1.5.3 信息安全风险评估

信息系统的安全风险是指由于系统中存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的后果或影响。信息安全风险评估是依据国家有关信息安全技术标准，对信息系统及其处理、传输和存储信息的保密性、完整性和可用性等安全属性进行科学评价的过程。它要评估导致风险的事件对信息系统的脆弱性、信息系统面临的威胁，以及脆弱性被威胁利用后所产生的后果和实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。

图1-5 网络安全等级保护

信息安全是一个动态的复杂过程，它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自内部破坏、外部攻击和内外勾结进行的破坏以及自然危害。显然，在信息安全风险评估的初级阶段，我们无法精确地预测事件发生的概率，也没有该事件发生后其损失的精确数字（后果），因此，必须按照风险管理的思想，对可能的威胁、脆弱性和需要保护的信息资源进行分析，依据风险评估的结果为信息系统选择适当的安全保护措施，妥善地应对可能发生的风险。

信息安全风险评估工具是信息安全风险评估的辅助手段，是保证风险评估结果可信度的一个重要因素。信息安全风险评估工具包括风险评估与管理工具（如表1-1所示）、系统基础平台风险评估工具和风险评估辅助工具。常见的系统基础平台风险评估工具有流光Fluxay脆弱性扫描工具、Nessus脆弱性扫描工具、极光远程安全评估系统、天镜脆弱性扫描与管理系统、Metasploit渗透工具、Immunity CANVAS渗透测试工具等，风险评估辅助工具常采用调查问卷、人员访谈、入侵检测工具和安全审计工具等。

表1-1 常用风险评估与管理工具

任何信息系统都会有安全风险。人们追求的所谓安全的信息系统，实际上是指信息系统在实施了风险评估并做出风险控制后，残余风险可被接受的信息系统。因此，要追求信息系统的安全，就不能脱离全面、完整的安全评估，就必须运用风险评估的思想和规范，对信息系统开展风险评估。