如何提高信息安全风险评估效果和效率

　　一、对风险评估的认识过程

　　实际上，我们对风险评估的认识是经历了一个逐步深化和清晰的过程，在工作过程中也曾经有过很多的疑问，在此简单介绍一下，如果您也有过同样的经历或者正在经历这个过程，那么我想在本文下面几节所阐述的内容和观点，也许对您将有所帮助。

　　我们对于风险评估的认识可以分为三个阶段：第一阶段——盲目期，在刚刚接触风险评估时，认为这个能够简单、定量的刻画评估信息安全风险的方法非常实用有效，因此在所有项目中都引导和建议客户做风险评估;第二个阶段——质疑期，随着在项目中的应用，逐渐发现了很多实际操作问题，同时也面临客户对于此方法的很多挑战，例如：资产赋值标准、风险计算方法等等，有些问题由于自己认识的不到位也无法给出合理的解释，以致对风险评估工作本身产生了质疑;第三个阶段——探索期，由于风险评估是信息安全的理论基础之一，如果没有前期的风险评估工作成果，则包括信息安全规划、安全工作落实等工作就失去了方向和依据，所以开始结合这些年在工作中遇到的问题和经验，重新对风险评估的意义、价值进行思考，对评估方法重新进行尝试和探索。

　　由于受篇幅限制，本文仅进行概括性的阐述。我们在谷安天下的顾问培训班中也会进行风险评估方法论的详细讲解和探讨。

　　二、信息资产与资产价值

　　(1)不要把信息资产识别与组织的资产管理混为一谈

　　信息资产识别和资产管理的目的和范围是不同的。组织的资产管理是站在资产财务角度来考虑的，重点在于登记、管理组织资产的财务属性，用于清算、核实组织的运行情况。而信息安全风险评估工作中的资产识别，是站在信息资产保护的视角上，来考虑信息资产的机密性、可用性、完整性受到破坏后对组织的影响。所以说，二者的关注点是截然不同的，不要试图在风险评估工作中搜集和识别所有资产管理范围内的资产及其相关属性。有些客户往往在风险评估中花了大量的工作在资产搜集上，反而忽视了对于关键信息资产风险的识别、控制与管理，实际上是舍本逐末，效果自然是事倍功半。

　　(2)信息资产范围与分类。

　　风险评估首要工作就是要识别信息资产。观点一：识别关键信息资产即可，尤其是第一次做风险评估时对于信息资产比较多的组织，不要试图识别所有信息资产，可以在以后的风险评估过程中逐步完善。观点二：识别信息资产时要结合组织情况，同样资产对于不同组织识别信息资产结果可能是不同。举个例子，对于一般组织投影仪完全可以不作为信息资产来识别，然而对于从事培训工作的组织来说，投影仪就可能被识别为关键信息资产。观点三：相关标准、规范对于信息资产分类和范围的定义可以参考，不要盲从。应结合组织特点制定符合组织实际情况的、可操作的信息资产分类和范围，可以在标准的基础上进行增加、对于不适用的可以删减、或对于某一资产类进行细化(细化的程度以可操作为宜，具有相同威胁和脆弱性的资产可以归为一类)，等等。目的是使后续威胁、脆弱性识别与风险分析等工作得以简化和更具可操作性。

　　(3)信息资产属性与分级

　　在风险评估中，信息资产相对价值由机密性、完整性和可用性(CIA)的等级来确定。我们认为在CIA不足以完全体现关键信息资产价值时，可以结合实际补充相关属性，如财物价值等。在工作中经常会碰到客户问到信息资产分级是分三级、五级还是十级好?这个问题不是绝对的，对于发展中的中小组织来说，信息资产相对较少，可以采用三级分类，即高(3)、中(2)、低(1);对于信息资产相对较多的组织，为了更细致描述资产相对价值，可以采用五级分类，即高(5)、较高(4)、中(3)、较低(2)、低(1)。总而言之，能够体现信息资产价值和方便操作的两个前提下，越简单越好(定义成十级理论上也是可以的，但基本不具备可操作性)。

　　(4)信息资产价值计算

　　在信息资产相对价值的评价时，首先要对信息资产的CIA属性进行赋值。在赋值过程中，可能会发现对于一些资产很难评价CIA。举个例子，对于人员类资产，评价其完整性是没有什么意义的。因此，可采用加权系数的方式，即针对CIA分别设定α、β、γ三个系数(α+β+γ=1)，设定β=0、α=0.4、γ=0.6。这样做的好处是对于不适用的选型可以不予评价，同时针对不同行业、不同资产类别可以设定反映此类资产特点的CIA加权系数α、β、γ(例如：金融行业与制造业对于相同资产类别的CIA关注侧重点是不同的，硬件资产和数据资产CIA关注侧重点是不同的)。另外，针对具体算法，只要能够相对比较客观的反映出信息资产相对价值，可以采用相加、相乘、平均值等算法，然后根据资产值所在区间确定资产相对价值。

　　总结来说，信息资产识别与价值评估的根本目的，是在于通过一套统一定量的方法论，来识别出组织中需要保护的信息资产，并且对其重要性进行分析，从而有的放矢的识别分析出组织中的信息安全风险。

　　三、威胁、脆弱性分级与识别

　　(1)威胁与脆弱性分级。

　　在风险评估中，信息资产相对价值由机密性、完整性和可用性(CIA)的等级来确定。我们认为在CIA不足以完全体现关键信息资产价值时，可以结合实际补充相关属性，如财物价值等。在工作中经常会碰到客户问到信息资产分级是分三级、五级还是十级好?这个问题不是绝对的，对于发展中的中小组织来说，信息资产相对较少，可以采用三级分类，即高(3)、中(2)、低(1);对于信息资产相对较多的组织，为了更细致描述资产相对价值，可以采用五级分类，即高(5)、较高(4)、中(3)、较低(2)、低(1)。总而言之，能够体现信息资产价值和方便操作的两个前提下，越简单越好(定义成十级理论上也是可以的，但基本不具备可操作性)。

　　(2)威胁和脆弱性识别。

　　观点一：不要试图识别出资产面临的所有威胁以及具有的所有脆弱性。因为，无论如何都不可能识别完全，而且资产的威胁和脆弱性也是随着组织环境与控制措施不断在变化的，只要把当时资产所面临的最重要的威胁和脆弱性识别出来就可以了。

　　观点二：利用漏扫工具对主机、网络设备、数据库等进行扫描时会扫出很多的技术漏洞，建议在进行脆弱性识别时按一条来处理，统一识别威胁和风险，采取的控制措施就是对这个资产进行加固，没有必要针对每一条进行识别。

　　观点三：在识别威胁和脆弱性时，不要忘记识别现有的控制措施，因为现有控制措施的效果会对威胁和脆弱性赋值产生影响。从理论上讲，现有控制措施可能对威胁和脆弱性同时产生影响，但从实际操作层面来看，现有控制措施绝大多数情况只针对脆弱性发挥作用，因此我们更倾向于只针对脆弱性考虑现有控制措施。

　　观点四：为了提高效率，威胁、脆弱性和风险可以一起识别，因为风险实际上是资产(A)、威胁(T)、脆弱性(V)的组合而成，缺一不可。因此，单独识别资产的威胁和脆弱性看似合理的，但是没有与威胁相匹配的脆弱性，或者没有与脆弱性相匹配的威胁，最终都不会被识别为资产的风险，所以ATV-R/AVT-R这样一条龙的方式来识别是效率最高的。

　　四、风险管理的意义

　　风险评估是一个过程，它不是一次性的工作，风险评估是风险管理的重要环节，而风险管理更是一个过程管理，过分的强调一次风险评估的结果意义不大。风险评估不是目的，风险评估只是一个工具和手段，通过这个工具或者说采用这种方法能够不断地揭示组织面临的风险，使原来未知的风险变成已知风险，进而采取相应的控制措施去控制这些风险，从而不断降低组织风险水平，这才是风险评估真正价值所在。

　　曾经有客户和咨询服务商的学员讨论过风险评估工作是顾问来做的，还是客户自己做的?我们认为，如果在项目预算、项目进度等都可控，并且客户配合的前提下，尽可能的让客户相关部门人员自己做风险评估，顾问负责传递风险评估方法，并在过程中进行指导，对风险评估结果进行审核;如果不具备这些条件，为了控制项目成本和进度，由顾问快速地完成风险评估工作也无可厚非。总的原则是条件允许的情况下，尽可能地让客户参与进来，在项目中帮助客户人员建立风险评估能力。在项目结束后，客户在全组织范围内具备自行开展风险评估工作来管理风险的能力，并且能够持续进行风险管理，远比一次性的风险评估结果更重要、更有意义。