而且目前的識別工具大多只是進行局部識別，最多也只是能夠?qū)我恢鳈C的多種組件進行簡單的相關(guān)檢查，對多臺主機構(gòu)成的網(wǎng)絡信息系統(tǒng)進行有效的脆弱性識別目前還無能為力，只能依靠人力完成。
通過問卷調(diào)查、會議、訪談、專家檢查、網(wǎng)上脆弱性信息、滲透測試、入侵檢測、審計和自評估等方法識別出系統(tǒng)的脆弱性后，還需要對這些脆弱性進行等級賦值，由被威脅利用的可能性和可能造成資產(chǎn)損失的嚴重性確定，脆弱性被利用和造成損失程度越高，所應賦的等級也越高，通過對照標準表可以確定所有脆弱性的等級。
2.4 威脅評估
   威脅是指存在的對信息系統(tǒng)及其資產(chǎn)造成某種損害的潛在可能。威脅可能會以某種方式作用于信息系統(tǒng)，從而導致意外事件或者不利影響的發(fā)生。威脅評估就是指識別威脅及其強度和發(fā)生的可能性。
信息系統(tǒng)面臨的威脅同樣要根據(jù)其具體實際情況進行分析和確定，軍工信息系統(tǒng)與普通信息系統(tǒng)相比，其所面臨的威脅會有很大不同。一方面，軍工信息系統(tǒng)與互聯(lián)網(wǎng)物理隔離，所遭受的直接威脅較小，但另一方面，由于信息的敏感程度高，軍工信息系統(tǒng)面臨著更多的其他形式的威脅。
而且，威脅是不斷變化的，尤其是在系統(tǒng)或系統(tǒng)環(huán)境變化的情況下，所以威脅的識別和評估要與時俱進。在確認威脅源和威脅目標后，還需評估威脅發(fā)生的可能性。首先，可以根據(jù)經(jīng)驗、統(tǒng)計資料等估計威脅發(fā)生的頻率；
然后，如果能夠確定攻擊者，則可以從攻擊者的動機、攻擊者具有的能力和實施威脅所需能力、攻擊者擁有資源和威脅所需資源、系統(tǒng)資產(chǎn)脆弱性和對攻擊者的吸引力等入手進行估計；最后，自然和地理等客觀因素也需納入考察的范疇。
2.5 已有安全措施評估
   安全控制措施包括安全管理措施與技術(shù)措施。管理措施包括一切可利用的管理工具，如：法律法規(guī)制度、標準和行為規(guī)范等。技術(shù)措施包括訪問控制技術(shù)、跟蹤審計技術(shù)、防火墻過濾技術(shù)、入侵檢測技術(shù)、密碼技術(shù)、形式化安全編碼技術(shù)、應急計劃和故障恢復技術(shù)等。
安全措施與脆弱性之間存在復雜的關(guān)系：一種安全措施能實現(xiàn)一個或多個功能，降低一種或多種脆弱性，而一種脆弱性可能需要多種安全措施來彌補；安全措施可能會直接作用于脆弱性，也可能間接地對脆弱性產(chǎn)生影響；
安全措施還可以轉(zhuǎn)化為脆弱性，一個未能正確實施或有故障的安全措施，就可能反而成為一個脆弱性；安全措施之間也存在著增強、減弱等復雜的相互作用。因此，已有安全措施的評估需要以系統(tǒng)的方法對這些復雜關(guān)系進行分析，才能對各種安全措施的作用做出準確客觀的判斷。
3 安全風險評估方法
   信息系統(tǒng)安全風險評估的方法可以分為兩類：定性和定量方法。定性方法根據(jù)評估者的知識、經(jīng)驗，通過演繹推導，對信息系統(tǒng)風險進行分析、判斷和推理，并采用描述性語言給出風險評估結(jié)果。定性方法較為粗糙，但計算簡單，所需條件不嚴格，
有可能挖掘出一些蘊藏很深的思想。定量方法的思想是對構(gòu)成風險的各個要素和潛在損失水平賦以（貨幣）數(shù)值，然后利用公式對相關(guān)數(shù)據(jù)進行推導計算，評估結(jié)果通常以數(shù)據(jù)形式表達。該方法的結(jié)果比較客觀和直觀，
但在定量化的過程中可能會喪失或曲解要素的一些性質(zhì)，且計算過程較為復雜。兩種方法各有優(yōu)缺點，因此產(chǎn)生了定性與定量相結(jié)合、兼有二者優(yōu)點的綜合評估方法。定量分析必須建立在定性預測基礎之上，特別是在準確數(shù)據(jù)難以獲取的情況下，
而定性分析方法往往需要采用數(shù)學工具進行計算，以減少其中的主觀因素，二者相輔相成，定性是定量的依據(jù)，定量是定性的具體化，二者結(jié)合起來靈活運用才能取得最佳效果。最典型的綜合評估方法就是層次分析法（AnalyticHierarchyProcess，AHP）。
層次分析法是由美國著名的運籌學專家薩蒂于20世紀70年代提出來的一種定性與定量相結(jié)合的多目標決策分析方法，該方法的核心是將決策者的經(jīng)驗判斷等定性的因素予以量化處理，使定性分析與定量計算有機結(jié)合，從而為決策者提供定量的決策依據(jù)。
層次分析法為決策分析問題的解決提供了好方法，可以評估底層各個元素在總目標中的貢獻，特別適于那些難以完全定量分析的問題。層次分析法將系統(tǒng)劃分為樹狀結(jié)構(gòu)，只考慮上層元素對下層元素的支配作用，同一層次中的元素被認為是彼此獨立的。
但是，在許多實際問題中，系統(tǒng)各層次內(nèi)部元素間往往存在依存關(guān)系，低層元素對高層元素亦有支配作用，即存在反饋。此時，系統(tǒng)呈現(xiàn)出網(wǎng)絡結(jié)構(gòu)，AHP對這種情況無能為力。網(wǎng)絡分析法（Analytic Network Process，ANP）正是適應這種需要，由AHP 延伸發(fā)展而來，克服了AHP的不足，
有效地解決了評價中各個指標因素之間相互依存的關(guān)系以及各個層次之間的相互反饋，成為一種更完備、更科學的決策方法。
4 軍工信息系統(tǒng)安全風險決策
   信息系統(tǒng)安全風險評估的目的就是要根據(jù)評估結(jié)果，選擇合適的控制措施，對系統(tǒng)風險進行處理，使其降低到可接受的水平，提供給用戶適當?shù)陌踩?。選擇安全措施最主要的目標就是支持合適的安全服務，即保護信息和信息系統(tǒng)使其免受威脅的服務。
常用的風險處理措施包括：回避（通過遠離風險事件以避免風險的影響）、預防（減少事故發(fā)生的概率）、減輕（盡量減少事故的損失）、自留（經(jīng)過綜合平衡決定自己承擔風險）、轉(zhuǎn)移（通過一定方式將風險轉(zhuǎn)移至另一個主體）以及威懾（通過報復或追究責任的方式，
客觀上消除或減少威脅，從而降低或消除安全風險）等。在安全措施的選取上，為避免盲目性和片面性，必須根據(jù)一個層次清晰、定位準確、關(guān)系明確的安全需求集，選擇適度的安全措施，配置到系統(tǒng)的適當位置和層面，才能達到控制風險的目的，
防止設計上的安全漏洞，以保證信息系統(tǒng)整體安全。而且，安全措施提供的保護、作用的方式、實施的成本和造成的影響等各不相同，選擇時需要注意以下方面：
（1）提供的功能。通常，安全措施能完成一個或多個功能，能完成的功能越多，說明這個安全措施越好。在選擇時，應優(yōu)先選取提供功能多的措施，同時，需要在各類型的功能間保持平衡（如果可能的話）。這樣可以使整體的安全實現(xiàn)得更好、更有效率。
（2）所需的成本。任何安全措施實施時都需要成本，所以必須考慮成本問題。應該考察措施所提供的保護效果與所需成本之間的比例關(guān)系，盡量選擇性價比高的措施。
（3）造成的影響。安全措施的實施會對系統(tǒng)造成各種影響，如性能下降，操作性變差，便利性受損，甚至功能受限或喪失，選擇措施時需要在得到的安全性與這些影響之間進行權(quán)衡。
總之，采用安全控制措施時，除了防護功能外，還必須考慮所要付出的代價，包括技術(shù)、組織、財政、環(huán)境、人事、時間、法律及文化/社會等多個方面。
　5 結(jié)語
   本文將系統(tǒng)級安全、全生命動態(tài)安全、適度安全等信息安全理念貫穿于軍工信息系統(tǒng)安全風險評估的原理、流程，特別是脆弱性識別和安全措施選擇當中，
介紹了軍工信息系統(tǒng)安全風險評估的原理、詳細流程以及各步驟的工作內(nèi)容和評估方法，并提出了脆弱性識別應遵守的原則與安全控制措施選擇的策略。
下一步的研究重點是建立可操作性強的軍工信息系統(tǒng)安全風險評估框架體系及評估方法，并開展相應的實證研究。