对新形势下风险评估工作的认识

　　最近几年来，信息安全态势处于一个新的形势之下，这已经是业界的一个共识。从信息技术发展的角度来说，随着云计算，移动计算和物联网等新技术的大规模应用，业务与IT的联系越来越紧密，已经属于不可分割的程度；从信息安全威胁的角度来说，随着高级持续性威胁（APT）的案例层出不穷，攻击者已经从普通的攻击信息技术设施而转向攻击其背后的业务目标和政治目标了；从国家政策要求的角度来说，已经通过等级保护体系等国家、行业的要求，将信息安全的意义上升到了国家安全的范围之内。

　　综上所述，我们看到，风险评估作为信息安全系统工程的重要过程和方法，已经不能局限于传统的信息安全技术角度，这就要求风险评估方法应根据新形势作出一些改进，从而将技术风险的识别与业务风险的评估统一起来，能够有效解决不同层次的管理人员对信息系统安全风险评估的要求，有助于风险分析从技术风险上升到业务风险，为组织提供更全面，更有效的风险信息。

　　风险要素分析

　　信息安全风险评估工作中，风险要素主要包括：资产、脆弱性（漏洞）、威胁和控制措施。信息安全风险评估是通过识别和分析信息安全风险要素（资产的价值、脆弱性被利用的难易程度、威胁的动机和能力的大小、现有控制措施的效果）及其相互关系，来判断信息安全事件发生的可能性、事件后果的严重性和控制措施的有效性，计算出信息安全风险程度的过程。

　　（一）资产分析

　　信息资产识别和资产管理的目的和范围是不同的。组织的资产管理是站在资产财务角度来考虑的，重点在于登记、管理组织资产的财务属性，用于清算、核实组织的运行情况。而信息安全风险评估工作中的资产识别，是站在信息资产保护的视角上，来考虑信息资产的机密性、可用性、完整性受到破坏后对组织的影响。所以说，二者的关注点是截然不同的，不要试图在风险评估工作中搜集和识别所有资产管理范围内的资产及其相关属性。而应重点对业务系统、信息系统和系统组件三个层次上的资产进行识别，并且考虑到资产之间的关联关系，提供资产关联分析，给出系统组件的价值核算。

　　在信息资产相对价值的评价时，首先要对信息资产的安全属性进行赋值，一般是评价CIA三要素。在赋值过程中，可能会发现对于一些资产很难评价CIA。因此，可采用加权系数的方式，即针对CIA分别设定α 、β 、γ三个系数（ α+ β +γ=1），设定β=0 、α=0.4 、γ=0.6 。这样做的好处是对于不适用的选型可以不予评价，同时针对不同行业、不同资产类别可以设定反映此类资产特点的CIA加权系数 α、β、γ（例如：金融行业与制造业对于相同资产类别的CIA关注侧重点是不同的，硬件资产和数据资产CIA关注侧重点是不同的）。另外，针对具体算法，只要能够相对比较客观的反映出信息资产相对价值，可以采用相加、相乘、平均值等算法，然后根据资产值所在区间确定资产相对价值。

　　综上所述，信息资产识别与价值评估的根本目的，是在于通过一套统一的方法论，来识别出组织中需要保护的信息资产，并且对其重要性进行分析，从而有的放矢的识别分析出组织中的信息安全风险。

　　（二）威胁和脆弱性分析

　　威胁是导致对系统或组织伤害事件的外部因素。威胁识别是发现、列出和描述资产所面临威胁的过程。在风险管理范围内的所有资产面临的任何威胁都应被识别，识别的详尽程度取决于为威胁成功后所导致后果的严重性。威胁分析是分析威胁主体动机和威胁行为能力并赋值的过程。威胁主体动机可以从驱动威胁主体实施威胁的目的以及威胁主体的社会和个人背景来分析。威胁行为能力则可以从威胁行为所涉及到的手段、工具、地点、时间、范围、强度和频率等因素来分析。

　　脆弱性（漏洞）是可能被一个或多个威胁利用的资产弱点。脆弱性自身不会引起对资产的伤害，只有当脆弱性被威胁触发和利用时才会产生风险。

　　利用漏扫工具对主机、网络设备、数据库等进行扫描时会扫出很多的技术漏洞，建议在进行脆弱性识别时按一条来处理，统一识别威胁和风险，采取的控制措施就是对这个资产进行加固，没有必要针对每一条进行识别。

　　在识别威胁和脆弱性时，不要忘记识别现有的控制措施，因为现有控制措施的效果会对威胁和脆弱性赋值产生影响。从理论上讲，现有控制措施可能对威胁和脆弱性同时产生影响，但从实际操作层面来看，现有控制措施绝大多数情况只针对脆弱性发挥作用，因此我们更倾向于只针对脆弱性考虑现有控制措施。

　　风险计算方法

　　风险计算的方法有很多种，例如采用ATV相加、ATV相乘、或者像信息安全风险评估规范中所介绍的矩阵法、或√A*V*√T*V相乘法，或更为复杂的公式来计算风险，我们认为：由于目前采用的风险评估方法实质上还是半定量的评估方法，因此不必纠结于具体算法，只要能够合理的反映出资产、威胁、脆弱性和风险之间的逻辑关系就好。

　　风险评估的核心目的是利用统一的评估尺度将识别出的风险进行排序，以确定组织需要优先处置的风险，而不是为了计算出每一条风险的绝对值。风险展示通常在撰写风险评估报告时，会总结组织总体和各部门的高、中、低风险分布情况，同时会附上以资产为主线的风险评估记录表。但实际上，风险应该以更多的视角去展现，这样便于领导层和操作层更全面的认识风险，进而控制风险。风险还可以以资产分类、脆弱性分类、威胁分类等去展示，同时应能够展示出历次风险评估风险的变化情况，甚至对于每一个风险及其控制措施进行跟踪，以确保风险最终得到有效控制，这样才能够反映出风险评估的真正价值。

　　风险评估和等级保护工作的关系

　　风险评估只是风险管理的其中一个过程，风险管理就是识别风险、评估风险、控制风险的一个过程，而识别风险、评估风险正是风险评估，因此可以讲风险评估是风险管理的基础。而等级保护是国家为了提高信息安全保障能力而推出的一项基本制度，从GB17859开始，到GBT 22239信息系统安全等级保护基本要求、GBT 22240信息系统安全保护等级定级指南等一系列制度都为组织进行等级保护提供的指导。

　　风险评估与等级保护有一定的联系，实施等级保护过程中可能用到风险评估，等级保护的基本要求可以为风险评估提供一些借鉴。实施等级保护一般会经过定级、备案、整改、测评、检查五个步骤。在这些步骤中，整改与风险评估有一定的联系，在整改前，肯定要确定整改什么，为什么整改，怎样整改，这些都可以通过风险评估来完成。另外，在GBT 22239信息系统安全等级保护基本要求中提出各级信息系统管理及技术方面的要求，这些都可以为一般的信息安全风险评估提供借鉴。