信息安全風(fēng)險(xiǎn)評(píng)估方法

從最開始接觸風(fēng)險(xiǎn)評(píng)估理論到現(xiàn)在，已經(jīng)有將近5個(gè)年頭了，從最開始的膜拜捧為必殺技，然后是有一陣子懷疑甚至預(yù)棄之不用，到現(xiàn)在重拾之，尊之為做好安全的必備法寶，這么一段起起伏伏的心理歷程。對(duì)風(fēng)險(xiǎn)的方法在一步步的加深，本文從風(fēng)險(xiǎn)評(píng)估工作最突出的問題：如何得到一致的、可比較的、可重復(fù)的風(fēng)險(xiǎn)評(píng)估結(jié)果，來加以分析討論。

1.風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀

風(fēng)險(xiǎn)理論也逐漸被廣大信息安全專業(yè)人士所熟知，以風(fēng)險(xiǎn)驅(qū)動(dòng)的方法去管理信息安全已經(jīng)被大部分人所共知和接受，這幾年國(guó)內(nèi)等級(jí)保護(hù)的如火如荼的開展，風(fēng)險(xiǎn)評(píng)估工作是水漲船高，加之國(guó)內(nèi)信息安全咨詢和服務(wù)廠商和機(jī)構(gòu)不遺余力的推動(dòng)，風(fēng)險(xiǎn)評(píng)估實(shí)踐也在不斷的深入。當(dāng)前的風(fēng)險(xiǎn)評(píng)估的方法主要參照兩個(gè)標(biāo)準(zhǔn)，一個(gè)是國(guó)際標(biāo)準(zhǔn)《ISO13335信息安全風(fēng)險(xiǎn)管理指南》和國(guó)內(nèi)標(biāo)準(zhǔn)《GB/T 20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》，其本質(zhì)上就是以信息資產(chǎn)為對(duì)象的定性的風(fēng)險(xiǎn)評(píng)估?；痉椒ㄊ亲R(shí)別并評(píng)價(jià)組織/企業(yè)內(nèi)部所要關(guān)注的信息系統(tǒng)、數(shù)據(jù)、人員、服務(wù)等保護(hù)對(duì)象，在參照當(dāng)前流行的國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)如ISO27002,COBIT，信息系統(tǒng)等級(jí)保護(hù)，識(shí)別出這些保護(hù)對(duì)象面臨的威脅以及自身所存在的能被威脅利用的弱點(diǎn)，最后從可能性和影響程度這兩個(gè)方面來評(píng)價(jià)信息資產(chǎn)的風(fēng)險(xiǎn)，綜合后得到企業(yè)所面臨的信息安全風(fēng)險(xiǎn)。這是大多數(shù)組織在做風(fēng)險(xiǎn)評(píng)估時(shí)使用的方法。當(dāng)然也有少數(shù)的組織/企業(yè)開始在資產(chǎn)風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，在實(shí)踐中摸索和開發(fā)出類似與流程風(fēng)險(xiǎn)評(píng)估等方法，補(bǔ)充完善了資產(chǎn)風(fēng)險(xiǎn)評(píng)估。

2.風(fēng)險(xiǎn)評(píng)估的突出問題

信息安全領(lǐng)域的風(fēng)險(xiǎn)評(píng)估甚至風(fēng)險(xiǎn)管理的方法是借鑒了銀行業(yè)成熟的風(fēng)險(xiǎn)管理方法，銀行業(yè)業(yè)務(wù)風(fēng)險(xiǎn)管理的方法已經(jīng)發(fā)展到相當(dāng)成熟的地步，并且銀行業(yè)也有非常豐富的基礎(chǔ)數(shù)據(jù)支撐著風(fēng)險(xiǎn)分析方法的運(yùn)用。但是，風(fēng)險(xiǎn)評(píng)估作為信息安全領(lǐng)域的新生事物，或者說舶來之物，盡管信息安全本身在國(guó)內(nèi)開展也不過是10來年，風(fēng)險(xiǎn)評(píng)估作為先進(jìn)思想也存在著類似“馬列主義要與中國(guó)的實(shí)際國(guó)情結(jié)合走中國(guó)特色社會(huì)主義道路”的問題。風(fēng)險(xiǎn)評(píng)估的定量評(píng)估方法缺少必要的土壤，沒有基礎(chǔ)的、統(tǒng)計(jì)數(shù)據(jù)做支撐，定量風(fēng)險(xiǎn)評(píng)估寸步難移;而定性的風(fēng)險(xiǎn)評(píng)估其方法的本質(zhì)是定性，所謂定性，則意味著估計(jì)、大概，不準(zhǔn)確，其本質(zhì)的缺陷給實(shí)踐帶來無窮的問題，重要問題之一就是投資回報(bào)問題，由于不能從財(cái)務(wù)的角度去評(píng)價(jià)一個(gè)/組風(fēng)險(xiǎn)所帶來的可能損失，因此，也就沒有辦法得到投資回報(bào)率，盡管這是個(gè)問題，但是實(shí)踐當(dāng)中，一般大的企業(yè)都會(huì)有個(gè)基本的年度預(yù)算，IT/安全占企業(yè)年度預(yù)算的百分之多少，然后就是反正就這么些錢，按照風(fēng)險(xiǎn)從高到低或者再結(jié)合其他比如企業(yè)現(xiàn)有管理和技術(shù)水平，項(xiàng)目實(shí)施的難易度等情況綜合考慮得到風(fēng)險(xiǎn)處理優(yōu)先級(jí)，從高到低依次排序，錢到哪花完，風(fēng)險(xiǎn)處理今年就處理到哪。這方法到也比較具有實(shí)際價(jià)值，操作起來也容易，預(yù)算多的企業(yè)也不怕錢花不完，預(yù)算少的企業(yè)也有其對(duì)付辦法，你領(lǐng)導(dǎo)就給這么些錢，哪些不能處理的風(fēng)險(xiǎn)反正我已經(jīng)告訴你啦，要是萬一出了事情你也怪不得我，沒有出事情，等明年有錢了再接著處理。

這也不算難的，最難最突出的是那些不僅僅做個(gè)一次風(fēng)險(xiǎn)評(píng)估的企業(yè)，出問題了，幾次風(fēng)險(xiǎn)評(píng)估的結(jié)果不具有可比性，有時(shí)甚至還出現(xiàn)矛盾的地方，比方說，某個(gè)部門去年是某個(gè)崗位的上一任做的，今年是另一位做的，評(píng)估結(jié)果不能反映去年到今年做的工作改善了企業(yè)所面臨的信息安全風(fēng)險(xiǎn)狀況，甚至細(xì)致到某個(gè)風(fēng)險(xiǎn)上;更有甚者，比如上次對(duì)于某個(gè)重要系統(tǒng)，由于沒有必要的操作規(guī)程而導(dǎo)致誤操作而影響系統(tǒng)安全的風(fēng)險(xiǎn)，采取、規(guī)范了操作流程并且培訓(xùn)了相關(guān)操作人員等控制措施，按理說這個(gè)風(fēng)險(xiǎn)已經(jīng)是得到必要的控制，風(fēng)險(xiǎn)降低了，但是偏偏評(píng)估的結(jié)果不降反升了。這個(gè)問題，歸納為一句就是：風(fēng)險(xiǎn)評(píng)估如何得到一個(gè)一致的、可比較的、可重復(fù)的評(píng)估結(jié)果。

3.對(duì)策

針對(duì)定性風(fēng)險(xiǎn)評(píng)估這個(gè)突出問題，在解決這個(gè)問題之前，我們先有必要清晰的界定這個(gè)問題。有人可能會(huì)問，我們企業(yè)在風(fēng)險(xiǎn)評(píng)估結(jié)果中，某項(xiàng)風(fēng)險(xiǎn)為100的風(fēng)險(xiǎn)是不是意味著很大呢？或者問我們企業(yè)風(fēng)險(xiǎn)評(píng)估結(jié)果某項(xiàng)風(fēng)險(xiǎn)值為30的風(fēng)險(xiǎn)是不是比其他企業(yè)同類型風(fēng)險(xiǎn)其風(fēng)險(xiǎn)值為100的風(fēng)險(xiǎn)小呢？答案是：都不是。定性風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)值僅僅是個(gè)相對(duì)值，其數(shù)值本身的大小不具有意義，其值只在整個(gè)風(fēng)險(xiǎn)參照體系中才具有相對(duì) (高/低)價(jià)值。企業(yè)與企業(yè)之間的安全風(fēng)險(xiǎn)對(duì)比，只有在使用同一風(fēng)險(xiǎn)評(píng)估方法 (包括風(fēng)險(xiǎn)計(jì)算方法一致，定性尺度一致)，最好是相同行業(yè)并且業(yè)務(wù)相似的情況下，才具有橫向可比性。在同一企業(yè)內(nèi)部，風(fēng)險(xiǎn)評(píng)估結(jié)果要在不同部門橫向比較，在同一部門縱向比較，那么，則也必須在同一風(fēng)險(xiǎn)評(píng)估方法 (包括風(fēng)險(xiǎn)計(jì)算方法一致，定性尺度一致)下才具有可比性。

定性風(fēng)險(xiǎn)評(píng)估其實(shí)踐操作中，主要依靠評(píng)估者的個(gè)人經(jīng)驗(yàn)和判斷，具有很強(qiáng)的主觀特性，那我們的問題就變成了：在同一風(fēng)險(xiǎn)評(píng)估方法下，如何盡可能的剔除評(píng)估者的主觀干擾，使得風(fēng)險(xiǎn)評(píng)估的結(jié)果更接近于風(fēng)險(xiǎn)的真實(shí)狀況 (盡管這種風(fēng)險(xiǎn)真實(shí)狀況無法知曉，但是一定存在)？

解決這個(gè)問題出路之一就是結(jié)構(gòu)化。當(dāng)前所有的咨詢/安全服務(wù)公司在幫助企業(yè)做風(fēng)險(xiǎn)評(píng)估，或者企業(yè)參照國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)自己建立的一套風(fēng)險(xiǎn)評(píng)估體系自己進(jìn)行風(fēng)險(xiǎn)與控制自評(píng)估時(shí)，一般的操作流程是先做現(xiàn)狀調(diào)研，根據(jù)現(xiàn)狀調(diào)研的結(jié)果來做風(fēng)險(xiǎn)評(píng)估。可以說，風(fēng)險(xiǎn)評(píng)估是現(xiàn)狀調(diào)研成果的另一種表現(xiàn)形式，更科學(xué)，更直觀。那么，現(xiàn)狀調(diào)研的結(jié)果作為風(fēng)險(xiǎn)評(píng)估的重要輸入，通過結(jié)構(gòu)化現(xiàn)狀調(diào)研的結(jié)果，即風(fēng)險(xiǎn)與風(fēng)險(xiǎn)應(yīng)對(duì)措施建立結(jié)構(gòu)化的聯(lián)系，這樣在評(píng)價(jià)某個(gè)風(fēng)險(xiǎn)大小，每次都對(duì)控制該風(fēng)險(xiǎn)對(duì)應(yīng)的所有應(yīng)對(duì)措施做出分析和評(píng)價(jià)。

看以下例子：

在風(fēng)險(xiǎn)評(píng)估方法上，針對(duì)把由于資產(chǎn)責(zé)任不明而導(dǎo)致操作人員在誤操作時(shí)泄密某服務(wù)器上絕密文件的這個(gè)具體風(fēng)險(xiǎn)與“資產(chǎn)所有者關(guān)系”、“文件化的操作程序”以及“信息安全意識(shí)、教育和培訓(xùn)”三項(xiàng)“應(yīng)對(duì)”措施建立結(jié)構(gòu)化的聯(lián)系。第一次做風(fēng)險(xiǎn)評(píng)估時(shí)，由于企業(yè)現(xiàn)有控制只有絕密文件的所有者指定了該文件的保護(hù)要求這一項(xiàng)控制措施，使得該項(xiàng)風(fēng)險(xiǎn)的弱點(diǎn)值較小，風(fēng)險(xiǎn)評(píng)估的結(jié)果為16。

做完第一風(fēng)險(xiǎn)評(píng)估之后，后來指定了規(guī)范的操作程序并對(duì)人員進(jìn)行了必要的安全與操作技能培訓(xùn)，操作人員已經(jīng)完全熟悉操作規(guī)范。第二次做風(fēng)險(xiǎn)評(píng)估時(shí)，同樣評(píng)價(jià)這項(xiàng)風(fēng)險(xiǎn)，風(fēng)險(xiǎn)評(píng)估的結(jié)果就為4了。

通過以上這個(gè)簡(jiǎn)單的例子，我們就可以看到，當(dāng)一旦建立風(fēng)險(xiǎn)與風(fēng)險(xiǎn)應(yīng)對(duì)措施這么一個(gè)結(jié)構(gòu)化的關(guān)系時(shí)，在評(píng)價(jià)風(fēng)險(xiǎn)的大小時(shí)，通過對(duì)風(fēng)險(xiǎn)控制的科學(xué)分解，使得主觀判斷的負(fù)面影響在評(píng)估過程中降低。在實(shí)踐中，還可以做到更精細(xì)些，比如對(duì)同一控制措施的控制力度再做劃分，比如剛才那個(gè)例子中，“文件化的操作程序”這個(gè)操作流程的成熟度的角度來進(jìn)一步評(píng)判控制措施的強(qiáng)度和有效性。當(dāng)然，同時(shí)也需要考慮同類風(fēng)險(xiǎn)之間的關(guān)聯(lián)關(guān)系以及控制措施之間的關(guān)聯(lián)關(guān)系。

4.結(jié)束語

以上對(duì)定性的風(fēng)險(xiǎn)評(píng)估的方法在實(shí)踐操作的層面做了有益的探討，這種探討是源自我們的實(shí)踐總結(jié)，也在具體的項(xiàng)目中收到良好的效果?？傊?，我們需要在標(biāo)準(zhǔn)的資產(chǎn)風(fēng)險(xiǎn)評(píng)估方法上做必要的加法，同時(shí)，我們還要考慮定性評(píng)估方法的優(yōu)點(diǎn)恰恰是簡(jiǎn)單易操作而得以廣泛運(yùn)用，在我們做加法的同時(shí)，還需要做減法，在保障一致的、可比較和可重復(fù)的評(píng)估結(jié)果時(shí)，還需要還原于其簡(jiǎn)單、易操作的本質(zhì)，這樣才能保持該方法的科學(xué)性和生命力。這道理恰恰正如大都市里的“我們”為了應(yīng)對(duì)緊張的工作競(jìng)爭(zhēng)和生活壓力而在城市里更好的立足，要不斷給自己做加法(不停的學(xué)習(xí)充電)，同時(shí)也要不斷給自己做減法(放松、減壓、善待自己)一樣，大家說，不是嗎？!