1.4 信息安全风险评估领域发展趋势

随着全球信息化浪潮过程的不断深入推进，给信息安全评估领域带来了一些新的挑战。一方面，云计算、大数据、软件定义网络（SDN）和移动目标防御等新技术体系架构的引入，给信息系统带来了新的安全问题；另一方面，攻击者借助社会工程和高级持续性威胁来发起安全攻击，使得安全防御问题愈加严峻。在此背景下，信息安全风险评估研究有望呈现以下的发展趋势。

（1）安全评估标准的行业化和细分化

目前的安全评估标准主要聚焦于信息系统在通用性安全需求符合性的安全评估。未来的安全评估标准将在此基础上不断向行业化和细分化方向推进，以覆盖新型技术体系信息系统的特殊安全需求。事实上，国内等级保护标准2.0系列已经开始扩展其在云计算和物联网等新型系统方面的安全要求。但这部分工作仍处于初期阶段，未来仍需要在移动目标防御等具备内生安全机制的系统安全评估领域进行拓展。

（2）安全评估方法的动态化

目前，主流网络安全评估技术主要用来解决静态安全防御系统的安全评估问题。这些主流网络安全评估技术难以适用于动态、随机、多样性的攻防对抗，无法有效解决移动目标防御系统的安全评估问题。另外，AP T攻击等新型攻击过程，也具有显著的动态性、持久性和潜伏性等特点。如何构建具备动态博弈特征的安全模型，如何评价信息系统在面临这类复杂、高级的安全攻击时带来的系统安全风险，是未来安全评估方法的研究方向。

（3）安全评估工具的高度自动化

目前，安全评估仍然主要借助人工过程或者部分工具半自动化的过程来完成。随着被测对象系统的规模日趋增长，如何提升安全评估过程的自动化，提升评估过程可伸缩性和评估效率，是安全评估工具研发的重要方向。