信息系统安全风险评估研究综述

风险评估是信息系统安全保证的关键技术.笔者对国内外现有的信息安全风险评估方法与技术进行归纳和系统的评述.回顾了信息安全风险评估的理论框架与现有的评估标准;在此基础上,比较了包含FTA,FMECA,HAZOP等在内的传统风险评估技术和以CORAS为代表的现代风险评估技术;肯定了现代风险评估技术在利用统一建模语言进行半形式化表述方面的先进性以及根据信息系统生命周期的各个阶段特点选用适宜的风险评估方法的灵活性;同时指出该现代风险评估技术在动态识别、评估安全风险方面的不足;提出了一种改进和完善现代风险评估技术的方法,即利用Markov链形式化描述并分析信息系统,确保了分布式信息系统风险评估的需要.此外,针对信息安全风险的不确定性,提出了通过模糊集理论丰富现代风险评估方法的研究方向.