国内网络安全风险评估市场与技术操作吴鲁加 04/19/2004 个人主页:http:/risker.org/ 网络日志:版本控制v0.1 04/01/2004 文档创建,包含大量示例文件内部发布v0.2 04/19/2004 删除部份敏感信息,增加国内市场分析、BS7799和OCTAVE概述后,对外发布近两年网络安全风险评估渐渐为人们所重视,不少大型企业尤其是运营商、金融业都请了专业公司进行评估。本文提出作者个人对国内安全风险评估操作的一些评价,并试图阐述作者所理解的,可裁剪、易操作的风险评估方式。由于内容与商业公司有关,因此不可避免会涉及部份商业利益,在文中作者尽量隐去可能产生直接利害关系的文字,并声明所有评价纯属个人观点,如果你有不同意见,欢迎来函探讨。1. 什么是风险评估说起风险评估,大家脑海中首先浮现的可能是:风险、资产、影响、威胁、弱点等一连串的术语,这些术语看起来并不难理解,但一旦综合考虑就会象绕口令般组合。比如风险,用ISO/IEC TR 13335-1:1996中的定义可以解释为: 特定