對信息系統的安全進行風險評估常用哪些方法

對信息系統的安全進行風險評估常用以下方法：

• 專家調查法：專家調查法是一種定性的安全評估方法。該方法由美國蘭德公司在1946年提出，其本質上屬于一種匿名性群體決策咨詢方法。該方法主要采用匿名征求專家意見-歸納、統計-匿名反饋-歸納、統計的循環遞進過程，可以排除各種外部干擾和分析障礙，減少調查中的信息誤差，力求獲取評審專家的真實觀點。

• 故障樹分析法：故障樹分析法通過描述事故因果關系，形成一種帶方向的“樹”型結構，用于系統安全分析與評估。該方法根據風險發生的因果關系，在識別各種潛在風險因素的基礎上，沿著風險傳播的路徑，運用邏輯推理的方法來求出風險發生的概率。該方法既適用于定性分析，又能進行定量分析，具有簡明、直觀、形象化的特點。

• 層次分析法：層次分析法在20世紀70年代由美國的薩蒂教授提出，是一種用于決策分析的方法，原本應用于運籌學范疇。在安全評估領域，層次分析法可以根據問題的性質和要達到的總目標，將整體安全風險分解為不同的組成因素，并按照因素間的相互關聯影響以及隸屬關系，將因素按不同層次聚集組合，形成一個多層次的風險分析結構模型。從而最終使風險定量計算問題歸結為最底層的葉子節點的安全威脅、弱點和風險、相對于最高層（總目標）的相對重要權值的確定或相對優劣次序的排定。該方法是一種簡潔而實用的定量風險評估方法。

• 模糊綜合評判法：模糊綜合評判是將系統安全性的度量借助模糊數學中的模糊概念和理論來表達，進而實現安全風險的計算方法。模糊綜合評判通常會與AHP方法相結合，在對安全要素進行分析時，模糊概念和隸屬度被用于AHP方法層內與層間的安全要素計算過程，這使得該方法兼具了定性評估和定量評估的優點。模糊綜合評判屬于一種定性和定量相結合的安全評估方法。

• 定性分析方法：定性分析是最早被廣泛采用的方法。定性分析技術大都基于判斷、直覺和經驗，因此可能由于直覺、經驗的偏差而造成分析結果不準確，所以定性分析對風險分析人員有較高的要求，風險分析人員應具備豐富的風險分析經驗。定性分析通過列出各種資產、威脅、脆弱性的清單；然后分析威脅利用資產的脆弱性將對資產造成怎樣的后果和影響，并對其發生的可能性進行判定；最后還要對資產的敏感程度、威脅脆弱性對所造成的后果和影響的嚴重程度進行分級。

回答所涉及的環境：聯想天逸510S、Windows 10。