基于Web的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工具的設(shè)計(jì)

本文作者在對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估理論和方法進(jìn)行深入研究的基礎(chǔ)上，根據(jù)自身參
與信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的工作實(shí)踐，提出了一種基于Web 的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工具的設(shè)計(jì)思路，以解決安全評(píng)估標(biāo)準(zhǔn)的可操作性和具體實(shí)施與應(yīng)用。
《BS7799 國際標(biāo)準(zhǔn)》將信息安全定義為：信息的保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的保持。隨著信息技術(shù)的飛速發(fā)展，信息安全的內(nèi)涵從最初的CIA屬性進(jìn)而又發(fā)展為“攻（攻擊）、防（防范）、測（檢測）、控（控制）、管（管理）、評(píng)（評(píng)估）”等多方面綜合的基礎(chǔ)理論和實(shí)施技術(shù)。當(dāng)今時(shí)代，國際上圍繞信息的獲取、使用和控制的斗爭愈演愈烈，人類對(duì)信息和信息系統(tǒng)安全的認(rèn)識(shí)已上升至維護(hù)國家安全和社會(huì)穩(wěn)定的高度。
信息系統(tǒng)安全應(yīng)該從系統(tǒng)工程的角度來看待，而在這項(xiàng)系統(tǒng)工程中信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估占有重要地位，它是信息系統(tǒng)安全的基礎(chǔ)和前提。信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估是通過脆弱點(diǎn)發(fā)現(xiàn)、威脅分析等手段對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)狀況進(jìn)行掌握和了解，即利用定性或定量的方法，借助于風(fēng)險(xiǎn)評(píng)估工具，確定信息資產(chǎn)的風(fēng)險(xiǎn)等級(jí)和優(yōu)先風(fēng)險(xiǎn)控制，在風(fēng)險(xiǎn)數(shù)據(jù)分析的基礎(chǔ)上，對(duì)改進(jìn)與完善網(wǎng)絡(luò)信息系統(tǒng)現(xiàn)有安全水平提供建議。
在信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估中，評(píng)估工具的設(shè)計(jì)與開發(fā)一直是研究的重點(diǎn)。本文作者在對(duì)各類評(píng)估標(biāo)準(zhǔn)進(jìn)行深入分析與研究的基礎(chǔ)上，結(jié)合自身實(shí)際工作經(jīng)驗(yàn)，提出了一個(gè)基于Web 的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工具的設(shè)計(jì)方法，該評(píng)估工具圍繞著信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估流程，降低了評(píng)估過程中的主觀性和評(píng)估成本，提高了評(píng)估的效率和準(zhǔn)確性。