付沙

0 引言

當(dāng)前信息安全風(fēng)險(xiǎn)評(píng)估問題是信息安全領(lǐng)域的熱門話題之一，也是大家都非常關(guān)心的一個(gè)問題。信息安全風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全工程的重要組成部分，是建立信息系統(tǒng)安全體系的基礎(chǔ)和前提。“風(fēng)險(xiǎn)評(píng)估的使命是什么，就是要在威脅侵入之前發(fā)現(xiàn)問題，堵塞漏洞消除風(fēng)險(xiǎn)”。曲成義研究員認(rèn)為，做好信息安全保障的前提就是要做好信息安全風(fēng)險(xiǎn)評(píng)估工作。

加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作是當(dāng)前信息安全工作的客觀需要和緊迫需求。在我國(guó)目前的國(guó)情下，為加強(qiáng)信息安全宏觀管理，促進(jìn)信息安全保障體系建設(shè)，就必須加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的研究，并促使風(fēng)險(xiǎn)評(píng)估工作朝著制度化的方向發(fā)展。

1 信息安全風(fēng)險(xiǎn)評(píng)估工作的概況

1.1 國(guó)外信息安全風(fēng)險(xiǎn)評(píng)估工作的發(fā)展過程

國(guó)外關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估的研究已有 20多年的歷史，美國(guó)、英國(guó)等IT發(fā)達(dá)國(guó)家于20世紀(jì)70年代和80年代建立了國(guó)家認(rèn)證機(jī)構(gòu)和風(fēng)險(xiǎn)評(píng)估認(rèn)證體系，負(fù)責(zé)研究開發(fā)相關(guān)的評(píng)估標(biāo)準(zhǔn)、評(píng)估認(rèn)證方法和評(píng)估技術(shù)，并進(jìn)行基于評(píng)估標(biāo)準(zhǔn)的信息安全評(píng)估和認(rèn)證。

國(guó)外許多國(guó)家高度重視信息安全風(fēng)險(xiǎn)評(píng)估工作，強(qiáng)調(diào)要根據(jù)信息丟失、濫用、泄露、未授權(quán)訪問等造成損失的大小，制訂、實(shí)施、維持信息安全計(jì)劃，保證信息和信息系統(tǒng)的適度安全。美國(guó)政府2002年頒布《聯(lián)邦信息安全管理法》，對(duì)信息安全風(fēng)險(xiǎn)評(píng)估提出了具體的要求。歐盟國(guó)家也非常重視信息安全風(fēng)險(xiǎn)評(píng)估工作，將開展信息安全風(fēng)險(xiǎn)評(píng)估工作作為提高信息安全保障水平的重要手段。

1.2 國(guó)內(nèi)信息安全風(fēng)險(xiǎn)評(píng)估工作的發(fā)展過程

我國(guó)于2003年啟動(dòng)了信息安全風(fēng)險(xiǎn)評(píng)估工作，將信息安全風(fēng)險(xiǎn)評(píng)估工作作為一項(xiàng)重要的舉措。2003年7月23日，國(guó)務(wù)院信息化工作辦公室（以下簡(jiǎn)稱國(guó)務(wù)院信息辦）委托國(guó)家信息中心組建成立“信息安全風(fēng)險(xiǎn)評(píng)估課題組”，對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作的現(xiàn)狀進(jìn)行全面而深入地了解，提出我國(guó)開展信息安全風(fēng)險(xiǎn)評(píng)估的對(duì)策和辦法，為信息安全的下一步建設(shè)和管理做好準(zhǔn)備。2004年，國(guó)務(wù)院信息辦醞釀推動(dòng)國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估工作的試點(diǎn)工作和標(biāo)準(zhǔn)的制訂，開始著手研究制定《信息安全風(fēng)險(xiǎn)評(píng)估指南》和《信息安全風(fēng)險(xiǎn)管理指南》兩個(gè)風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)；2005年，國(guó)務(wù)院信息辦提出了風(fēng)險(xiǎn)評(píng)估的試點(diǎn)方案，并在三個(gè)部委、四個(gè)省市開展了風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作；2005年12月16日，作為一次試點(diǎn)單位總結(jié)會(huì)的“中國(guó)信息安全風(fēng)險(xiǎn)評(píng)估現(xiàn)狀與展望高峰論壇”召開，與會(huì)的專家、學(xué)者、試點(diǎn)單位負(fù)責(zé)人紛紛表示，開展信息安全風(fēng)險(xiǎn)評(píng)估工作將為推動(dòng)我國(guó)信息安全保障工作的全面開展，進(jìn)而為保障我國(guó)信息化建設(shè)的順利實(shí)施產(chǎn)生深遠(yuǎn)影響；2006年由國(guó)務(wù)院信息辦、公安部、安全部等起草了《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》。

2 信息安全風(fēng)險(xiǎn)評(píng)估的概念

信息安全風(fēng)險(xiǎn)評(píng)估，是指依據(jù)國(guó)家有關(guān)管理要求和技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其存儲(chǔ)、處理和傳輸?shù)男畔⒌臋C(jī)密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評(píng)估的過程。信息安全風(fēng)險(xiǎn)評(píng)估是有效保證信息安全的前提，也是制定安全管理措施的依據(jù)之一。

信息安全風(fēng)險(xiǎn)評(píng)估涉及四個(gè)主要因素：資產(chǎn)、威脅、弱點(diǎn)和風(fēng)險(xiǎn)。資產(chǎn)是對(duì)組織有價(jià)值的任何東西，信息技術(shù)資產(chǎn)結(jié)合了邏輯和物理的資產(chǎn)，其主要可分為五類：信息資產(chǎn)、系統(tǒng)資產(chǎn)、軟件資產(chǎn)、硬件資產(chǎn)和人員資產(chǎn)。威脅是指對(duì)組織或系統(tǒng)產(chǎn)生危害的有害事件的潛在原因。其主要可分為四類：基于網(wǎng)絡(luò)方式訪問造成的威脅、基于物理方式訪問造成的威脅、系統(tǒng)問題以及其他問題等。威脅的屬性包括資產(chǎn)、訪問、主角、動(dòng)機(jī)和結(jié)果等。薄弱點(diǎn)是一個(gè)資產(chǎn)或資產(chǎn)組能夠被威脅利用的弱點(diǎn)。弱點(diǎn)可以分為組織弱點(diǎn)和技術(shù)弱點(diǎn)。組織弱點(diǎn)是指組織的政策或?qū)嵺`中可能導(dǎo)致未授權(quán)行為的弱點(diǎn)，技術(shù)弱點(diǎn)是指系統(tǒng)、設(shè)備和直接導(dǎo)致未授權(quán)行為的組件中存在的弱點(diǎn)。技術(shù)弱點(diǎn)又可以分為設(shè)計(jì)弱點(diǎn)、實(shí)現(xiàn)弱點(diǎn)和配置弱點(diǎn)等。風(fēng)險(xiǎn)是指威脅利用薄弱點(diǎn)對(duì)資產(chǎn)或資產(chǎn)組產(chǎn)生影響的潛在可能性和潛在影響的結(jié)合。風(fēng)險(xiǎn)分析是信息安全風(fēng)險(xiǎn)評(píng)估過程中最復(fù)雜的步驟，要求對(duì)風(fēng)險(xiǎn)的識(shí)別、估計(jì)和評(píng)價(jià)做出全面的、綜合的分析。因此，要完成一個(gè)全面的風(fēng)險(xiǎn)分析必須對(duì)各種層次的風(fēng)險(xiǎn)發(fā)生的概率和影響進(jìn)行評(píng)價(jià)。當(dāng)某個(gè)威脅利用了資產(chǎn)所存在的弱點(diǎn)之后，資產(chǎn)將會(huì)面臨風(fēng)險(xiǎn)。這種危害將會(huì)影響資產(chǎn)的機(jī)密性、完整性和可用性，并造成資產(chǎn)價(jià)值的損失。

風(fēng)險(xiǎn)分析計(jì)算（風(fēng)險(xiǎn)等級(jí)評(píng)估）的三個(gè)條件為：

（1）資產(chǎn)的相對(duì)估價(jià)為：A（0≤A≤5）（由資產(chǎn)的組成要素綜合所得）；

（2）威脅的評(píng)估值為：T（0≤T≤5）（由威脅的組成特性綜合所得）；

（3）薄弱點(diǎn)的評(píng)估值為：V（0≤V≤5）（由薄弱點(diǎn)的組成特性綜合所得）；

由上述條件可得，風(fēng)險(xiǎn)值R= A×T×V，資產(chǎn)的風(fēng)險(xiǎn)值為：R（0≤R≤125）。由此計(jì)算風(fēng)險(xiǎn)值并進(jìn)行判定，劃分風(fēng)險(xiǎn)等級(jí)，風(fēng)險(xiǎn)等級(jí)分為5類：很低、低、中、高、很高，范圍依次為0≤R≤25、25

3 信息安全風(fēng)險(xiǎn)評(píng)估的目的和意義

信息安全風(fēng)險(xiǎn)評(píng)估的目的是認(rèn)清當(dāng)前的信息安全環(huán)境，全面、準(zhǔn)確地了解組織機(jī)構(gòu)的信息安全現(xiàn)狀，發(fā)現(xiàn)系統(tǒng)的安全問題及其可能存在的危害，以便為系統(tǒng)最終安全需求的提出提供依據(jù)。同時(shí)，也是為了分析網(wǎng)絡(luò)信息系統(tǒng)的安全需求，找出目前的安全策略和實(shí)際需求的差距，為保護(hù)信息系統(tǒng)的安全提供科學(xué)依據(jù)。進(jìn)而通過合理的步驟，制定出適合系統(tǒng)具體情況的安全策略及其管理和實(shí)施規(guī)范，為安全體系的設(shè)計(jì)提供參考。

通過加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的研究，使我們清楚的認(rèn)識(shí)到網(wǎng)絡(luò)信息系統(tǒng)包含的重要資產(chǎn)、面臨的主要威脅和本身存在的弱點(diǎn)；哪些威脅出現(xiàn)的可能性較大，造成的影響也較大，哪些威脅出現(xiàn)的可能性較小，造成的影響可以忽略不計(jì)；通過保護(hù)哪些資產(chǎn)，防止哪些威脅出現(xiàn)，如何保護(hù)和防止才能保證系統(tǒng)達(dá)到一定的安全級(jí)別；提出的安全方案需要多少技術(shù)和費(fèi)用的支持；進(jìn)一步分析出信息系統(tǒng)的風(fēng)險(xiǎn)是如何隨時(shí)間變化的以及將來應(yīng)如何面對(duì)這些風(fēng)險(xiǎn)。

4 信息安全風(fēng)險(xiǎn)評(píng)估的作用

信息安全風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)的起點(diǎn)和基礎(chǔ)。信息安全風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)評(píng)估理論和方法在信息系統(tǒng)中的運(yùn)用，是科學(xué)分析、理解信息和信息系統(tǒng)在機(jī)密性、完整性和可用性等方面所面臨的風(fēng)險(xiǎn)，并在風(fēng)險(xiǎn)的預(yù)防、風(fēng)險(xiǎn)的控制、風(fēng)險(xiǎn)的轉(zhuǎn)移等方面之間做出決策的過程。具體來說，信息安全風(fēng)險(xiǎn)評(píng)估的作用可以分為以下三個(gè)方面：（1）信息安全風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全的基礎(chǔ)性工作，也是觀察過程的一個(gè)持續(xù)性的工作。（2）信息安全風(fēng)險(xiǎn)評(píng)估是分級(jí)防護(hù)和突出重點(diǎn)的具體體現(xiàn)。實(shí)現(xiàn)等級(jí)保護(hù)的關(guān)鍵在于要突出重點(diǎn)，把握要害部位，再進(jìn)行分級(jí)負(fù)責(zé)，分層實(shí)施。（3）加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作是當(dāng)前信息安全工作的客觀需要和緊迫需求。風(fēng)險(xiǎn)評(píng)估對(duì)信息系統(tǒng)生命周期的支持，生命周期包括規(guī)劃和啟動(dòng)階段、設(shè)計(jì)開發(fā)或采購階段等。

5 信息安全風(fēng)險(xiǎn)評(píng)估方法的分析與評(píng)價(jià)

信息安全風(fēng)險(xiǎn)評(píng)估方法已經(jīng)經(jīng)歷了從手動(dòng)評(píng)估到半自動(dòng)化評(píng)估的階段，現(xiàn)在正在由基于技術(shù)的評(píng)估向基于整體的評(píng)估方法發(fā)展，由定性風(fēng)險(xiǎn)分析方法向定性和定量相結(jié)合的分析方法發(fā)展，由基于知識(shí)的評(píng)估向基于模型的評(píng)估方法發(fā)展。

5.1 基于技術(shù)的評(píng)估方法和基于整體的評(píng)估方法

基于技術(shù)的評(píng)估方法是指對(duì)組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序進(jìn)行系統(tǒng)的、及時(shí)的檢查，對(duì)組織內(nèi)部計(jì)算環(huán)境的安全性及其對(duì)內(nèi)外攻擊脆弱性的完整性估計(jì)。這些技術(shù)驅(qū)動(dòng)的評(píng)估通常包括：評(píng)估整個(gè)計(jì)算基礎(chǔ)結(jié)構(gòu)；使用軟件工具分析基礎(chǔ)結(jié)構(gòu)及其全部組件；提供詳細(xì)的分析報(bào)告，說明檢測(cè)到的技術(shù)弱點(diǎn)，以及為解決這些弱點(diǎn)建議具體的措施。

基于整體的評(píng)估方法擴(kuò)展了技術(shù)評(píng)估的范圍，著眼于分析組織內(nèi)部與安全相關(guān)的風(fēng)險(xiǎn)，包括內(nèi)部和外部的風(fēng)險(xiǎn)源、技術(shù)基礎(chǔ)和組織結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險(xiǎn)。

5.2 定性風(fēng)險(xiǎn)分析方法和定量風(fēng)險(xiǎn)分析方法

定性風(fēng)險(xiǎn)分析方法主要憑借分析者的經(jīng)驗(yàn)和直覺，憑借分析對(duì)象過去和現(xiàn)在的延續(xù)狀況及最新的信息資料，對(duì)分析對(duì)象的性質(zhì)、特點(diǎn)、發(fā)展變化規(guī)律做出判斷的一種方法。該方法通常只關(guān)注威脅事件所帶來的損失，而忽略事件發(fā)生的概率。多數(shù)定性風(fēng)險(xiǎn)分析方法依據(jù)組織面臨的威脅、薄弱點(diǎn)以及控制措施等元素來決定安全風(fēng)險(xiǎn)等級(jí)。在定性評(píng)估時(shí)并不使用具體的數(shù)據(jù)，往往帶有很強(qiáng)的主觀性，需要憑借分析者的經(jīng)驗(yàn)和直覺進(jìn)行定性分級(jí)。如設(shè)定每種風(fēng)險(xiǎn)的影響值和概率值為“高”、“中”、“低”。有時(shí)單純使用期望值，并不能明顯區(qū)別風(fēng)險(xiǎn)值之間的差別。這種方法操作起來相對(duì)容易，但也可能因?yàn)椴僮髡叩慕?jīng)驗(yàn)和直覺的偏差而使分析結(jié)果失準(zhǔn)。

定量風(fēng)險(xiǎn)分析方法依據(jù)統(tǒng)計(jì)出來的數(shù)據(jù)，建立數(shù)學(xué)模型，并用數(shù)學(xué)模型計(jì)算出分析對(duì)象的各項(xiàng)指標(biāo)及其數(shù)值的一種方法。該方法是對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在的損失的水平賦予數(shù)值或貨幣值。首先評(píng)估特定資產(chǎn)的價(jià)值V，然后根據(jù)客觀數(shù)據(jù)計(jì)算威脅的頻率P，最后計(jì)算威脅影響系數(shù)μ。因?yàn)閷?duì)于每一個(gè)風(fēng)險(xiǎn)，并不是所有的資產(chǎn)所遭受的危害程度都是一樣的，程度的范圍可能從無危害到徹底危害（即完全破壞）。根據(jù)上述三個(gè)參數(shù)，計(jì)算損失估算值。

相比而言，定量風(fēng)險(xiǎn)分析方法更加科學(xué)，但需要較高深的數(shù)學(xué)知識(shí)，而定性風(fēng)險(xiǎn)分析方法雖然比較粗糙，但在數(shù)據(jù)資料不夠充分或分析者數(shù)學(xué)基礎(chǔ)較為薄弱時(shí)比較適用。必須指出，兩種分析方法對(duì)數(shù)學(xué)知識(shí)的要求雖有高低，但并不能就此把定性分析與定量分析截然劃分開來。事實(shí)上，現(xiàn)代定性分析方法同樣要采用數(shù)學(xué)工具進(jìn)行計(jì)算，而定量分析則必須建立在定性預(yù)測(cè)基礎(chǔ)上，兩者相輔相成，定性是定量的依據(jù)，定量是定性的具體化，只有將兩者結(jié)合起來靈活地運(yùn)用才能取得最佳效果。

5.3 基于知識(shí)的評(píng)估方法和基于模型的評(píng)估方法

基于知識(shí)的評(píng)估方法主要依靠經(jīng)驗(yàn)進(jìn)行，經(jīng)驗(yàn)從安全專家處獲取并憑此來解決相似場(chǎng)景的風(fēng)險(xiǎn)評(píng)估問題。這種方法的優(yōu)越性在于能夠直接提供推薦的保護(hù)措施、結(jié)構(gòu)框架和實(shí)施計(jì)劃。該方法充分利用多年來開發(fā)的保護(hù)措施和安全實(shí)踐，依照組織的相似性程度進(jìn)行快速的安全實(shí)施和包裝，以減少組織的安全風(fēng)險(xiǎn)。而基于模型的評(píng)估方法可以分析出系統(tǒng)自身內(nèi)部機(jī)制中存在的危險(xiǎn)性因素，同時(shí)又可以發(fā)現(xiàn)系統(tǒng)與外界環(huán)境交互中的不正常或有害的行為，從而完成系統(tǒng)薄弱點(diǎn)和安全威脅的分析評(píng)估。

6 信息安全風(fēng)險(xiǎn)評(píng)估工作的流程

依據(jù)風(fēng)險(xiǎn)評(píng)估流程實(shí)施評(píng)估是實(shí)現(xiàn)科學(xué)有效的風(fēng)險(xiǎn)評(píng)估的重要前提, 信息安全風(fēng)險(xiǎn)評(píng)估工作的流程如圖1所示。主要步驟包括：風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備、識(shí)別安全要素、確認(rèn)安全措施、風(fēng)險(xiǎn)計(jì)算等。

圖1 信息安全風(fēng)險(xiǎn)評(píng)估工作的流程

已有安全措施的確認(rèn)是指組織應(yīng)對(duì)已采取的控制措施進(jìn)行識(shí)別并對(duì)控制措施的有效性進(jìn)行確認(rèn)，將有效的安全控制措施繼續(xù)保持，以避免不必要的工作和費(fèi)用。對(duì)于那些確認(rèn)為不適當(dāng)?shù)目刂拼胧?yīng)核查其是否應(yīng)被取消，或者用更合適的控制措施代替。

風(fēng)險(xiǎn)計(jì)算是根據(jù)前面步驟中對(duì)資產(chǎn)、威脅、薄弱點(diǎn)的評(píng)估結(jié)果，按照一定的方法對(duì)每一項(xiàng)資產(chǎn)面臨的風(fēng)險(xiǎn)值進(jìn)行計(jì)算。組織在對(duì)風(fēng)險(xiǎn)等級(jí)進(jìn)行劃分后，應(yīng)考慮法律法規(guī)的要求、機(jī)構(gòu)自身的發(fā)展要求和風(fēng)險(xiǎn)評(píng)估的結(jié)果確定安全水平。對(duì)于不可接受范圍內(nèi)的風(fēng)險(xiǎn)，應(yīng)在選擇適當(dāng)?shù)目刂拼胧┖?，?duì)殘余風(fēng)險(xiǎn)進(jìn)行評(píng)估，判定風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平，為風(fēng)險(xiǎn)管理提供輸入。

在信息安全風(fēng)險(xiǎn)評(píng)估工作的流程中，風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備、判斷風(fēng)險(xiǎn)是否可以接受、保持已有的控制措施以及實(shí)施風(fēng)險(xiǎn)管理這些步驟是需要依據(jù)評(píng)估人員的經(jīng)驗(yàn)來完成的，其余的步驟都可以借助輔助工具高效地完成。

如圖1所描述，在進(jìn)行威脅、薄弱點(diǎn)評(píng)估時(shí)暫時(shí)不考慮已有的控制措施，先根據(jù)通常狀況進(jìn)行威脅和薄弱點(diǎn)賦值，在最后的風(fēng)險(xiǎn)評(píng)估時(shí)再來考慮，那么以此推理出來的風(fēng)險(xiǎn)計(jì)算公式是：風(fēng)險(xiǎn)值＝資產(chǎn)值×威脅值×薄弱點(diǎn)值-已有的控制措施值。

7 結(jié)束語

我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作剛剛起步，信息安全風(fēng)險(xiǎn)評(píng)估的規(guī)范化、評(píng)估模型和評(píng)估方法還需要深入研究，風(fēng)險(xiǎn)評(píng)估工具和風(fēng)險(xiǎn)評(píng)估經(jīng)驗(yàn)還比較少。當(dāng)前最重要的工作就是建立和完善風(fēng)險(xiǎn)評(píng)估的各項(xiàng)基本制度。與此同時(shí)，加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作隊(duì)伍的建設(shè)和加大人才培養(yǎng)的力度也是非常緊迫和重要的。因此，我們呼吁大家共同加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的研究，使我們的信息安全工作更上一個(gè)新臺(tái)階。

[1]吳亞非,國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估工作歷程,[J]信息網(wǎng)絡(luò)安全,2005,(9):9-11.

[2]馬 華,“防患于未然”是保障信息系統(tǒng)安全的關(guān)鍵—曲成義談開展風(fēng)險(xiǎn)評(píng)估工作的必要性,[J]信息網(wǎng)絡(luò)安全,2006,(6):41-44.

[3]王渝次,正確認(rèn)識(shí)和理解信息安全風(fēng)險(xiǎn)評(píng)估工作—在信息安全風(fēng)險(xiǎn)評(píng)估宣貫會(huì)的講話摘要,[J]信息網(wǎng)絡(luò)安全,2006,(4):3-4.

[4]周元德、董鳳翔、胡波,基于等級(jí)保護(hù)的信息安全風(fēng)險(xiǎn)評(píng)估方法,[J]鐵道工程學(xué)報(bào),2006,(9):89-92.

[5]崇小蕾、張玉清、雷震甲,信息安全風(fēng)險(xiǎn)評(píng)估工具的設(shè)計(jì)與實(shí)現(xiàn),[J]計(jì)算機(jī)工程與應(yīng)用,2006,(7):80-83.

[6]郭寧,高校信息安全評(píng)估的新策略[J],計(jì)算機(jī)教育,2005,(5):47-49.

[7]閆強(qiáng),陳 鐘,段云所等,信息安全評(píng)估標(biāo)準(zhǔn)、技術(shù)及其進(jìn)展[J],計(jì)算機(jī)工程,2003,29(6):1-2,8

[8]賈穎禾,管理趨勢(shì):信息安全風(fēng)險(xiǎn)評(píng)估[EB/OL],http://www.isra.infosec.org.cn/fxpg/fxpgln/200610/6479.html,2006-10.