(聯(lián)合電訊社 北京)--提到信息安全就必然涉及風(fēng)險評估���,風(fēng)險評估已經(jīng)成為信息安全工作的重要組成部分����,也是現(xiàn)代信息安全理論重要基礎(chǔ)之一
(聯(lián)合電訊社/北京)--提到信息安全就必然涉及風(fēng)險評估,風(fēng)險評估已經(jīng)成為信息安全工作的重要組成部分�����,也是現(xiàn)代信息安全理論重要基礎(chǔ)之一�����。風(fēng)險評估的方法有很多種����,例如,定量評估��、基線評估��、非正式(非結(jié)構(gòu)化)評估、詳細(xì)評估(基于信息資產(chǎn)的風(fēng)險評估)�����,綜合評估���,等等���。目前使用最為廣泛的是基于信息資產(chǎn)的風(fēng)險評估方法(以下簡稱風(fēng)險評估),它是基于《ISO13335信息安全風(fēng)險管理指南》發(fā)展起來的����,我國也在此基礎(chǔ)上制定了《GB/T 20984-2007信息安全風(fēng)險評估規(guī)范》,本文將僅聚焦(不涉及對于其他風(fēng)險評估方法的評價)于對如何正確理解此方法�����、如何提高風(fēng)險評估效果和效率�,結(jié)合本人在咨詢實(shí)踐中的經(jīng)驗(yàn)同大家進(jìn)行探討。
本文適合的閱讀對象為:在組織中負(fù)責(zé)信息安全管理工作的相關(guān)人員��,以及提供信息安全風(fēng)險評估服務(wù)的相關(guān)咨詢服務(wù)商�、集成商、廠商的相關(guān)人員。對于尚不了解風(fēng)險評估基本概念和方法的人員�,可以先參考閱讀《GB/T 20984-2007信息安全風(fēng)險評估規(guī)范》。
一�、對風(fēng)險評估的認(rèn)識過程
實(shí)際上,我對風(fēng)險評估的認(rèn)識也是經(jīng)歷了一個逐步深化和清晰的過程��,在工作過程中也曾經(jīng)有過很多的疑問�����,在此簡單介紹一下�����,如果您也有過同樣的經(jīng)歷或者正在經(jīng)歷這個過程����,那么我想在本文下面幾節(jié)所闡述的內(nèi)容和觀點(diǎn)����,也許對您將有所幫助。
我對于風(fēng)險評估的認(rèn)識可以分為三個階段:第一階段——盲目期����,在剛剛接觸風(fēng)險評估時,認(rèn)為這個通過資產(chǎn)��、威脅、脆弱性幾個要素能夠簡單刻畫評估信息安全風(fēng)險的方法非常實(shí)用����,因此在所有項(xiàng)目中都引導(dǎo)和建議客戶做風(fēng)險評估;第二個階段——質(zhì)疑期,隨著在項(xiàng)目中的應(yīng)用�����,逐漸發(fā)現(xiàn)了很多實(shí)際操作問題���,同時也面臨客戶對于此方法的很多挑戰(zhàn)��,例如:資產(chǎn)賦值標(biāo)準(zhǔn)���、風(fēng)險計(jì)算方法等等,有些問題由于自己認(rèn)識的不到位也無法給出合理的解釋����,以致對風(fēng)險評估工作本身產(chǎn)生了質(zhì)疑;第三個階段——探索期,由于風(fēng)險評估是信息安全的理論基礎(chǔ)之一�����,如果沒有前期的風(fēng)險評估工作成果,則包括信息安全規(guī)劃����、安全工作落實(shí)等工作就失去了方向和依據(jù),所以開始結(jié)合這些年在工作中遇到的問題和經(jīng)驗(yàn)��,重新對風(fēng)險評估的意義����、價值進(jìn)行思考,對評估方法重新進(jìn)行嘗試和探索�。
由于受篇幅限制,本文僅進(jìn)行概括性的闡述���。我們在谷安天下的顧問培訓(xùn)班中也會進(jìn)行風(fēng)險評估方法論的詳細(xì)講解和探討。
二��、信息資產(chǎn)與資產(chǎn)價值
1) 不要把信息資產(chǎn)識別與組織的資產(chǎn)管理混為一談
信息資產(chǎn)識別和資產(chǎn)管理的目的和范圍是不同的���。組織的資產(chǎn)管理是站在資產(chǎn)財(cái)務(wù)角度來考慮的�����,重點(diǎn)在于登記�、管理組織資產(chǎn)的財(cái)務(wù)屬性,用于清算����、核實(shí)組織的運(yùn)行情況。而信息安全風(fēng)險評估工作中的資產(chǎn)識別���,是站在信息資產(chǎn)保護(hù)的視角上����,來考慮信息資產(chǎn)的機(jī)密性��、可用性�、完整性受到破壞后對組織的影響。所以說�,二者的關(guān)注點(diǎn)是截然不同的,不要試圖在風(fēng)險評估工作中搜集和識別所有資產(chǎn)管理范圍內(nèi)的資產(chǎn)及其相關(guān)屬性����。有些客戶往往在風(fēng)險評估中花了大量的工作在資產(chǎn)搜集上,反而忽視了對于關(guān)鍵信息資產(chǎn)風(fēng)險的識別�����、控制與管理���,實(shí)際上是舍本逐末��,效果自然是事倍功半����。
2) 信息資產(chǎn)范圍與分類。
風(fēng)險評估首要工作就是要識別信息資產(chǎn)��。觀點(diǎn)一:識別關(guān)鍵信息資產(chǎn)即可����,尤其是第一次做風(fēng)險評估時對于信息資產(chǎn)比較多的組織,不要試圖識別所有信息資產(chǎn)��,可以在以后的風(fēng)險評估過程中逐步完善��。觀點(diǎn)二:識別信息資產(chǎn)時要結(jié)合組織情況���,同樣資產(chǎn)對于不同組織識別信息資產(chǎn)結(jié)果可能是不同。舉個例子��,對于一般組織投影儀完全可以不作為信息資產(chǎn)來識別����,然而對于從事培訓(xùn)工作的組織來說���,投影儀就可能被識別為關(guān)鍵信息資產(chǎn)。觀點(diǎn)三:相關(guān)標(biāo)準(zhǔn)�、規(guī)范對于信息資產(chǎn)分類和范圍的定義可以參考,不要盲從��。應(yīng)結(jié)合組織特點(diǎn)制定符合組織實(shí)際情況的���、可操作的信息資產(chǎn)分類和范圍���,可以在標(biāo)準(zhǔn)的基礎(chǔ)上進(jìn)行增加、對于不適用的可以刪減�、或?qū)τ谀骋毁Y產(chǎn)類進(jìn)行細(xì)化(細(xì)化的程度以可操作為宜,具有相同威脅和脆弱性的資產(chǎn)可以歸為一類)�,等等。目的是使后續(xù)威脅��、脆弱性識別與風(fēng)險分析等工作得以簡化和更具可操作性�。
3) 信息資產(chǎn)屬性與分級
在風(fēng)險評估中,信息資產(chǎn)相對價值由機(jī)密性�����、完整性和可用性(CIA)的等級來確定����。我們認(rèn)為在CIA不足以完全體現(xiàn)關(guān)鍵信息資產(chǎn)價值時���,可以結(jié)合實(shí)際補(bǔ)充相關(guān)屬性,如財(cái)物價值等����。在工作中經(jīng)常會碰到客戶問到信息資產(chǎn)分級是分三級、五級還是十級好?這個問題不是絕對的�����,對于發(fā)展中的中小組織來說�,信息資產(chǎn)相對較少,可以采用三級分類���,即高(3)�����、中(2)��、低(1);對于信息資產(chǎn)相對較多的組織,為了更細(xì)致描述資產(chǎn)相對價值��,可以采用五級分類,即高(5)�����、較高(4)���、中(3)���、較低(2)、低(1)�。總而言之����,能夠體現(xiàn)信息資產(chǎn)價值和方便操作的兩個前提下,越簡單越好(定義成十級理論上也是可以的��,但基本不具備可操作性)���。
4) 信息資產(chǎn)價值計(jì)算
在信息資產(chǎn)相對價值的評價時��,首先要對信息資產(chǎn)的CIA屬性進(jìn)行賦值����。在賦值過程中,可能會發(fā)現(xiàn)對于一些資產(chǎn)很難評價CIA�。舉個例子,對于人員類資產(chǎn)����,評價其完整性是沒有什么意義的。因此�����,可采用加權(quán)系數(shù)的方式��,即針對CIA分別設(shè)定α �、β 、γ三個系數(shù)( α+ β +γ=1)���,設(shè)定β=0 ����、α=0.4 ���、γ=0.6 �����。這樣做的好處是對于不適用的選型可以不予評價�����,同時針對不同行業(yè)��、不同資產(chǎn)類別可以設(shè)定反映此類資產(chǎn)特點(diǎn)的CIA加權(quán)系數(shù) α���、β、γ(例如:金融行業(yè)與制造業(yè)對于相同資產(chǎn)類別的CIA關(guān)注側(cè)重點(diǎn)是不同的���,硬件資產(chǎn)和數(shù)據(jù)資產(chǎn)CIA關(guān)注側(cè)重點(diǎn)是不同的)����。另外��,針對具體算法����,只要能夠相對比較客觀的反映出信息資產(chǎn)相對價值,可以采用相加�、相乘、平均值等算法,然后根據(jù)資產(chǎn)值所在區(qū)間確定資產(chǎn)相對價值��。
總結(jié)來說�,信息資產(chǎn)識別與價值評估的根本目的,是在于通過一套統(tǒng)一的方法論��,來識別出組織中需要保護(hù)的信息資產(chǎn)��,并且對其重要性進(jìn)行分析�����,從而有的放矢的識別分析出組織中的信息安全風(fēng)險����。
三、威脅�����、脆弱性分級與識別
1) 威脅與脆弱性分級�。
可參照上述信息資產(chǎn)屬性與分級一節(jié)的內(nèi)容。
2) 威脅和脆弱性識別���。
觀點(diǎn)一:不要試圖識別出資產(chǎn)面臨的所有威脅以及具有的所有脆弱性���。因?yàn)?�,無論如何都不可能識別完全�����,而且資產(chǎn)的威脅和脆弱性也是隨著組織環(huán)境與控制措施不斷在變化的,只要把當(dāng)時資產(chǎn)所面臨的最重要的威脅和脆弱性識別出來就可以了�����。觀點(diǎn)二:利用漏掃工具對主機(jī)���、網(wǎng)絡(luò)設(shè)備�����、數(shù)據(jù)庫等進(jìn)行掃描時會掃出很多的技術(shù)漏洞�,建議在進(jìn)行脆弱性識別時按一條來處理���,統(tǒng)一識別威脅和風(fēng)險�����,采取的控制措施就是對這個資產(chǎn)進(jìn)行加固��,沒有必要針對每一條進(jìn)行識別����。觀點(diǎn)三:在識別威脅和脆弱性時,不要忘記識別現(xiàn)有的控制措施�����,因?yàn)楝F(xiàn)有控制措施的效果會對威脅和脆弱性賦值產(chǎn)生影響�����。從理論上講�,現(xiàn)有控制措施可能對威脅和脆弱性同時產(chǎn)生影響,但從實(shí)際操作層面來看�����,現(xiàn)有控制措施絕大多數(shù)情況只針對脆弱性發(fā)揮作用�,因此我們更傾向于只針對脆弱性考慮現(xiàn)有控制措施。觀點(diǎn)四:為了提高效率����,威脅���、脆弱性和風(fēng)險可以一起識別,因?yàn)轱L(fēng)險實(shí)際上是資產(chǎn)(A)���、威脅(T)�����、脆弱性(V)的組合而成��,缺一不可。因此���,單獨(dú)識別資產(chǎn)的威脅和脆弱性看似合理的�����,但是沒有與威脅相匹配的脆弱性���,或者沒有與脆弱性相匹配的威脅,最終都不會被識別為資產(chǎn)的風(fēng)險�����,所以ATV-R/AVT-R這樣一條龍的方式來識別是效率最高的。
四�����、風(fēng)險評估算法與風(fēng)險展示
1) 風(fēng)險評估算法
經(jīng)常有客戶或者學(xué)員提出����,采用ATV相加、ATV相乘��、或者像信息安全風(fēng)險評估規(guī)范中所介紹的矩陣法�����、或√A*V*√T*V相乘法����,或更為復(fù)雜的公式來計(jì)算風(fēng)險,哪種更好?我們認(rèn)為:由于目前采用的風(fēng)險評估方法實(shí)質(zhì)上還是半定量的評估方法�����,因此不必糾結(jié)于具體算法�����,只要能夠合理的反映出資產(chǎn)、威脅����、脆弱性和風(fēng)險之間的邏輯關(guān)系就好。有人會說采用不同的算法對于風(fēng)險的評價可能是不同的���,例如對于同一風(fēng)險�,用相加法算出的風(fēng)險是中風(fēng)險�,而用相乘法算出的風(fēng)險是高風(fēng)險,如何避免這種情況?第一���,確定好一種計(jì)算方法就長期使用它��,不要這次使用矩陣法,下次使用相乘法����,這樣不具可比性;第二,可以根據(jù)選擇的算法以及組織自身特點(diǎn)調(diào)整風(fēng)險取值范圍�,例如:50-81是高風(fēng)險,25-49是中風(fēng)險�,1-24是低風(fēng)險;第三,由于采用的是半定量的評估�����,與其糾結(jié)具體算法的誤差,不如把注意力放在資產(chǎn)��、威脅��、脆弱性的賦值上��,因?yàn)檫@里出現(xiàn)誤差后會被采用的算法進(jìn)行放大���,所以算法出現(xiàn)的誤差與之相比就可以忽略不計(jì)了�����。
2) 這里要特別強(qiáng)調(diào)的是���,風(fēng)險評估的核心目的是利用統(tǒng)一的評估尺度將識別出的風(fēng)險進(jìn)行排序,以確定組織需要優(yōu)先處置的風(fēng)險���,而不是為了計(jì)算出每一條風(fēng)險的絕對值���。只要尺度是統(tǒng)一的,無論尺子比例大小���、單位高低�,都不會影響風(fēng)險的相對大小,而且組織的風(fēng)險接受水平是根據(jù)全面風(fēng)險評估結(jié)果而劃定的�����。風(fēng)險展示通常在撰寫風(fēng)險評估報(bào)告時����,會總結(jié)組織總體和各部門的高、中��、低風(fēng)險分布情況��,同時會附上以資產(chǎn)為主線的風(fēng)險評估記錄表�。但實(shí)際上,風(fēng)險應(yīng)該以更多的視角去展現(xiàn)����,這樣便于領(lǐng)導(dǎo)層和操作層更全面的認(rèn)識風(fēng)險��,進(jìn)而控制風(fēng)險���。風(fēng)險還可以以資產(chǎn)分類�、脆弱性分類、威脅分類等去展示�,同時應(yīng)能夠展示出歷次風(fēng)險評估風(fēng)險的變化情況,甚至對于每一個風(fēng)險及其控制措施進(jìn)行跟蹤��,以確保風(fēng)險最終得到有效控制���,這樣才能夠反映出風(fēng)險評估的真正價值��。不過要做到這個程度就必須有一個系統(tǒng)來管理��,不是簡單的excel表能夠方便實(shí)現(xiàn)的了��。
五����、風(fēng)險管理是一個過程
有些做過風(fēng)險評估工作的客戶或?qū)W員���,尤其是處在上文提到的第二個階段的人�,經(jīng)常會質(zhì)疑風(fēng)險評估的意義��。個人認(rèn)為這是還沒有真正理解風(fēng)險評估的價值造成的�����。風(fēng)險評估是一個過程,它不是一次性的工作��,風(fēng)險評估是風(fēng)險管理的重要環(huán)節(jié)��,而風(fēng)險管理更是一個過程管理�����,過分的強(qiáng)調(diào)一次風(fēng)險評估的結(jié)果意義不大�。風(fēng)險評估不是目的,風(fēng)險評估只是一個工具和手段��,通過這個工具或者說采用這種方法能夠不斷地揭示組織面臨的風(fēng)險����,使原來未知的風(fēng)險變成已知風(fēng)險,進(jìn)而采取相應(yīng)的控制措施去控制這些風(fēng)險����,從而不斷降低組織風(fēng)險水平,這才是風(fēng)險評估真正價值所在�����。
曾經(jīng)與客戶和咨詢服務(wù)商的學(xué)員討論過風(fēng)險評估工作是顧問來做的�,還是客戶自己做這個話題。個人觀點(diǎn)是�����,如果在項(xiàng)目預(yù)算��、項(xiàng)目進(jìn)度等都可控���,并且客戶配合的前提下����,盡可能的讓客戶相關(guān)部門人員自己做風(fēng)險評估���,顧問負(fù)責(zé)傳遞風(fēng)險評估方法���,并在過程中進(jìn)行指導(dǎo),對風(fēng)險評估結(jié)果進(jìn)行審核;如果不具備這些條件�����,為了控制項(xiàng)目成本和進(jìn)度����,由顧問快速地完成風(fēng)險評估工作也無可厚非���。總的原則是條件允許的情況下���,盡可能地讓客戶參與進(jìn)來��,在項(xiàng)目中幫助客戶人員建立風(fēng)險評估能力���。在項(xiàng)目結(jié)束后,客戶在全組織范圍內(nèi)具備自行開展風(fēng)險評估工作來管理風(fēng)險的能力�,并且能夠持續(xù)進(jìn)行風(fēng)險管理,遠(yuǎn)比一次性的風(fēng)險評估結(jié)果更重要�、更有意義。
六���、信息安全風(fēng)險管理系統(tǒng)
通過上文相關(guān)介紹���,可以發(fā)現(xiàn)風(fēng)險評估是專業(yè)性較強(qiáng)的工作,因此為了幫助客戶提高風(fēng)險評估工作的效率�,確保風(fēng)險評估的成果得以落實(shí),谷安天下結(jié)合多年咨詢服務(wù)經(jīng)驗(yàn)��,研發(fā)了GooAnn-ISRM系統(tǒng)(關(guān)于此系統(tǒng)詳細(xì)介紹請參見其他文章或gooann.com),這里僅介紹一下系統(tǒng)主要特點(diǎn):
ü 固化了持續(xù)風(fēng)險管理的過程��,支持用戶以多部門����、多角色來開展風(fēng)險評估的工作流程;
ü 支持多種的分級方法和風(fēng)險計(jì)算方法�,客戶可根據(jù)需要選擇風(fēng)險環(huán)境配置,符合《GB/T 20984-2007信息安全風(fēng)險評估規(guī)范》要求;
ü 內(nèi)置了谷安總結(jié)的資產(chǎn)類別庫����、威脅庫、脆弱性庫�����、風(fēng)險庫�����、脆弱性檢查庫����、控制措施庫,并支持客戶更新和建立自己相應(yīng)的知識庫��,實(shí)現(xiàn)知識的積累、共享和傳承;
ü 支持快速批量資產(chǎn)風(fēng)險評估�����,提高評估效率;
ü 通過可視化展現(xiàn)使風(fēng)險整改工作清晰可見����,確保風(fēng)險得以控制;
ü 支持多維度、多視角風(fēng)險展示��,及資產(chǎn)���、風(fēng)險和控制措施的全程跟蹤;
ü 通過對比分析展現(xiàn)風(fēng)險管理工作成績�����,量化體現(xiàn)信息安全工作成果����。
總結(jié):如果在網(wǎng)上搜索關(guān)于風(fēng)險評估方法的文章你會發(fā)現(xiàn)很多�,但要么非常復(fù)雜;要么太理想化;要么不夠結(jié)構(gòu)化;要么操作性不強(qiáng),等等�����。盡管目前信息資產(chǎn)的風(fēng)險評估方法還有許多不完善的地方,例如揭示的都是單個資產(chǎn)的靜態(tài)風(fēng)險����,評估結(jié)果較為依賴人的主觀判斷等,但它是到目前為止一個可操作的�、一個結(jié)構(gòu)化的、并被廣泛采用的方法�����,有方法總比沒有強(qiáng)����,這個方法需要我們在實(shí)踐中不斷地去完善它��,提高它在使用過程中的效率���,并使之擁有更好的應(yīng)用效果����。(谷安天下 劉敬國)
