看病治病 信息安全風(fēng)險(xiǎn)評(píng)估之我見

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

在信息安全產(chǎn)業(yè)界，風(fēng)險(xiǎn)評(píng)估早已不是陌生話題，幾年以來，各安全公司完成的風(fēng)險(xiǎn)評(píng)估項(xiàng)目已不在少數(shù)，甚至在幾乎所有的信息安全服務(wù)廠商中，風(fēng)險(xiǎn)評(píng)估都是其核心業(yè)務(wù)。

　　風(fēng)險(xiǎn)評(píng)估的核心不僅僅是理論，更是實(shí)踐。風(fēng)險(xiǎn)評(píng)估的實(shí)踐工作是很困難的，據(jù)國(guó)外的統(tǒng)計(jì)數(shù)字顯示，只有60％的風(fēng)險(xiǎn)評(píng)估是成功的。國(guó)內(nèi)的風(fēng)險(xiǎn)評(píng)估工作面臨的挑戰(zhàn)更多，需要一定時(shí)間的積累和沉淀，就像要成為一個(gè)好的中醫(yī)，要有個(gè)學(xué)和練的過程一樣。

　　有人認(rèn)為風(fēng)險(xiǎn)評(píng)估只是一個(gè)看病的過程，其實(shí)，看病就是在治病。因此，筆者就“看病治病”的風(fēng)險(xiǎn)評(píng)估過程的幾個(gè)方面簡(jiǎn)單談?wù)勛约旱男牡门c體會(huì)。

　　1. 定義——什么是完整意義的風(fēng)險(xiǎn)評(píng)估

　　何為完整意義的風(fēng)險(xiǎn)評(píng)估？須從各個(gè)角度去觀察，既要客觀，又要全面。古語云：“橫看成嶺側(cè)成峰，遠(yuǎn)近高低各不同。不識(shí)廬山真面目，只緣身在此山中。”故所謂信息系統(tǒng)的安全風(fēng)險(xiǎn)，是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。在風(fēng)險(xiǎn)評(píng)估中，最終要根據(jù)對(duì)安全事件發(fā)生的可能性和負(fù)面影響的評(píng)估來識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。與信息系統(tǒng)的安全風(fēng)險(xiǎn)密切相關(guān)的因素包括：

　　（1）使命：即一個(gè)單位通過信息技術(shù)手段實(shí)現(xiàn)的工作任務(wù)。一個(gè)單位的使命對(duì)信息系統(tǒng)和信息的依賴程度越高，風(fēng)險(xiǎn)評(píng)估的任務(wù)就越重要。

　　（2）資產(chǎn)：通過信息化建設(shè)積累起來的信息系統(tǒng)、信息、生產(chǎn)或服務(wù)能力、人員能力和贏得的信譽(yù)等。

　?。?）資產(chǎn)價(jià)值：資產(chǎn)的敏感程度、重要程度和關(guān)鍵程度。

　?。?）威脅：一個(gè)單位的信息資產(chǎn)的安全可能受到的侵害。威脅由多種屬性來刻畫：威脅的主體（威脅源）、能力、資源、動(dòng)機(jī)、途徑、可能性和后果。

　?。?）脆弱性：信息資產(chǎn)及其安全措施在安全方面的不足和弱點(diǎn)。脆弱性也常常被稱為漏洞。

　?。?）事件：如果威脅主體能夠產(chǎn)生威脅，利用資產(chǎn)及其安全措施的脆弱性，那么實(shí)際產(chǎn)生危害的情況稱之為事件。

　　（7）風(fēng)險(xiǎn)：由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。

　?。?）殘余風(fēng)險(xiǎn)：采取了安全措施，提高了信息安全保障能力后，仍然可能存在的風(fēng)險(xiǎn)。

　?。?）安全需求：為保證單位的使命能夠正常行使，在信息安全保障措施方面提出的要求。

　　（10）安全措施：對(duì)付威脅，減少脆弱性，保護(hù)資產(chǎn)，限制意外事件的影響，檢測(cè)、響應(yīng)意外事件，促進(jìn)災(zāi)難恢復(fù)和打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制的總稱。

　　在這些要素中，尤其需要注意一個(gè)概念：殘余風(fēng)險(xiǎn)。之所以提出這個(gè)概念，原因在于：1）風(fēng)險(xiǎn)不可能完全消除。信息技術(shù)在發(fā)展，外部環(huán)境在變化，信息系統(tǒng)本身也要發(fā)生變化，信息安全的動(dòng)態(tài)性致使不可能完全消除未來發(fā)生安全事件的風(fēng)險(xiǎn)。2）風(fēng)險(xiǎn)不必要完全消除。資產(chǎn)的價(jià)值以及信息安全的投入之間的比例關(guān)系決定了對(duì)有些安全風(fēng)險(xiǎn)，采取措施反而比不采取措施成本更高。由于上述原因，所謂安全的信息系統(tǒng)，并不是指“萬無一失”的信息系統(tǒng)，而是指殘余風(fēng)險(xiǎn)可以被接受的信息系統(tǒng)。

　　造成信息安全事件的源頭，可以歸為外因和內(nèi)因。外因?yàn)橥{，內(nèi)因則為脆弱性。蘇軾之《琴詩(shī)》曰：若言琴上有琴聲，放在匣中何不鳴？若言聲在指頭上，何不于君指上聽？這首詩(shī)所揭示是琴、指頭和琴聲三者之間的關(guān)系。如果把演奏者包括在內(nèi)，那么，演奏者的思想感情和技能與琴、指之間的關(guān)系，又可以看作是事物的內(nèi)因和事物的外因之間的關(guān)系。前者是音樂產(chǎn)生的根據(jù)，后者則是音樂產(chǎn)生的條件，兩者缺一不可。 因此，在風(fēng)險(xiǎn)評(píng)估中，要刻畫信息安全事件，就必須對(duì)威脅和脆弱性都有深入了解，這構(gòu)成了風(fēng)險(xiǎn)評(píng)估工作的關(guān)鍵。

　　風(fēng)險(xiǎn)評(píng)估的工作由以下幾個(gè)步驟組成：

　　步驟1：描述系統(tǒng)特征

　　步驟2：識(shí)別威脅（威脅評(píng)估）

　　步驟3：識(shí)別脆弱性（脆弱性評(píng)估）

　　步驟4：分析安全控制

　　步驟5：確定可能性

　　步驟6：分析影響

　　步驟7：確定風(fēng)險(xiǎn)

　　步驟8：對(duì)安全控制提出建議

　　步驟9：記錄評(píng)估結(jié)果

　　2.作用——風(fēng)險(xiǎn)評(píng)估是分析確定風(fēng)險(xiǎn)的過程

　　任何系統(tǒng)的安全性都可以通過風(fēng)險(xiǎn)的大小來衡量。科學(xué)分析系統(tǒng)的安全風(fēng)險(xiǎn)，綜合平衡風(fēng)險(xiǎn)和代價(jià)的過程就是風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估不是某個(gè)系統(tǒng)（包括信息系統(tǒng)）所特有的。在日常生活和工作中，風(fēng)險(xiǎn)評(píng)估也是隨處可見，為了分析確定系統(tǒng)風(fēng)險(xiǎn)及風(fēng)險(xiǎn)大小，進(jìn)而決定采取什么措施去減少、避免風(fēng)險(xiǎn)，把殘余風(fēng)險(xiǎn)控制在可以容忍的范圍內(nèi)。人們經(jīng)常會(huì)提出這樣一些問題：什么地方、什么時(shí)間可能出問題？出問題的可能性有多大？這些問題的后果是什么？應(yīng)該采取什么樣的措施加以避免和彌補(bǔ)？并總是試圖找出最合理的答案。這一過程實(shí)際上就是風(fēng)險(xiǎn)評(píng)估。

　　3.戰(zhàn)略——信息安全風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)的起點(diǎn)和基礎(chǔ)

　　信息安全風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)評(píng)估理論和方法在信息系統(tǒng)中的運(yùn)用，是科學(xué)分析理解信息和信息系統(tǒng)在機(jī)密性、完整性、可用性等方面所面臨的風(fēng)險(xiǎn)，并在風(fēng)險(xiǎn)的預(yù)防、風(fēng)險(xiǎn)的控制、風(fēng)險(xiǎn)的轉(zhuǎn)移、風(fēng)險(xiǎn)的補(bǔ)償、風(fēng)險(xiǎn)的分散等之間作出抉擇的過程。所有信息安全建設(shè)都應(yīng)該是基于信息安全風(fēng)險(xiǎn)評(píng)估，只有在正確地、全面地理解風(fēng)險(xiǎn)后，才能在控制風(fēng)險(xiǎn)、減少風(fēng)險(xiǎn)之間作出正確的判斷，決定調(diào)動(dòng)多少資源、以什么樣的代價(jià)、采取什么樣的應(yīng)對(duì)措施去化解、控制風(fēng)險(xiǎn)。

　　4.借鑒——重視風(fēng)險(xiǎn)評(píng)估是信息化比較發(fā)達(dá)國(guó)家的基本經(jīng)驗(yàn)

　　《勸學(xué)》云：“吾嘗終日而思矣，不如須臾之所學(xué)也。吾嘗跂而望矣，不如登高之博見也。登高而招，臂非加長(zhǎng)也，而見者遠(yuǎn)。順風(fēng)而呼，聲非加疾也，而聞?wù)哒谩＜佥涶R者，非利足也，而致千里。假舟輯者，非能水也，而絕江河。君子生非異也，善假于物也?！逼浜诵乃枷爰词墙柚饨缌α堪l(fā)展提高壯大自己。由于信息技術(shù)的飛速發(fā)展，關(guān)系國(guó)計(jì)民生的關(guān)鍵信息基礎(chǔ)設(shè)施的規(guī)模越來越大，同時(shí)也極大地增加了復(fù)雜程度，發(fā)達(dá)國(guó)家越來越重視信息安全風(fēng)險(xiǎn)評(píng)估工作，提倡風(fēng)險(xiǎn)評(píng)估制度化。20 世紀(jì)70 年代，美國(guó)政府就發(fā)布了《自動(dòng)化數(shù)據(jù)處理風(fēng)險(xiǎn)評(píng)估指南》。其后頒布的關(guān)于信息安全基本政策文件《聯(lián)邦信息資源安全》明確提出了信息安全風(fēng)險(xiǎn)評(píng)估的要求，要求聯(lián)邦政府部門依據(jù)信息和信息系統(tǒng)所面臨的風(fēng)險(xiǎn)，根據(jù)信息丟失、濫用、泄露、未授權(quán)訪問等造成損失的大小，制訂、實(shí)施信息安全計(jì)劃，以保證信息和信息系統(tǒng)應(yīng)有的安全。有些國(guó)家和國(guó)際組織還十分重視階段性的再評(píng)估工作，以求得信息安全措施可以持續(xù)地適應(yīng)信息安全形勢(shì)的變化和發(fā)展。因此我們應(yīng)該充分借鑒國(guó)內(nèi)外就風(fēng)險(xiǎn)評(píng)估方面的經(jīng)驗(yàn)，“站在巨人的肩膀上”，完善并改進(jìn)風(fēng)險(xiǎn)評(píng)估。

　　5.改進(jìn)——當(dāng)前開展信息安全風(fēng)險(xiǎn)評(píng)估要研究解決的幾個(gè)問題

　　經(jīng)過幾年的探索，我國(guó)有關(guān)方面已經(jīng)在信息安全風(fēng)險(xiǎn)評(píng)估方面做了大量工作，積累了一些寶貴的經(jīng)驗(yàn)，然而由于起步晚，存在一些亟待解決的問題。一是對(duì)風(fēng)險(xiǎn)評(píng)估的認(rèn)識(shí)不高，經(jīng)驗(yàn)不足。二是風(fēng)險(xiǎn)評(píng)估的工作流程和技術(shù)標(biāo)準(zhǔn)有待完善。風(fēng)險(xiǎn)評(píng)估既是一個(gè)管理過程，也是一個(gè)技術(shù)性過程，需要制訂科學(xué)、實(shí)用、有效的工作流程和技術(shù)標(biāo)準(zhǔn)。特別是定性和定量的分析方法各自所起的作用，以及相互關(guān)系，有待進(jìn)一步通過實(shí)踐摸索和理論研究的活動(dòng)，加以豐富、完善。三是評(píng)估工具的發(fā)展相對(duì)滯后，很難適應(yīng)技術(shù)發(fā)展需要。造成風(fēng)險(xiǎn)評(píng)估工具滯后的原因很多，技術(shù)、裝備上的落后是主要的。所以，要加強(qiáng)風(fēng)險(xiǎn)評(píng)估工具的研發(fā)和推廣。四是風(fēng)險(xiǎn)評(píng)估帶來的新風(fēng)險(xiǎn)的有效控制還沒有得到很好的解決。最后要強(qiáng)調(diào)的一點(diǎn)是要注重風(fēng)險(xiǎn)評(píng)估知識(shí)和經(jīng)驗(yàn)的積累，提高安全能力——“半畝方塘一鑒開，天光云影共徘徊。問渠那得清如水？為有源頭活水來?！?只有不斷更新，不斷積累，企業(yè)的風(fēng)險(xiǎn)管理才不會(huì)成為一潭死水，毫無生氣。（來自互聯(lián)網(wǎng)）