结论和展望
信息系统安全风险评估经历了从手动评估到工具辅助评估的阶段,目前正在由技术评估到整体评估发展,由定性评估向定性和定量相结合的方向发展,由基于知识(经验)的评估向基于模型的评估方法发展。在信息系统安全应用领域,经常要求对一个组织进行信息安全风险评估。要使评估结果完整准确,必须考虑到组织的安全风险不仅仅是由计算机网络攻击所引起的,而是由技术基础结构、组织结构以及人员等综合因素所决定。也正是由于这个原因,要求信息安全风险评估必须考虑组织的方方面面的因素,同时也决定了整个评估过程非常复杂和耗时。
进一步的研究可以有下面一些方向:
(1)组织关键信息资产的确定和估价,这是安全投资决策的基础。
(2)资产、安全事件、威胁、脆弱点四者之间的关系建模以及威胁产生的概率和影响,这是定量分析的基本要求。
(3)基于模型的安全需求、安全评估以及安全管理方法的进一步完善。
(4)更加适应于信息安全领域的风险评估模型的引入和创建等。 |
