什麽是風險評估？

問題2:風險評估是什麽意思？

當談到風險評估時，首先會想到壹系列術語，如風險、資產、影響、威脅和弱點。這些術語不難理解，但壹旦綜合考慮，就會像繞口令壹樣組合起來。例如，ISO/IEC TR 13335-1:1996中的風險定義可以解釋為:特定威脅利用資產弱點造成資產損失或損壞的潛在可能性。

風險評估是對信息資產的威脅、弱點和影響，以及其綜合影響導致風險的可能性的評估。風險評估作為風險管理的基礎，是組織確定其信息安全需求的重要方式，屬於組織信息安全管理體系的規劃過程。

風險評估的主要任務包括:

識別組織面臨的風險

評估風險概率和可能的負面影響。

確定組織的風險承受能力。

確定風險降低和控制的優先級別

推薦降低風險的對策

在風險評估過程中，有幾個關鍵問題需要考慮。首先，要保護的對象(或資產)是什麽？它的直接和間接價值是什麽？第二，資產的潛在威脅是什麽？導致威脅的問題是什麽？威脅的可能性有多大？第三，資產中可能被威脅利用的弱點在哪裏？使用起來有多簡單？第四，威脅事件壹旦發生，組織會遭受什麽樣的損失或者面臨什麽樣的負面影響？最後，組織應該采取什麽安全措施來最大限度地減少風險造成的損失？

解決上述問題的過程就是風險評估的過程。

進行風險評估時，必須考慮幾個相應的關系:

每項資產都可能面臨多重威脅。

可能有多個威脅源(威脅代理)。

每個威脅都可能利用壹個或多個漏洞。

三種可行的風險評估方法

在風險管理的準備階段，組織已經根據安全目標確定了自己的安全策略，包括對風險評估策略的考慮。所謂風險評估策略，其實就是進行風險評估的方式，即規定風險評估應該持續的操作流程和模式。

風險評估的操作範圍可以是整個組織、組織中的某個部門，也可以是新的信息系統、特定的系統組件和服務。影響風險評估進度的壹些因素，包括評估時間、強度、發展範圍和深度，應與組織的環境和安全要求相壹致。組織應該根據不同的情況選擇合適的風險評估方法。目前，實際工作中經常使用的風險評估方法包括基線評估、詳細評估和組合評估。

基線評估

如果壹個組織的業務運作不是很復雜，並且該組織對信息處理和網絡的依賴不是很高，或者該組織的信息系統大多采用通用的、標準化的模型，基線風險評估可以直接、簡單地實現基本的安全級別，滿足該組織及其業務環境的所有要求。

利用基線風險評估，組織根據其實際情況(行業、業務環境和性質等)對信息系統進行安全基線檢查。)(將現有的安全措施與安全基線中指定的安全措施進行比較，找出差距)，並獲得基本的安全要求，通過選擇和實施標準的安全措施來降低和控制風險。所謂安全基線，就是許多標準和規範中規定的壹套安全控制措施或做法。這些措施和做法適用於特定環境下的所有系統，能夠滿足基本的安全要求，使系統達到壹定的安全防護水平。組織可以根據以下資源選擇安全基準:

；國際標準和國家標準，如BS 7799-1和ISO 13335-4；

；行業標準或建議，如德國聯邦安全局IT基線保護手冊；

；具有類似業務目標和規模的其他組織的實踐。

當然，如果環境和商業目標是典型的，組織也可以建立自己的基線。

基線評估具有資源少、周期短、操作簡單等優點。對於許多具有相似環境和相似安全需求的組織來說，基線評估顯然是最經濟有效的風險評估方法。當然，基線評估也有其不可避免的缺點，如基線水平難以設定。如果過高，可能導致資源浪費和限制過多。如果太低，可能很難做到完全安全。此外，很難管理與安全相關的更改。

基線評估的目標是建立壹組最低限度的對策，以滿足信息安全的基本目標，這些對策可以在整個組織中實施。如果有特殊需要，應該對特定系統進行更詳細的評估。

詳細評估

詳細的風險評估要求對資產進行詳細的識別和評估，對可能引起風險的威脅和漏洞級別進行評估，並根據風險評估的結果識別和選擇安全措施。這種評估方法體現了風險管理的思想，即識別資產的風險並將風險降低到可接受的水平，以證明管理者采取的安全控制措施是適當的。

詳細評估的優點是:

；組織可以通過詳細的風險評估對信息安全風險有準確的認識，準確定義組織當前的安全級別和安全需求；

；詳細評估的結果可用於管理安全變更。當然，詳細的風險評估可能是壹個非常耗費資源的過程，包括時間、精力和技術。因此，組織應該仔細設置要評估的信息系統的範圍，並定義業務環境、運營和信息資產的邊界。

組合評價

基線風險評價消耗資源少，周期短，操作簡單，但不夠準確，適用於壹般環境評價。詳細的風險評估準確細致，但消耗資源較多，適合在邊界界定嚴格的小區域進行評估。基於子實踐，組織大多采用兩者相結合的組合評價方法。

為了決定選擇哪種風險評估方法，組織首先對所有系統進行初步的高級風險評估，重點是信息系統的業務價值和可能的風險，並確定具有高風險或對其業務運營至關重要的信息資產(或系統)。這些資產或系統應該納入詳細風險評估的範圍，而其他系統可以通過基線風險評估直接選擇安全措施。

這種評估方法結合了基線評估和詳細風險評估的優點，既節省了評估所消耗的資源，又保證了評估結果的全面性和系統性。而且可以把機構的資源和資金運用到最有效的地方，可以提前關註高風險的信息系統。當然，組合評估也有缺點:如果前期高級風險評估不夠準確，可能會忽略壹些需要詳細評估的系統，最終導致結果不準確。

風險評估的常用方法

在風險評估過程中，可以采用多種可操作的方法，包括基於知識的分析方法、基於模型的分析方法、定性分析和定量分析。無論哪種方法，* * *的目標都是找出組織的信息資產所面臨的風險及其影響，以及當前的安全級別與組織的安全需求之間的差距。

基於知識的分析方法

在基線風險評估中，組織可以使用基於知識的分析方法來找出當前安全狀況與基線安全標準之間的差距。

基於知識的分析方法，也稱為經驗方法，涉及重用來自類似組織的“最佳實踐”(包括規模、業務目標和市場等)。)並適用於壹般的信息安全社區。使用基於知識的分析方法，組織不需要付出大量的精力、時間和資源。它只需要通過各種渠道收集相關信息，識別組織的風險和當前的安全措施，與特定的標準或最佳實踐進行比較，找出不符合項，根據標準或最佳實踐的建議選擇安全措施，最終達到降低和控制風險的目的。

基於知識的分析方法，最重要的是收集評價信息，信息來源包括:

；會議討論；

；審查當前的信息安全政策和相關文件；

；制作問卷，進行調查；

；采訪相關人員；

；進行實地考察。

為了簡化評估工作，組織可以采用壹些輔助的自動化工具，這些工具可以幫助組織擬定符合特定標準要求的調查問卷，然後綜合分析答案，與特定標準進行比較後給出最終的推薦報告。市面上有很多種這樣的工具，Cobra就是典型的壹種。

基於模型的分析方法

2001 1壹個名為CORAS的項目，即安全關鍵系統風險分析平臺，由希臘、德國、英國、挪威的多家商業公司和研究機構聯合開發。這個項目的目的是開發壹個基於面向對象建模，尤其是UML技術的風險評估框架。其評估對象是安全性要求較高的壹般系統，尤其是IT系統的安全性。CORAS考慮技術、人員以及與組織安全相關的所有方面。通過CORAS風險評估，組織可以定義、獲取和維護IT系統的機密性、完整性、可用性、不可否認性、可追溯性、真實性和可靠性。

與傳統的定性定量分析類似，CORAS風險評估遵循識別風險、分析風險、評估和處理風險的過程，但其風險度量方法完全不同，所有分析過程都基於面向對象的模型。CORAS的優點是:提高了描述安全相關特性的準確性，提高了分析結果的質量；圖形化建模機制，方便溝通，減少理解上的偏差；提高不同評估方法互操作的效率；等壹下。

定量分析

在詳細的風險分析中，除了基於知識的評估方法，最傳統的方法是定量和定性分析。

定量分析方法的思路非常清晰:對構成風險的所有要素和潛在損失的水平賦予數值或貨幣金額。當所有衡量風險的要素(資產價值、威脅頻率、漏洞利用程度、安全措施的效率和成本等。)都有賦值，風險評估的整個過程和結果都可以量化。

簡單來說，定量分析就是試圖用數值來分析和評估安全風險的方法。

定量風險分析中有幾個重要的概念:

；暴露系數(EF)&；mdash& ampmdash特定威脅對特定資產造成的損失百分比或程度。

；單壹損失預期(SLE)和；mdash& ampmdash或SOC(Single occurrence costs)，即特定威脅可能造成的潛在損失總額。

；年發生率(ARO)&；mdash& ampmdash即壹年內威脅的估計頻率。

；年化預期損失(ALE)和；mdash& ampmdash或EAC(估計年度成本)，表示特定資產在壹年內的預期損失。

考察定量分析的過程，我們可以看到這些概念之間的關系:

(1)首先，識別資產，並為其賦值；

(2)通過威脅和漏洞評估，評估特定威脅對特定資產的影響，即EF(取值在0%-100%之間)；

(3)計算特定威脅的頻率，即ARO；；

(4)計算資產的SLE:

SLE =資產價值×;仰角指示器

(5)計算資產的ALE:

ALE = SLE×；機載無線電測距器

舉個例子:假設壹家公司投資50萬美元建設網絡運營中心，它最大的威脅是火災。壹旦發生火災，網絡運營中心的估計損失為45%。根據消防部門的推斷，網絡運營中心所在區域每五年就會發生壹次火災，所以我們得到的結果是ARO為0.20。基於以上數據，該公司網絡運營中心的ALE將為45，000美元。

我們可以看到，對於定量分析，有兩個最關鍵的指標，壹個是事件發生的可能性(可以用ARO表示)，另壹個是威脅性事件可能造成的損失(用EF表示)。

從理論上講，安全風險是可以通過定量分析進行準確分類的，但有壹個前提，可供參考的數據指標是準確的。事實上，在當今日益復雜多變的信息系統中，定量分析所依據的數據的可靠性是難以保證的。此外，缺乏長期的數據統計，計算過程容易出錯，給分析的精細化帶來了很大的困難。因此，目前的信息安全風險分析采用定量分析或純定量分析的方法。

定性分析

定性分析法是目前應用最廣泛的方法，主觀性很強。它通常需要依靠分析師的經驗和直覺或行業的標準和實踐來對風險管理的各種要素(資產價值、威脅的可能性、弱點被利用的難易程度、現有控制措施的有效性等)的規模或水平進行定性分級。)，如“高”、“中”、“低”。

定性分析的操作方法可以多種多樣，包括小組討論(如德爾菲法)、清單、問卷、訪談、調查等。定性分析相對容易操作，但也可能由於操作者經驗和直覺的偏差而導致分析結果不準確。

與定量分析相比，定性分析稍好但不夠準確，定量分析則相反；定性分析沒有定量分析那麽多的計算負擔，但需要分析人員有壹定的經驗和能力；定量分析依賴於大量的統計數據，而定性分析沒有這樣的要求；定性分析是主觀的，而定量分析是客觀的。

另外，定量分析的結果直觀易懂，而定性分析的結果很難有統壹的解釋。組織可以根據具體情況選擇定性或定量的分析方法。