信息安全风险评估之我见.docVIP

　　信息安全风险评估之我见～教育资源库 　　在信息安全产业界，风险评估早已不是陌生话题，几年以来，各安全公司完成的风险评估项目已不在少数，甚至在几乎所有的信息安全服务厂商中，风险评估都是其核心业务。 　　风险评估的核心不仅仅是理论，更是实践。风险评估的实践工作是很困难的，据国外的统计数字显示，只有60％的风险评估是成功的。国内的风险评估工作面临的挑战更多，需要一定时间的积累和沉淀，就像要成为一个好的中医，要有个学和练的过程一样。 　　有人认为风险评估只是一个看病的过程，其实，看病就是在治病。因此，笔者就看病治病的风险评估过程的几个方面简单谈谈自己的心得与体会。 　　1. 定义什么是完整意义的风险评估 　　何为完整意义的风险评估？须从各个角度去观察，既要客观，又要全面。古语云：横看成岭侧成峰，远近高低各不同。不识庐山真面目，只缘身在此山中。故所谓信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。在风险评估中，最终要根据对安全事件发生的可能性和负面影响的评估来识别信息系统的安全风险。与信息系统的安全风险密切相关的因素包括： 　　（1）使命：即一个单位通过信息技术手段实现的工作任务。一个单位的使命对信息系统和信息的依赖程度越高，风险评估的任务就越重要。 　　（2）资产：通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。 　　（3）资产价值：资产的敏感程度、重要程度和关键程度。 　　（4）威胁：一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。 　　（5）脆弱性：信息资产及其安全措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。 　　（6）事件：如果威胁主体能够产生威胁，利用资产及其安全措施的脆弱性，那么实际产生危害的情况称之为事件。 　　（7）风险：由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。 　　（8）残余风险：采取了安全措施，提高了信息安全保障能力后，仍然可能存在的风险。 　　（9）安全需求：为保证单位的使命能够正常行使，在信息安全保障措施方面提出的要求。 　　（10）安全措施：对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。 　　在这些要素中，尤其需要注意一个概念：残余风险。之所以提出这个概念，原因在于：1）风险不可能完全消除。信息技术在发展，外部环境在变化，信息系统本身也要发生变化，信息安全的动态性致使不可能完全消除未来发生安全事件的风险。2）风险不必要完全消除。资产的价值以及信息安全的投入之间的比例关系决定了对有些安全风险，采取措施反而比不采取措施成本更高。由于上述原因，所谓安全的信息系统，并不是指万无一失的信息系统，而是指残余风险可以被接受的信息系统。 　　造成信息安全事件的源头，可以归为外因和内因。外因为威胁，内因则为脆弱性。苏轼之《琴诗》曰：若言琴上有琴声，放在匣中何不鸣？若言声在指头上，何不于君指上听？这首诗所揭示是琴、指头和琴声三者之间的关系。如果把演奏者包括在内，那么，演奏者的思想感情和技能与琴、指之间的关系，又可以看作是事物的内因和事物的外因之间的关系。前者是音乐产生的根据，后者则是音乐产生的条件，两者缺一不可。 因此，在风险评估中，要刻画信息安全事件，就必须对威胁和脆弱性都有深入了解，这构成了风险评估工作的关键。 　　风险评估的工作由以下几个步骤组成： 　　步骤1：描述系统特征 　　步骤2：识别威胁（威胁评估） 　　步骤3：识别脆弱性（脆弱性评估） 　　步骤4：分析安全控制 　　步骤5：确定可能性 　　步骤6：分析影响 　　步骤7：确定风险 　　步骤8：对安全控制提出建议 　　步骤9：记录评估结果 　　2.作用风险评估是分析确定风险的过程 　　任何系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险，综合平衡风险和代价的过程就是风险评估。风险评估不是某个系统（包括信息系统）所特有的。在日常生活和工作中，风险评估也是随处可见，为了分析确定系统风险及风险大小，进而决定采取什么措施去减少、避免风险，把残余风险控制在可以容忍的范围内。人们经常会提出这样一些问题：什么地方、什么时间可能出问题？出问题的可能性有多大？这些问题的后果是什么？应该采取什么样的措施加以避免和弥补？并总是试图找出最合理的答案。这一过程实际上就是风险评估。 　　3.战略信息安全风险评估是信息安全建设的起点和基础 　　信息安全风险评估是风险评估理论和方法在信息系统中的运用，是科学分析理解信息和信息系