摘要

长期以来,人们对保障信息安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等等。厂商在安全技术和产品的研发上不遗余力,新的技术和产品不断涌现;消费者也更加相信安全产品,把仅有的预算也都投入到安全产品的采购上。但实际情况是,单纯依靠技术和产品保障企业信息安全往往差强人意。复杂多变的安全威胁和隐患靠产品难以消除。要对信息系统进行准确的风险评估,要认识到风险来自何处?明确风险评估的关键要素以及各要素之间的内在联系。然后制定安全风险评估方法,风险评估做那些过程,认识我们平常对风险评估的错误理解。