量标尺的复杂问题的分析，解决用纯参数数学模型方法难以解决的决策分析问题。该方法对系统进行分层次、拟定量、规范化处理，在评估过程中经历系统分解、安全性判断和综合判断三个阶段。它的基本步骤是：

(1)系统分解，建立层次结构模型:层次模型的构造是基于分解法的思想，进行对象的系统分解。它的基本层次有三类：目标层、准则层和指标层，目的是基于系统基本特征建立系统的评估指标体系。

(2) 构造判断矩阵，通过单层次计算进行安全性判断；判断矩阵的作用是在上一层某一元素约束条件下，对同层次的元素之间相对重要性进行比较，根据心理学家提出的"人区分信息等级的极限能力为7 ±2" 的研究结论，层次分析方法在对评估指标的相对重要程度进行测量时，引入了九分位的相对重要的比例标度，构成判断矩阵。计算的中心问题是求解判断矩阵的最大特征根及其对应的特征商量；通过判断矩拜及矩阵运算的数学方法，确定对于上一层次的某个元素而言，本层次中与其相关元素的相对风捡权值。

(3)层次总排序，完成综合判断：计算各层元素对系统目标的合成权重，完成综合判断，进行总排序，以确定递阶结构图中最f高层各个元素在总吕标中的风险程度。

风险管理

如今，风险管理已经是信息安全保障工作的一个主流范式。信息安全防范工作越来越基于风险管理。互联网的飞速发展使得公众网络的应用越来越广泛，在公众网络中间构建相对可信的网络，成为世界各国发展信息化的主要需求。如何有效地管理信息安全风险，自然成为各方面都十分关注的问题。

所谓风险管理就是以可以接受的费用识到、控制、降低或消除可能影响信息系统的安全风险的过程。风险管理通过风险评估来识别风险大小，通过制定信患安全方针、采取适当的控制自标与控制方式对风险进行控制，使风险被避免、转移或降至一个可以被接受的水平。风险管理还应考虑控制费用与风险之间的平衡。

风险管理是当今全球信息安全工作的一个热点。风险管理的核心内容目前在国际上基本包括以下四个方面：一是确立风险意识的文化；二要对风险进行现实的评估；三是要确立风险承担制；四是将风险管理纳入信息化建设的日常工作中。

安全政策的制定和实施是为了将安全风险减小到可以令人接受的限度。但由于风险具有不确定性，囱此要完全消除风险是不切实际的。对信息安全管理的设计和维护人员来说，要根据信息风险的一般规律提出安全需求，建立具有自适应能力的信息安全模型，从而将风险减小到可以接受的限度。一个信息系统是否安全要看它的风险是否在可控范围内，而不是绝对的无风险。

通过风险评估对风险进行识别和评价后，风险管理的下一步工作就是对风险实施安全控制，以确保风险被降低或消除。

风险控制的实质可归纳为以下几点：

（1）当存在系统脆弱性(缺陷或弱点)时，降低或修补系统脆弱性，减少脆弱性被攻击的可能性。

（2）当系统脆弱性可被恶意攻击时，运用层次化保护、结构化设计、管理控制等方法将风险最小化或防止脆弱性被利用。

（3）当攻击者的成本小于攻击的可能所得时，运用保护措施，通过提高攻击者成本来降低攻击者的攻击动机(例如使用系统化的控制，如限制系统用户的访问对象和行为，这些措施能够大大降低攻击所得)。

（4）当损失巨大时，运用系统设计中的基本原则及结构化设计、技术或非技术类保护措施来限制攻击的范围，从而降低可能的损失。

当选择安全控制措施进行实施时应当考虑以下因素：

.控制的易用性；

·用户透明度；

·为用户提供帮助，以发挥控制的功能；

.控制的相对强度；

·实现的功能类型。

通常，一个控制可以实现多个功能，实现的越多越好。当考虑总体安全性或应用一系列控制的时候，应尽可能保持各种功能之间的平衡，这有助于使得总体安全获得较好的效果与较高的效率。

组织根据控制的原则识别并选择了安全控制措施后，对选择的安全控制应严格实施并保持。一般可通过以下途径达到降低风险的目的：

（1）避免风险：例如通过将重要的计算机进行网络隔离，使之免受外部网络的攻击。

（2） 转移风险：例如通过将高风险的信息处理业务外包给第三方或通过购买一定的商业保险进行风险转移。

（3）减少威胁：例如建立并实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会。

（4）减少脆弱性：例如经常为系统安装补丁，修补系统漏洞，以防止系统脆弱性被利用。

（5）减少成胁可能的影响：例如建立业务持续性计划，担灾难造成的损失降到最低。

（6） 检测意外事件，并做出响应和恢复：例如使用网络管理系统对网络性能与故障进行监测，及时发现问题并做出反应。

在实施选择的安全控制后，仍然会存在风险，称之为残留风险或剩余风险。为确保组织信息系统的安全，剩余风险应当在可接受的范围之内。

风险接受是一个对残留风险进行确认和评价的过程。在安全控制实施之后，组织应对所选择的安全控制的实施情况进行评审，即对所选择的控制在多大程度上降低了风险做出判断，也就是对实施安全控制后的资产风险进行重新计算，以获得残留风险的大小，并将之分为可接受和不可接受的风险。对于每一个不可接受的风险，必须做出相应的业务决策以判断该风险可能的后果，或是增加控制费用以将该风险控制到一个可以接受的水平。

组织在完成了包括风险评估，降低风险和风险接受的风险管理过程之后，可以将风险控制在一个可以接受的水平，但并不意味着风险管理工作的结束。事实上，信息系统总是随着时间的推移而不断地更新和变化的，这样，风险就是随着时间丽变化的，风险管理也就应该是一个动态的、持续的管理过程。这就要求组织实施动态的风险评估与风险管理，在组织有新增信息资产时、系统发生重大变化时、发生严重的信息安全事故时以及任何被认为有必要的时候，都应该组织进行风险评估，以便及时识别风险并进行有效的控制。