摘要：要对信息系统进行准确的风险评估,前提是明确风险评估的关键要素以及各要素之间的内在联系.首先分析基于ISO 13335,GB/T 18336(等同于ISO/IEC 15408)的一些风险评估要素关系模型,为克服一般模型存在的重复考虑和静态考虑的缺点,提出分析风险评估要素关系要遵守直接因果关系准则和动态性准则,并且考虑信息安全等级保护要求,将等级作为参考坐标.基于上述准则,通过扩充评估要素集合,特别突出人、安全措施和脆弱性之间的动态因果关系,得到新的风险评估要素关系模型.同时得到比ISO 13335中更加系统的安全要素相互作用图,并对安全要素之间的关系进行形式化描述,最后给出信息系统风险评估的状态特征.

注：因版权方要求，不能公开全文，如需全文，请咨询杂志社