我国目前正在加速各领域的信息化建设,在此过程中,信息安全保障的需求日益显现出来。目前大部分组织对信息安全的理解还只停留在技术层面上,认为外部网建立了防火墙能防黑客,内部网能杀病毒就达到安全要求了。但事实上,这些安全设施的投资并没有取得预期的效果,主要原因就是多数组织的安全管理缺少风险管理的思想和必要环节。风险管理包括风险评估、风险消减、结果评价三个过程。风险评估是其中的基础环节,它包括资产识别、威胁和弱点识别、风险的量化等过程,是风险管理中最复杂和难以实现的方法。信息系统安全风险评估就是运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁以及存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,并为防范和化解信息安全风险、最大限度地保障网络和信息安全提供科学依据。目前的信息安全风险评估体系中,对评估流程和评估内容都有了比较完善的规范,但在具体的评估方法方面缺少科学的、可操作的工具和方法,因此评估的具体实施过程中仍存在着较多的问题。传统的信息安全风险评估往往是一次性的,一般在项目实施之初进行安全风险的评估,用来指导安全设备的配备。而事实上,信息系统所面临的风险是高度动态化,其动态性和复杂来源于网络环境、人员、资源等各方面因素的动态性和复杂性,因此,把风险评估过程相对人为的静态化是不科学的,一次的评估结果的时效很短,不具备长期的指导意义。另外,信息安全风险的量化模型和方法还很不规范,缺乏系统性和客观性。针对以上不足,本文提出风险的周期性评估模型,在威胁和弱点的识别中采用了机器学习的方法进行自动识别,提出复杂风险量化模型和基于VaR的风险度量方法。本文的主要工作及创新如下:(1)提出信息系统风险的周期性评估模型。一个评估周期包括观察期和评估期。观察期主要完成数据的采集任务;评估期完成资产识别、威胁和弱点识别、复杂风险量化等任务。评估结果作为风险控制和风险消减的依据。(2)利用统计学习理论进行风险的自动识别和分类。根据风险评估指标体系,确定风险分析时需要使用的特征,如:事件类别、发生频率、利用哪些脆弱性、危害程度等等,形成符合要求的数据格式;以评估对象实际环境中的IDS、系统日志以及国际安全机构发布的信息等作为数据源,形成训练样本、验证样本和预测样本等数据集。利用SVM进行风险识别,可以对大量的访问数据实现自动地分类和识别,改善风险评估过程的自动化程度,有效地降低成本。(3)提出复杂风险量化模型,并引入基于VaR的风险度量方法。该风险量化模型考虑到多种风险的组合效应,把复杂的网络安全风险量化为资本价值损失。基于VaR的风险度量方法,通过非常直观的预期的最大损失值来表现风险的大小,使得选择最优的安全设施简化为一个标准的成本效益分析过程,对于信息安全建设具有直接的指导价值。(4)运用实例验证了研究成果的科学性和合理性。我们以某政府门户网站为例,利用SVM对从该系统搜集的数据进行风险的识别和分类研究;利用复杂风险量化模型和VAR方法对风险进行量化评估。