有效风险评估工作的思考与探索

　　提到信息安全就必然涉及风险评估，风险评估已经成为信息安全工作的重要组成部分，也是现代信息安全理论重要基础之一。风险评估的方法有很多种，例如，定量评估、基线评估、非正式(非结构化)评估、详细评估(基于信息资产的风险评估)，综合评估，等等。目前使用最为广泛的是“基于信息资产的风险评估”方法(以下简称“风险评估”)，它是基于《ISO13335信息安全风险管理指南》发展起来的，我国也在此基础上制定了《GB/T 20984-2007信息安全风险评估规范》，本文将仅聚焦(不涉及对于其他风险评估方法的评价)于对如何正确理解此方法、如何提高风险评估效果和效率，结合本人在咨询实践中的经验同大家进行探讨。

　　本文适合的阅读对象为：在组织中负责信息安全管理工作的相关人员，以及提供信息安全风险评估服务的相关咨询服务商、集成商、厂商的相关人员。对于尚不了解风险评估基本概念和方法的人员，可以先参考阅读《GB/T 20984-2007信息安全风险评估规范》。

　　实际上，我对风险评估的认识也是经历了一个逐步深化和清晰的过程，在工作过程中也曾经有过很多的疑问，在此简单介绍一下，如果您也有过同样的经历或者正在经历这个过程，那么我想在本文下面几节所阐述的内容和观点，也许对您将有所帮助。

　　我对于风险评估的认识可以分为三个阶段：第一阶段盲目期，在刚刚接触风险评估时，认为这个通过资产、威胁、脆弱性几个要素能够简单刻画评估信息安全风险的方法非常实用，因此在所有项目中都引导和建议客户做风险评估;第二个阶段质疑期，随着在项目中的应用，逐渐发现了很多实际操作问题，同时也面临客户对于此方法的很多挑战，例如：资产赋值标准、风险计算方法等等，有些问题由于自己认识的不到位也无法给出合理的解释，以致对风险评估工作本身产生了质疑;第三个阶段探索期，由于风险评估是信息安全的理论基础之一，如果没有前期的风险评估工作成果，则包括信息安全规划、安全工作落实等工作就失去了方向和依据，所以开始结合这些年在工作中遇到的问题和经验，重新对风险评估的意义、价值进行思考，对评估方法重新进行尝试和探索。

　　由于受篇幅限制，本文仅进行概括性的阐述。我们在谷安天下的顾问培训班中也会进行风险评估方的详细讲解和探讨。

　　信息资产识别和资产管理的目的和范围是不同的。组织的资产管理是站在资产财务角度来考虑的，重点在于登记、管理组织资产的财务属性，用于清算、核实组织的运行情况。而信息安全风险评估工作中的资产识别，是站在信息资产保护的视角上，来考虑信息资产的机密性、可用性、完整性受到破坏后对组织的影响。所以说，二者的关注点是截然不同的，不要试图在风险评估工作中搜集和识别所有资产管理范围内的资产及其相关属性。有些客户往往在风险评估中花了大量的工作在资产搜集上，反而忽视了对于关键信息资产风险的识别、控制与管理，实际上是舍本逐末，效果自然是事倍功半。

　　风险评估首要工作就是要识别信息资产。观点一：识别关键信息资产即可，尤其是第一次做风险评估时对于信息资产比较多的组织，不要试图识别所有信息资产，可以在以后的风险评估过程中逐步完善。观点二：识别信息资产时要结合组织情况，同样资产对于不同组织识别信息资产结果可能是不同。举个例子，对于一般组织投影仪完全可以不作为信息资产来识别，然而对于从事培训工作的组织来说，投影仪就可能被识别为关键信息资产。观点三：相关标准、规范对于信息资产分类和范围的定义可以参考，不要盲从。应结合组织特点制定符合组织实际情况的、可操作的信息资产分类和范围，可以在标准的基础上进行增加、对于不适用的可以删减、或对于某一资产类进行细化(细化的程度以可操作为宜，具有相同威胁和脆弱性的资产可以归为一类)，等等。目的是使后续威胁、脆弱性识别与风险分析等工作得以简化和更具可操作性。

　　在风险评估中，信息资产相对价值由机密性、完整性和可用性(CIA)的等级来确定。我们认为在CIA不足以完全体现关键信息资产价值时，可以结合实际补充相关属性，如财物价值等。在工作中经常会碰到客户问到信息资产分级是分、五级还是十级好?这个问题不是绝对的，对于发展中的中小组织来说，信息资产相对较少，可以采用分类，即高(3)、中(2)、低(1);对于信息资产相对较多的组织，为了更细致描述资产相对价值，可以采用五级分类，即高(5)、较高(4)、中(3)、较低(2)、低(1)。总而言之，能够体现信息资产价值和方便操作的两个前提下，越简单越好(定义成十级理论上也是可以的，但基本不具备可操作性)。

　　在信息资产相对价值的评价时，首先要对信息资产的CIA属性进行赋值。在赋值过程中，可能会发现对于一些资产很难评价CIA。举个例子，对于人员类资产，评价其完整性是没有什么意义的。因此，可采用加权系数的方式，即针对CIA分别设定 、 、三个系数( + +=1)，设定=0 、=0.4 、=0.6 。这样做的好处是对于不适用的选型可以不予评价，同时针对不同行业、不同资产类别可以设定反映此类资产特点的CIA加权系数 、、(例如：金融行业与制造业对于相同资产类别的CIA关注侧重点是不同的，硬件资产和数据资产CIA关注侧重点是不同的)。另外，针对具体算法，只要能够相对比较客观的反映出信息资产相对价值，可以采用相加、相乘、平均值等算法，然后根据资产值所在区间确定资产相对价值。

　　总结来说，信息资产识别与价值评估的根本目的，是在于通过一套统一的方，来识别出组织中需要保护的信息资产，并且对其重要性进行分析，从而有的放矢的识别分析出组织中的信息安全风险。

　　观点一：不要试图识别出资产面临的所有威胁以及具有的所有脆弱性。因为，无论如何都不可能识别完全，而且资产的威胁和脆弱性也是随着组织环境与控制措施不断在变化的，只要把当时资产所面临的最重要的威胁和脆弱性识别出来就可以了。观点二：利用漏扫工具对主机、网络设备、数据库等进行扫描时会扫出很多的技术漏洞，建议在进行脆弱性识别时按一条来处理，统一识别威胁和风险，采取的控制措施就是对这个资产进行加固，没有必要针对每一条进行识别。观点三：在识别威胁和脆弱性时，不要忘记识别现有的控制措施，因为现有控制措施的效果会对威胁和脆弱性赋值产生影响。从理论上讲，现有控制措施可能对威胁和脆弱性同时产生影响，但从实际操作层面来看，现有控制措施绝大多数情况只针对脆弱性发挥作用，因此我们更倾向于只针对脆弱性考虑现有控制措施。观点四：为了提高效率，威胁、脆弱性和风险可以一起识别，因为风险实际上是资产(A)、威胁(T)、脆弱性(V)的组合而成，缺一不可。因此，单独识别资产的威胁和脆弱性看似合理的，但是没有与威胁相匹配的脆弱性，或者没有与脆弱性相匹配的威胁，最终都不会被识别为资产的风险，所以ATV-R/AVT-R这样一条龙的方式来识别是效率最高的。

　　经常有客户或者学员提出，采用ATV相加、ATV相乘、或者像信息安全风险评估规范中所介绍的矩阵法、或A*V*T*V相乘法，或更为复杂的公式来计算风险，哪种更好?我们认为：由于目前采用的风险评估方法实质上还是半定量的评估方法，因此不必纠结于具体算法，只要能够合理的反映出资产、威胁、脆弱性和风险之间的逻辑关系就好。有人会说采用不同的算法对于风险的评价可能是不同的，例如对于同一风险，用相加法算出的风险是中风险，而用相乘法算出的风险是高风险，如何避免这种情况?第一，确定好一种计算方法就长期使用它，不要这次使用矩阵法，下次使用相乘法，这样不具可比性;第二，可以根据选择的算法以及组织自身特点调整风险取值范围，例如：50-81是高风险，25-49是中风险，1-24是低风险;第三，由于采用的是半定量的评估，与其纠结具体算法的误差，不如把注意力放在资产、威胁、脆弱性的赋值上，因为这里出现误差后会被采用的算法进行放大，所以算法出现的误差与之相比就可以忽略不计了。

　　2) 这里要特别强调的是，风险评估的核心目的是利用统一的评估尺度将识别出的风险进行排序，以确定组织需要优先处置的风险，而不是为了计算出每一条风险的绝对值。只要尺度是统一的，无论尺子比例大小、单位高低，都不会影响风险的相对大小，而且组织的风险接受水平是根据全面风险评估结果而划定的。风险展示通常在撰写风险评估报告时，会总结组织总体和各部门的高、中、低风险分布情况，同时会附上以资产为主线的风险评估记录表。但实际上，风险应该以更多的视角去展现，这样便于领导层和操作层更全面的认识风险，进而控制风险。风险还可以以资产分类、脆弱性分类、威胁分类等去展示，同时应能够展示出历次风险评估风险的变化情况，甚至对于每一个风险及其控制措施进行跟踪，以确保风险最终得到有效控制，这样才能够反映出风险评估的真正价值。不过要做到这个程度就必须有一个系统来管理，不是简单的excel表能够方便实现的了。

　　有些做过风险评估工作的客户或学员，尤其是处在上文提到的第二个阶段的人，经常会质疑风险评估的意义。个人认为这是还没有真正理解风险评估的价值造成的。风险评估是一个过程，它不是一次性的工作，风险评估是风险管理的重要环节，而风险管理更是一个过程管理，过分的强调一次风险评估的结果意义不大。风险评估不是目的，风险评估只是一个工具和手段，通过这个工具或者说采用这种方法能够不断地揭示组织面临的风险，使原来未知的风险变成已知风险，进而采取相应的控制措施去控制这些风险，从而不断降低组织风险水平，这才是风险评估真正价值所在。

　　曾经与客户和咨询服务商的学员讨论过风险评估工作是顾问来做的，还是客户自己做这个话题。个人观点是，如果在项目预算、项目进度等都可控，并且客户配合的前提下，尽可能的让客户相关部门人员自己做风险评估，顾问负责传递风险评估方法，并在过程中进行指导，对风险评估结果进行审核;如果不具备这些条件，为了控制项目成本和进度，由顾问快速地完成风险评估工作也无可厚非。总的原则是条件允许的情况下，尽可能地让客户参与进来，在项目中帮助客户人员建立风险评估能力。在项目结束后，客户在全组织范围内具备自行开展风险评估工作来管理风险的能力，并且能够持续进行风险管理，远比一次性的风险评估结果更重要、更有意义。

　　通过上文相关介绍，可以发现风险评估是专业性较强的工作，因此为了帮助客户提高风险评估工作的效率，确保风险评估的成果得以落实，谷安天下结合多年咨询服务经验，研发了GooAnn-ISRM系统(关于此系统详细介绍请参见其他文章或)，这里仅介绍一下系统主要特点：

　　 支持多种的分级方法和风险计算方法，客户可根据需要选择风险环境配置，符合《GB/T 20984-2007信息安全风险评估规范》要求;

　　 内置了谷安总结的资产类别库、威胁库、脆弱性库、风险库、脆弱性检查库、控制措施库，并支持客户更新和建立自己相应的知识库，实现知识的积累、共享和传承;

　　总结：如果在网上搜索关于风险评估方法的文章你会发现很多，但要么非常复杂;要么太理想化;要么不够结构化;要么操作性不强，等等。尽管目前信息资产的风险评估方法还有许多不完善的地方，例如揭示的都是单个资产的静态风险，评估结果较为依赖人的主观判断等，但它是到目前为止一个可操作的、一个结构化的、并被广泛采用的方法，有方法总比没有强，这个方法需要我们在实践中不断地去完善它，提高它在使用过程中的效率，并使之拥有更好的应用效果。（谷安天下 刘敬国）