周晓峰：什么是信息安全风险评估

　　依据国家信息安全标准《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)的定义，信息安全风险评估是“对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。”

　　信息安全风险评估的主要任务是评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合资产价值来判断安全事件一旦发生对组织造成的影响，进而为应如何进一步强化安全控制措施提供依据及建议。

　　这里我们提到了4个概念：资产、威胁、脆弱性和安全控制措施，下面我们就简单介绍一下这些概念的含义——

　　1)资产：信息安全风险评估中所说的资产是任何对组织(如公司、政府机构等各类组织机构)有价值的信息资源，可以包括电子文档、纸质文档材料、软件、硬件、人员、服务性资产等。里面还有“人员”?对，人员也是信息安全风险评估的对象。

　　2)威胁：信息安全风险评估中的威胁概念指可能对资产或组织造成损害的潜在原因及活动，包括黑客入侵和攻击、病毒木马等各类恶意程序、软硬件故障、人为误操作、自然灾害(如地震、火灾、爆炸等)、盗窃、网络监听、供电故障、未授权访问等，如下图所示。

　　3)脆弱性：可能被威胁利用对资产造成损害的薄弱环节。可以包括系统漏洞、软件Bug、专业人员缺乏、不良操作习惯、不合理的安全配置、不安全的物理环境、缺少审计、缺乏安全意识、软件后门等。

　　4)安全控制措施：是指组织所采取的降低安全风险的惯例，程序或机制。包括现有的安全控制措施、计划采取的安全控制措施。

　　在解释了信息安全风险评估所涉及的基本概念，就要讲讲如何信息安全风险评估是如何开展的。下面这张图表述了风险评估的基本流程。

　　其中最关键的4个过程就是资产识别、威胁识别、脆弱性识别和风险分析：

　　1)资产识别：首先是依据业务流程列出信息资产清单，包括：数据与文档、书面文件、软件、硬件、人员、服务等;然后对资产重要性进行量化，量化时应考虑的角度包括：资产损失可能对业务活动造成的影响、将信息资产恢复到正常状态所付出的代价、在公众形象和名誉上的损失、资产采购价值、对保密性/完整性/可用性的影响等多个方面。具体量化的的数值可以是1~5，也可以是1~100等，具体依赖于后面要讲到的风险计算方法。

　　2)威胁识别：是指对组织需要保护的每一项信息资产面临的威胁进行分析，应具体考虑每一项特定资产所处的环境条件以及以前遭受威胁损害的情况，应该指出的是，一项资产可能会有多个威胁。

　　3)脆弱性识别：是指全面评估信息资产由于由于缺乏充分的安全控制，自身存在的可能被威胁所利用的薄弱点。脆弱性识别将针对每一项信息资产，找出每一种威胁所能利用的薄弱点(脆弱性)、分析每一个脆弱性被特定威胁所利用的可能性、并分析每一个脆弱性一旦被特定威胁利用，对该资产造成的损失严重程度。

　　4)风险计算：即采用一种选定的计算方法对信息资产的风险进行量化计算。风险值的量化计算方法可以由评估者自主选定，国家标准中并没有规定必须采用哪种方法，常见的风险计算方法包括矩阵法和相乘法，简单的讲矩阵法就是根据资产的多个维度的属性在一个2维或多维矩阵中选择对应的风险值，而相乘法就是基于一个特定的函数，以资产的不同属性为变量计算风险值，“相乘”是函数关系的一般化表述，最简单的函数即多个变量的直接代数相乘。

　　最后，我们依据风险分析的结果得到各个资产的风险值，根据风险值的高低和种类以及提出合理的安全控制措施，具体包括接受现有风险、基于各种方法转移风险(如商业保险等)、采取措施降低或消除风险(如安全漏洞加固等)。

　　但应该指出的是：风险控制措施的选择是一种费用与风险的平衡，即风险要降低的越低，需要投入越高的费用(或资源)，信息安全风险不可能完全消除，我们要做的是投入可接受的资源将风险降低到合理的程度。

　　周晓峰(杭州市基础信息安全测评认证中心常务副主任、高级工程师)

　　来源：杭州网 作者：周晓峰 编辑：周夏