而且目前的识别工具大多只是进行局部识别，最多也只是能够对单一主机的多种组件进行简单的相关检查，对多台主机构成的网络信息系统进行有效的脆弱性识别目前还无能为力，只能依靠人力完成。
通过问卷调查、会议、访谈、专家检查、网上脆弱性信息、渗透测试、入侵检测、审计和自评估等方法识别出系统的脆弱性后，还需要对这些脆弱性进行等级赋值，由被威胁利用的可能性和可能造成资产损失的严重性确定，脆弱性被利用和造成损失程度越高，所应赋的等级也越高，通过对照标准表可以确定所有脆弱性的等级。
2.4 威胁评估
   威胁是指存在的对信息系统及其资产造成某种损害的潜在可能。威胁可能会以某种方式作用于信息系统，从而导致意外事件或者不利影响的发生。威胁评估就是指识别威胁及其强度和发生的可能性。
信息系统面临的威胁同样要根据其具体实际情况进行分析和确定，军工信息系统与普通信息系统相比，其所面临的威胁会有很大不同。一方面，军工信息系统与互联网物理隔离，所遭受的直接威胁较小，但另一方面，由于信息的敏感程度高，军工信息系统面临着更多的其他形式的威胁。
而且，威胁是不断变化的，尤其是在系统或系统环境变化的情况下，所以威胁的识别和评估要与时俱进。在确认威胁源和威胁目标后，还需评估威胁发生的可能性。首先，可以根据经验、统计资料等估计威胁发生的频率；
然后，如果能够确定攻击者，则可以从攻击者的动机、攻击者具有的能力和实施威胁所需能力、攻击者拥有资源和威胁所需资源、系统资产脆弱性和对攻击者的吸引力等入手进行估计；最后，自然和地理等客观因素也需纳入考察的范畴。
2.5 已有安全措施评估
   安全控制措施包括安全管理措施与技术措施。管理措施包括一切可利用的管理工具，如：法律法规制度、标准和行为规范等。技术措施包括访问控制技术、跟踪审计技术、防火墙过滤技术、入侵检测技术、密码技术、形式化安全编码技术、应急计划和故障恢复技术等。
安全措施与脆弱性之间存在复杂的关系：一种安全措施能实现一个或多个功能，降低一种或多种脆弱性，而一种脆弱性可能需要多种安全措施来弥补；安全措施可能会直接作用于脆弱性，也可能间接地对脆弱性产生影响；
安全措施还可以转化为脆弱性，一个未能正确实施或有故障的安全措施，就可能反而成为一个脆弱性；安全措施之间也存在着增强、减弱等复杂的相互作用。因此，已有安全措施的评估需要以系统的方法对这些复杂关系进行分析，才能对各种安全措施的作用做出准确客观的判断。
3 安全风险评估方法
   信息系统安全风险评估的方法可以分为两类：定性和定量方法。定性方法根据评估者的知识、经验，通过演绎推导，对信息系统风险进行分析、判断和推理，并采用描述性语言给出风险评估结果。定性方法较为粗糙，但计算简单，所需条件不严格，
有可能挖掘出一些蕴藏很深的思想。定量方法的思想是对构成风险的各个要素和潜在损失水平赋以（货币）数值，然后利用公式对相关数据进行推导计算，评估结果通常以数据形式表达。该方法的结果比较客观和直观，
但在定量化的过程中可能会丧失或曲解要素的一些性质，且计算过程较为复杂。两种方法各有优缺点，因此产生了定性与定量相结合、兼有二者优点的综合评估方法。定量分析必须建立在定性预测基础之上，特别是在准确数据难以获取的情况下，
而定性分析方法往往需要采用数学工具进行计算，以减少其中的主观因素，二者相辅相成，定性是定量的依据，定量是定性的具体化，二者结合起来灵活运用才能取得最佳效果。最典型的综合评估方法就是层次分析法（AnalyticHierarchyProcess，AHP）。
层次分析法是由美国著名的运筹学专家萨蒂于20世纪70年代提出来的一种定性与定量相结合的多目标决策分析方法，该方法的核心是将决策者的经验判断等定性的因素予以量化处理，使定性分析与定量计算有机结合，从而为决策者提供定量的决策依据。
层次分析法为决策分析问题的解决提供了好方法，可以评估底层各个元素在总目标中的贡献，特别适于那些难以完全定量分析的问题。层次分析法将系统划分为树状结构，只考虑上层元素对下层元素的支配作用，同一层次中的元素被认为是彼此独立的。
但是，在许多实际问题中，系统各层次内部元素间往往存在依存关系，低层元素对高层元素亦有支配作用，即存在反馈。此时，系统呈现出网络结构，AHP对这种情况无能为力。网络分析法（Analytic Network Process，ANP）正是适应这种需要，由AHP 延伸发展而来，克服了AHP的不足，
有效地解决了评价中各个指标因素之间相互依存的关系以及各个层次之间的相互反馈，成为一种更完备、更科学的决策方法。
4 军工信息系统安全风险决策
   信息系统安全风险评估的目的就是要根据评估结果，选择合适的控制措施，对系统风险进行处理，使其降低到可接受的水平，提供给用户适当的安全性。选择安全措施最主要的目标就是支持合适的安全服务，即保护信息和信息系统使其免受威胁的服务。
常用的风险处理措施包括：回避（通过远离风险事件以避免风险的影响）、预防（减少事故发生的概率）、减轻（尽量减少事故的损失）、自留（经过综合平衡决定自己承担风险）、转移（通过一定方式将风险转移至另一个主体）以及威慑（通过报复或追究责任的方式，
客观上消除或减少威胁，从而降低或消除安全风险）等。在安全措施的选取上，为避免盲目性和片面性，必须根据一个层次清晰、定位准确、关系明确的安全需求集，选择适度的安全措施，配置到系统的适当位置和层面，才能达到控制风险的目的，
防止设计上的安全漏洞，以保证信息系统整体安全。而且，安全措施提供的保护、作用的方式、实施的成本和造成的影响等各不相同，选择时需要注意以下方面：
（1）提供的功能。通常，安全措施能完成一个或多个功能，能完成的功能越多，说明这个安全措施越好。在选择时，应优先选取提供功能多的措施，同时，需要在各类型的功能间保持平衡（如果可能的话）。这样可以使整体的安全实现得更好、更有效率。
（2）所需的成本。任何安全措施实施时都需要成本，所以必须考虑成本问题。应该考察措施所提供的保护效果与所需成本之间的比例关系，尽量选择性价比高的措施。
（3）造成的影响。安全措施的实施会对系统造成各种影响，如性能下降，操作性变差，便利性受损，甚至功能受限或丧失，选择措施时需要在得到的安全性与这些影响之间进行权衡。
总之，采用安全控制措施时，除了防护功能外，还必须考虑所要付出的代价，包括技术、组织、财政、环境、人事、时间、法律及文化/社会等多个方面。
　5 结语
   本文将系统级安全、全生命动态安全、适度安全等信息安全理念贯穿于军工信息系统安全风险评估的原理、流程，特别是脆弱性识别和安全措施选择当中，
介绍了军工信息系统安全风险评估的原理、详细流程以及各步骤的工作内容和评估方法，并提出了脆弱性识别应遵守的原则与安全控制措施选择的策略。
下一步的研究重点是建立可操作性强的军工信息系统安全风险评估框架体系及评估方法，并开展相应的实证研究。

[1]   [2]