容易部署的風(fēng)險(xiǎn)評(píng)估框架

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

不用說(shuō)風(fēng)險(xiǎn)評(píng)估本身，風(fēng)險(xiǎn)評(píng)估框架的概念似乎就超出了中等規(guī)模公司的需求。但是，對(duì)于各種規(guī)模的公司來(lái)說(shuō)，評(píng)估風(fēng)險(xiǎn)的概念是IT安全的核心。而且對(duì)保護(hù)信息資產(chǎn)感興趣的任何中等規(guī)模的組織——在今天應(yīng)該是每家公司——都需要有某些形式的風(fēng)險(xiǎn)評(píng)估，即使它只是一個(gè)成型的裸機(jī)框架，而且只適用于小小的人員班子?！　?/P>

好消息是，風(fēng)險(xiǎn)評(píng)估框架是免費(fèi)的。可以從網(wǎng)上很容易地下載、打印并按意愿研究。雖然它們顯得像神秘的文件，需要一批顧問(wèn)來(lái)實(shí)施，但那未必是事實(shí)。有一些任何中等規(guī)模的公司都可以實(shí)施的最佳實(shí)踐，為其組織剝離甚至最復(fù)雜的框架成可用的、匹配組織規(guī)模的部分。

風(fēng)險(xiǎn)評(píng)估的目標(biāo)是對(duì)您的IT基礎(chǔ)設(shè)施的各個(gè)部分的IT安全風(fēng)險(xiǎn)排列優(yōu)先級(jí)。如果沒(méi)有對(duì)風(fēng)險(xiǎn)排列優(yōu)先級(jí)，企業(yè)就不能有效地對(duì)控制最大風(fēng)險(xiǎn)進(jìn)行預(yù)算。結(jié)果是要么花費(fèi)太多在過(guò)度的或不必要的控制上，要么在另一個(gè)極端，讓系統(tǒng)暴露在惡意攻擊下。并且對(duì)于資金短缺的中等規(guī)模的公司，預(yù)算就是一切，尤其當(dāng)談到安全系統(tǒng)時(shí)，不是太昂貴就是難于管理。

此外，通過(guò)對(duì)風(fēng)險(xiǎn)排列優(yōu)先級(jí)，公司可以判定哪些系統(tǒng)處在濫用或受攻擊的低風(fēng)險(xiǎn)，避免過(guò)多的安全行為；并可以判定哪些系統(tǒng)處在高風(fēng)險(xiǎn)狀態(tài)，需要更大的保障。有幾個(gè)風(fēng)險(xiǎn)評(píng)估框架，但行業(yè)基準(zhǔn)來(lái)自國(guó)家標(biāo)準(zhǔn)研究所（NIST）。

來(lái)自NIST的主要刊物，“專(zhuān)門(mén)出版物（SP）800-100，信息安全手冊(cè)：經(jīng)理人指南”（Special Publication 800-100, Information Security Handbook: A Guide for Managers），確定了在風(fēng)險(xiǎn)評(píng)估過(guò)程中的四個(gè)步驟。下面是一個(gè)簡(jiǎn)化的、大致基于SP 800-100并適用于中等規(guī)模公司的風(fēng)險(xiǎn)評(píng)估進(jìn)程。

要有自知

第一步是清點(diǎn)和分類(lèi)所有IT資產(chǎn)。第二步是識(shí)別威脅，第三步是要識(shí)別對(duì)應(yīng)的安全漏洞。最后一步是實(shí)際的風(fēng)險(xiǎn)分析，包括評(píng)估對(duì)IT資產(chǎn)的安全控制，確定破壞的可能性和影響，并最終指定風(fēng)險(xiǎn)級(jí)別。評(píng)估完成后，匯編帶有推薦控制措施的報(bào)告。應(yīng)當(dāng)將風(fēng)險(xiǎn)評(píng)估看作是一個(gè)定期審查和實(shí)施的循環(huán)過(guò)程，應(yīng)定期反復(fù)進(jìn)行風(fēng)險(xiǎn)評(píng)估。

IT資產(chǎn)清單定義了風(fēng)險(xiǎn)評(píng)估的范圍。公司在實(shí)施安全控制以前，必須知道它已有什么資產(chǎn)以及現(xiàn)有的控制措施（如果有的話）。該清單應(yīng)包括所有硬件、軟件、數(shù)據(jù)、流程和到外部系統(tǒng)的接口的列表。

下一步是識(shí)別威脅。這些威脅包括物理威脅，諸如自然災(zāi)害或停電，但當(dāng)然它也應(yīng)包括IT安全威脅，例如對(duì)系統(tǒng)的惡意訪問(wèn)或惡意攻擊。需要有創(chuàng)意?？紤]對(duì)你的系統(tǒng)最有可能的威脅，既包括來(lái)自你經(jīng)歷的威脅，也包括來(lái)自安全公告公布的攻擊名單，如在卡耐基梅?。–arnegie Mellon）的美國(guó)計(jì)算機(jī)緊急響應(yīng)小組（US - CERT）。

但威脅并不是孤立存在的。如果在系統(tǒng)中存在漏洞，它們就可能受到威脅，這是評(píng)估過(guò)程的第三步。在這里，NIST同樣提供了有價(jià)值的資源。它的國(guó)家漏洞數(shù)據(jù)庫(kù)（NVD）是當(dāng)前威脅的目錄和舊的威脅的歸檔。除了NVD以外，可以檢查硬件和軟件供應(yīng)商的網(wǎng)站以查找漏洞列表。諸如黑客公告板的其他來(lái)源也是發(fā)現(xiàn)漏洞的一個(gè)很好的參考。

漏洞也可從安全性測(cè)試和系統(tǒng)掃描中獲得，包括脆弱性和滲透測(cè)試。

收集到所有這些數(shù)據(jù)以后，最后一步是實(shí)際的風(fēng)險(xiǎn)分析。這包括三個(gè)子階段：評(píng)估現(xiàn)有的安全控制措施、基于這些控制措施確定破壞的可能性和影響，以及確定風(fēng)險(xiǎn)級(jí)別。破壞的可能性和影響均可以分為各高、中和低三個(gè)檔次?？梢詾槊恳粋€(gè)風(fēng)險(xiǎn)級(jí)別給定一個(gè)風(fēng)險(xiǎn)指數(shù)，如從1到10，然后形成一個(gè)3*3的矩陣，水平方向?yàn)橛绊懀怪狈较驗(yàn)榭赡苄浴?/P>

隨后的風(fēng)險(xiǎn)指數(shù)應(yīng)成為最終報(bào)告詳細(xì)闡述的一部分，如果有的話，應(yīng)該實(shí)施安全控制措施將風(fēng)險(xiǎn)級(jí)別降到一個(gè)較低的水平，或降低到組織愿意容忍和接受的級(jí)別。也可以用風(fēng)險(xiǎn)指數(shù)來(lái)證明安全措施的成本，特別是在風(fēng)險(xiǎn)比較高時(shí)。例如，高風(fēng)險(xiǎn)是潛在破壞的一面紅旗，需要立即采取安全控制措施。

雖然這個(gè)規(guī)模較小的風(fēng)險(xiǎn)評(píng)估過(guò)程是基于NIST的，其他框架也有類(lèi)似的方式，包括識(shí)別資產(chǎn)、威脅和脆弱性，然后基于收集的數(shù)據(jù)指定風(fēng)險(xiǎn)。其他框架包括OCTAVE和COBIT。OCTAVE是來(lái)自CERT的業(yè)務(wù)關(guān)鍵威脅、資產(chǎn)和脆弱性評(píng)價(jià)；COBIT是來(lái)自信息系統(tǒng)審計(jì)與控制協(xié)會(huì)對(duì)信息和相關(guān)技術(shù)的控制目標(biāo)。

無(wú)論您選擇什么框架，對(duì)于中等規(guī)模的公司來(lái)說(shuō)，風(fēng)險(xiǎn)評(píng)估仍像是一個(gè)大項(xiàng)目。它可能用盡人員并耗費(fèi)時(shí)間，這兩個(gè)方面都只需要在短期內(nèi)得到供應(yīng)。但是，在一個(gè)更小的公司，進(jìn)行風(fēng)險(xiǎn)評(píng)估并不是一個(gè)全職的工作?？梢杂赡澄籌T工作人員定期處理它們，例如每年或當(dāng)有大的系統(tǒng)變更時(shí)，如在收購(gòu)或安裝新的、主要的IT系統(tǒng)期間。

在做風(fēng)險(xiǎn)評(píng)估時(shí)，另一種節(jié)省時(shí)間的方法是限制范圍。例如，許多中等規(guī)模的公司并不在內(nèi)部做應(yīng)用開(kāi)發(fā)。這就不需要審查。對(duì)于大多數(shù)中等規(guī)模的公司，應(yīng)堅(jiān)持最關(guān)注的項(xiàng)目——訪問(wèn)管理、網(wǎng)絡(luò)安全、物理安全和網(wǎng)站安全——你應(yīng)該審查“面包和黃油”。

對(duì)于任何信息安全計(jì)劃，風(fēng)險(xiǎn)評(píng)估都是至關(guān)重要的。對(duì)于任何中等規(guī)模的公司來(lái)說(shuō)，這些步驟應(yīng)有助于簡(jiǎn)化風(fēng)險(xiǎn)評(píng)估的過(guò)程。