Safe: 07-风险评估

目标：根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容，识别现有信息系统及管理上的不足，以及可能造成的风险大小。

范围：风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。

评估机构成员角色：项目组长、安全技术评估人员、安全管理评估人员；

被评估组织成员角色：项目组长、信息安全管理人员、项目协调人、业务人员、运维人员、开发人员；

风险评估领导小组：被评估组织信息技术部门领导、相关业务部门领导等；

专家组：对于大型复杂的风险评估项目，应考虑在项目期间聘请相关领域的专家对风险评估项目的关键阶段进行工作指导。

系统调研是确定被评估对象的过程，为风险评估依据和方法的选择、评估内容的实施奠定基础。

调研内容至少应包括：

• 业务战略及管理制度；
  
• 主要的业务功能和要求；
  
• 网络结构与网络环境，包括内部连接和外部连接；
  
• 系统边界；
  
• 主要的硬件、软件；
  
• 数据和信息；
  
• 系统和数据的敏感性；
  
• 支持和使用系统的人员；
  
• 其他。
  

系统调研可以采取问卷调查、现场面谈相结合的方式进行。

根据系统调研结果，确定评估依据和评估方法。评估依据包括（但不仅限于）：

• 现行国际标准、国家标准、行业标准；
  
• 行业主管机关的业务系统的要求和制度；（我们关注的）
  
• 系统安全保护等级要求；
  
• 系统互联单位的安全要求；
  
• 系统本身的实时性或性能要求等。
  

根据评估依据，应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法，并依据业务实施对系统安全运行的需求，确定相关的判断依据，使之能够与组织环境和安全要求相适应。

风险评估方案是评估工作实施活动总体计划，用于管理评估工作的开展，使评估各阶段工作可控，并作为评估项目验收的主要依据之一。风险评估方案应得到被评估组织的确认和认可。风险评估方案的内容应包括：

• 风险评估工作框架：包括评估目标、评估范围、评估依据等；
  
• 评估团队组织：包括评估小组成员、组织结构、角色、责任;如有必要还应包括风险评估领导小组和专家组组建介绍等；
  
• 评估工作计划：包括各阶段工作内容、工作形式、工作成果等；
  
• 风险规避：包括保密协议、评估工作环境要求、评估方法、工具选择、应急预案等；
  
• 时间进度安排：评估工作实施的时间进度安排；
  
• 项目验收方式：包括验收方式、验收依据、验收结论定义等。
  

上述所有内容确定后，应形成较为完整的风险评估实施方案，得到组织最高管理者的支持、批准；对管理层和技术人员进行传达，在组织范围内就风险评估相关内容进行培训，以明确有关人员在风险评估中的任务。

资产识别是风险评估的核心环节。资产按照层次可划分为业务资产、系统资产、系统组件和单元资产，
如下图所示。

威胁识别的内容包括威胁的来源、主体、种类、动机、时机和频率。

在对威胁进行分类前，应识别威胁的来源。威胁来源包括环境、意外和人为三类：

威胁主体依据环境和人为进行区分，环境的分为一般的自然灾害、较为严重的自然灾害和严重的自然灾害，人为的分为国家、组织团体和个人。

根据威胁来源的不同，威胁可划分为信息损害和未授权行为等威胁种类。

威胁动机是指引导、激发人为威胁进行某种活动，对组织业务、资产产生影响的内部动力和原因。威胁动机可划分为恶意和非恶意，恶意包括攻击、破坏、窃取等，非恶意包括误操作、好奇心等。

威胁来源、种类、动机识别完成后，接下来进行威胁赋值工作。

威胁赋值应基于威胁行为，依据威胁的行为能力和频率，结合威胁发生的时机，进行综合计算，并设定相应的评级方法进行等级划分，等级越高表示威胁利用脆弱性的可能性越大。

从上面这段话我们可以提取出来：
（1）威胁赋值的3个相关要素：威胁的行为能力、频率、时机；
（2）威胁赋值综合计算的方法并未直接给出，需要组织综合考虑业务情况和特点，自行确定。

1、威胁能力赋值

威胁能力是指威胁来源完成对组织业务、资产产生影响的活动所具备的资源和综合素质。组织及业务所处的地域和环境决定了威胁的来源、种类、动机，进而决定了威胁的能力；应对威胁能力进行等级划分，级别越高表示威胁能力越强。此外，威胁动机对威胁能力有调整作用。

从上面这张表可以知道，想对威胁的行为能力进行赋值的话，需要从威胁来源（涉及恶意动力和可调动资源）、威胁种类（自然灾害及等级）、威胁动机（恶意或者非恶意）进行综合评估。

威胁的种类和资产会决定威胁的行为，威胁行为列表参考如下：

资产、威胁种类、威胁行为具备关联关系，参考如下：
看机房的例子好理解一些。

资产识别的过程中，资产因素已经具备；2.2.2.1~2.2.2.3过程中，每个资产所面临的威胁来源、种类和动机也识别完成。至此，资产及其面临的威胁来源、种类、动机全部确定下来，可以进行威胁能力赋值。

举例：张三在工作中心存不满，故意引起火灾，导致机房受损。
威胁来源：人为（恶意动力高、可调动资源多）
威胁种类：物理损害
威胁动机：恶意
推导出威胁能力赋值：3-高

2、威胁频率赋值

威胁出现的频率应进行等级化处理，不同等级分别代表威胁出现频率的高低。等级数值越大，威胁出现的频率越高。此外，威胁时机对威胁频率有调整作用。

威胁频率应根据经验和有关的统计数据来进行判断。综合考虑以下四个方面。形成特定评估环境中各种威胁出现的频率：

a）以往安全事件报告中出现过的威胁及其频率统计；
b）实际环境中通过检测工具以及各种日志发现的威胁及其频率统计；
c）实际环境中监测发现的威胁及其频率统计；
d）近期公开发布的社会或特定行业威胁及其频率统计，以及发布的威胁预警。

3、威胁时机赋值

风险评估国标文件中规定威胁时机可分为普通时期﹑特殊时期和自然规律，但是未给出明确的赋值定义，仅说明了威胁时机对威胁频率有调整作用，暂作参考使用。

综上，威胁的行为能力、频率、时机赋值全部完成，根据组织自定义的综合计算方法得出最终的威胁赋值。

安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，保护性安全措施可以减少安全事件发生后对组织或系统造成的影响。

举例：
预防性安全措施：消防演练
保护性安全措施：配备灭火器

在识别脆弱性的同时，应对已采取的安全措施的有效性进行确认：
有效的安全措施：继续保持，以避免不必要的工作和费用，防止安全措施的重复实施；
不适当的安全措施：核实是否应被取消或对其进行修正，或用更合适的安全措施替代。

脆弱性是资产本身存在的，如果脆弱性没有对应的威胁，则无需实施控制措施，但应注意并监视它们是否发生变化；相反，如果威胁没有对应的脆弱性，也不会导致风险。即，威胁总是要利用资产的脆弱性才可能造成危害。不过要注意，控制措施的不合理实施、控制措施故障或控制措施的误用本身也是脆弱性。

资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。因此，脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员等。脆弱性可从技术和管理两个方面进行审视。技术脆弱性涉及IT环境的物理层、网络层、系统层、应用层等各个层面的安全问题或隐患。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面，前者与具体技术活动相关，后者与管理环境相关。

脆弱性识别可以以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的脆弱性，并对脆弱性的严重程度进行评估；也可以从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。

脆弱性识别的依据可以是国际或国家安全标准，也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的脆弱性，其影响程度是不同的，评估方应从组织安全策略的角度考虑，判断资产的脆弱性被利用难易程度及其影响程度。

对不同的识别对象，其脆弱性识别的具体要求应参照相应的技术或管理标准实施，参考如下：

风险分析是在完成了资产识别、威胁识别、脆弱性识别，以及已有安全措施确认后，采用适当的方法与工具确定每个资产面临威胁利用脆弱性导致安全事件发生的可能性。

首先，通过威胁与脆弱性进行关联，哪些威胁可以利用哪些脆弱性引发安全事件，并分析安全事件发生的可能性；

其次，通过资产与脆弱性进行关联，哪些资产存在脆弱性，一旦安全事件发生，造成的损失有多大；

最后，根据安全事件发生的可能性和造成的损失，计算出每个资产的风险值。

风险计算方法一般分为定性计算方法和定量计算方法两大类：
a）定性计算方法是将风险的各要素资产、威胁、脆弱性等的相关属性进行量化（或等级化）赋值，然后选用具体的计算方法（如相乘法或矩阵法）进行风险计算；
b）定量计算方法是通过将资产价值和风险等量化为财务价值的方式来进行计算的一种方法。由于定量计算法需要等量化财务价值，在实际操作中往往难以实现。

由于定量计算方法在实际工作中可操作性较差，一般风险计算多采用定性计算方法。风险的定性计算方法实质反应的是组织或信息系统面临风险大小的准确排序，确定风险的性质（无关紧要、可接受、待观察、不可接受等），而不是风险计算值本身的准确性。

分析方法	定性分析	定量分析
优点	1、不需要大量复杂计算 2、分析过程可清楚各类角色成员的意见 3、能提供一般风险领域和指标	1、通过量化赋值更易于自动化评估 2、能够对风险管理性能进行追踪 能够提供可信的成本/收益分析 3、衡量标准客观并且可验证 4、能够明确衡量一年内可能造成的损失
缺点	1、评估方法及结果相对主观 2、无法为成本/收益分析建立货币价值 3、使用主观衡量难易跟踪风险管理目标	1、计算较为复杂，需有一定专业知识 2、需要做大量基础性工作，需收集与环境相关的详细信息 3、结果存在一定的不确定性，元素的赋值过程非完全客观

本节内容重点在于让我们了解有哪些计算方法，不具体介绍如何计算。因为在实际测评过程中，测评方通常会提供计算表格模板，将前期识别到的资产、威胁和脆弱性的赋值输入其中，便会自动计算出风险值。

根据风险评价准则对系统资产风险计算结果进行等级处理。

根据风险评价准则对业务风险计算结果进行等级处理，在进行业务风险评价时，可从社会影响和组织影响两个层面进行分析。社会影响涵盖国家安全，社会秩序，公共利益，公民、法人和其他组织的合法权益等方面；组织影响涵盖职能履行、业务开展、触犯国家法律法规、财产损失等方面。

风险等级处理的目的是对不同风险进行直观比较，以便在接下来的风险处理阶段对不同风险采取对应的处理措施。

风险处理依据风险评估结果。针对风险分析和评价阶段输出的风险评估报告进行风险处理。

风险处理的基本原则是适度接受风险，根据组织可接受的处置成本将残余安全风险控制在可以接受的范围内。

注意：依据国家、行业主管部门发布的信息安全建设要求进行的风险处理，应严格执行相关规定。如依据等级保护相关要求实施的安全风险加固工作，应满足等级保护相应等级的安全技术和管理要求；对于因不能够满足该等级安全要求产生的风险则不能够适用适度接受风险的原则。对于有着行业主管部门特殊安全要求的风险处理工作，同样不适用该原则。

风险处理方式一般包括接受、消减、转移、规避、不适用：
a）接受：风险值不高或者处理的代价高于风险引起的损失，组织决定接受该风险/残余风险；
b）消减：通过适当的控制措施降低风险发生的可能性；
c）转移：通过购买保险、外包等方法把风险转移到外部机构；
d）规避：决定不进行引起风险的活动，从而避免风险；
e）不适用：该项风险对于组织不适用。

安全整改是风险处理中常用的风险消减方法，风险评估需提出安全整改建议。

安全整改建议需根据安全风险的严重程度、加固措施实施的难易程度、降低风险的时间紧迫程度、所投入的人员力量及资金成本等因素综合考虑。
a）对于非常严重、需立即降低且加固措施易于实施的安全风险，建议被评估组织立即采取安全整改措施；
b）对于非常严重、需立即降低，但加固措施不便于实施的安全风险，建议被评估组织立即制定安全整改实施方案，尽快实施安全整改；整改前应对相关安全隐患进行严密监控，并作好应急预案；
c) 对于比较严重、需降低且加固措施不易于实施的安全风险，建议被评估组织制定限期实施的整改方案；整改前应对相关安全隐患进行监控。

残余风险处理是风险评估活动的延续，是被评估组织按照风安全整改建议全部或部分实施整改工作后，对仍然存在的安全风险进行识别、控制和管理的活动。

对于已完成安全加固措施的信息系统，为确保安全措施的有效性，可进行残余风险评估，评估流程及内容可做有针对性的剪裁。残余风险评估的目的是对信息系统仍存在的残余风险进行识别、控制和管理。

如某些风险在完成了适当的安全措施后，残余风险的结果仍处于不可接受的风险范围内，应考虑进一步增强相应的安全措施。