提到信息安全就必然涉及風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)評(píng)估已經(jīng)成為信息安全工作的重要組成部分，也是現(xiàn)代信息安全理論重要基礎(chǔ)之一。風(fēng)險(xiǎn)評(píng)估的方法有很多種，例如，定量評(píng)估、基線評(píng)估、非正式（非結(jié)構(gòu)化）評(píng)估、詳細(xì)評(píng)估（基于信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估），綜合評(píng)估，等等。目前使用最為廣泛的是“基于信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估”方法（以下簡稱“風(fēng)險(xiǎn)評(píng)估”），它是基于《ISO13335信息安全風(fēng)險(xiǎn)管理指南》發(fā)展起來的，我國也在此基礎(chǔ)上制定了《GB/T20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》，本文將僅聚焦（不涉及對(duì)于其他風(fēng)險(xiǎn)評(píng)估方法的評(píng)價(jià)）于對(duì)如何正確理解此方法、如何提高風(fēng)險(xiǎn)評(píng)估效果和效率，結(jié)合我們在咨詢實(shí)踐中的經(jīng)驗(yàn)進(jìn)行探討，與大家分享我們的成果。

本文適合的閱讀對(duì)象為：在組織中負(fù)責(zé)信息安全管理工作的相關(guān)人員，以及提供信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的相關(guān)咨詢服務(wù)商、集成商、廠商的相關(guān)人員。對(duì)于尚不了解風(fēng)險(xiǎn)評(píng)估基本概念和方法的人員，可以先參考閱讀《GB/T20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》。

一、對(duì)風(fēng)險(xiǎn)評(píng)估的認(rèn)識(shí)過程

實(shí)際上，我們對(duì)風(fēng)險(xiǎn)評(píng)估的認(rèn)識(shí)是經(jīng)歷了一個(gè)逐步深化和清晰的過程，在工作過程中也曾經(jīng)有過很多的疑問，在此簡單介紹一下，如果您也有過同樣的經(jīng)歷或者正在經(jīng)歷這個(gè)過程，那么我想在本文下面幾節(jié)所闡述的內(nèi)容和觀點(diǎn)，也許對(duì)您將有所幫助。

我們對(duì)于風(fēng)險(xiǎn)評(píng)估的認(rèn)識(shí)可以分為三個(gè)階段：第一階段——盲目期，在剛剛接觸風(fēng)險(xiǎn)評(píng)估時(shí)，認(rèn)為這個(gè)能夠簡單、定量的刻畫評(píng)估信息安全風(fēng)險(xiǎn)的方法非常實(shí)用有效，因此在所有項(xiàng)目中都引導(dǎo)和建議客戶做風(fēng)險(xiǎn)評(píng)估；第二個(gè)階段——質(zhì)疑期，隨著在項(xiàng)目中的應(yīng)用，逐漸發(fā)現(xiàn)了很多實(shí)際操作問題，同時(shí)也面臨客戶對(duì)于此方法的很多挑戰(zhàn)，例如：資產(chǎn)賦值標(biāo)準(zhǔn)、風(fēng)險(xiǎn)計(jì)算方法等等，有些問題由于自己認(rèn)識(shí)的不到位也無法給出合理的解釋，以致對(duì)風(fēng)險(xiǎn)評(píng)估工作本身產(chǎn)生了質(zhì)疑；第三個(gè)階段——探索期，由于風(fēng)險(xiǎn)評(píng)估是信息安全的理論基礎(chǔ)之一，如果沒有前期的風(fēng)險(xiǎn)評(píng)估工作成果，則包括信息安全規(guī)劃、安全工作落實(shí)等工作就失去了方向和依據(jù)，所以開始結(jié)合這些年在工作中遇到的問題和經(jīng)驗(yàn)，重新對(duì)風(fēng)險(xiǎn)評(píng)估的意義、價(jià)值進(jìn)行思考，對(duì)評(píng)估方法重新進(jìn)行嘗試和探索。

由于受篇幅限制，本文僅進(jìn)行概括性的闡述。我們在谷安天下的顧問培訓(xùn)班中也會(huì)進(jìn)行風(fēng)險(xiǎn)評(píng)估方法論的詳細(xì)講解和探討。#p#

二、信息資產(chǎn)與資產(chǎn)價(jià)值

(1)不要把信息資產(chǎn)識(shí)別與組織的資產(chǎn)管理混為一談

信息資產(chǎn)識(shí)別和資產(chǎn)管理的目的和范圍是不同的。組織的資產(chǎn)管理是站在資產(chǎn)財(cái)務(wù)角度來考慮的，重點(diǎn)在于登記、管理組織資產(chǎn)的財(cái)務(wù)屬性，用于清算、核實(shí)組織的運(yùn)行情況。而信息安全風(fēng)險(xiǎn)評(píng)估工作中的資產(chǎn)識(shí)別，是站在信息資產(chǎn)保護(hù)的視角上，來考慮信息資產(chǎn)的機(jī)密性、可用性、完整性受到破壞后對(duì)組織的影響。所以說，二者的關(guān)注點(diǎn)是截然不同的，不要試圖在風(fēng)險(xiǎn)評(píng)估工作中搜集和識(shí)別所有資產(chǎn)管理范圍內(nèi)的資產(chǎn)及其相關(guān)屬性。有些客戶往往在風(fēng)險(xiǎn)評(píng)估中花了大量的工作在資產(chǎn)搜集上，反而忽視了對(duì)于關(guān)鍵信息資產(chǎn)風(fēng)險(xiǎn)的識(shí)別、控制與管理，實(shí)際上是舍本逐末，效果自然是事倍功半。

(2)信息資產(chǎn)范圍與分類。

風(fēng)險(xiǎn)評(píng)估首要工作就是要識(shí)別信息資產(chǎn)。觀點(diǎn)一：識(shí)別關(guān)鍵信息資產(chǎn)即可，尤其是第一次做風(fēng)險(xiǎn)評(píng)估時(shí)對(duì)于信息資產(chǎn)比較多的組織，不要試圖識(shí)別所有信息資產(chǎn)，可以在以后的風(fēng)險(xiǎn)評(píng)估過程中逐步完善。觀點(diǎn)二：識(shí)別信息資產(chǎn)時(shí)要結(jié)合組織情況，同樣資產(chǎn)對(duì)于不同組織識(shí)別信息資產(chǎn)結(jié)果可能是不同。舉個(gè)例子，對(duì)于一般組織投影儀完全可以不作為信息資產(chǎn)來識(shí)別，然而對(duì)于從事培訓(xùn)工作的組織來說，投影儀就可能被識(shí)別為關(guān)鍵信息資產(chǎn)。觀點(diǎn)三：相關(guān)標(biāo)準(zhǔn)、規(guī)范對(duì)于信息資產(chǎn)分類和范圍的定義可以參考，不要盲從。應(yīng)結(jié)合組織特點(diǎn)制定符合組織實(shí)際情況的、可操作的信息資產(chǎn)分類和范圍，可以在標(biāo)準(zhǔn)的基礎(chǔ)上進(jìn)行增加、對(duì)于不適用的可以刪減、或?qū)τ谀骋毁Y產(chǎn)類進(jìn)行細(xì)化（細(xì)化的程度以可操作為宜，具有相同威脅和脆弱性的資產(chǎn)可以歸為一類），等等。目的是使后續(xù)威脅、脆弱性識(shí)別與風(fēng)險(xiǎn)分析等工作得以簡化和更具可操作性。

(3)信息資產(chǎn)屬性與分級(jí)

在風(fēng)險(xiǎn)評(píng)估中，信息資產(chǎn)相對(duì)價(jià)值由機(jī)密性、完整性和可用性（CIA）的等級(jí)來確定。我們認(rèn)為在CIA不足以完全體現(xiàn)關(guān)鍵信息資產(chǎn)價(jià)值時(shí)，可以結(jié)合實(shí)際補(bǔ)充相關(guān)屬性，如財(cái)物價(jià)值等。在工作中經(jīng)常會(huì)碰到客戶問到信息資產(chǎn)分級(jí)是分三級(jí)、五級(jí)還是十級(jí)好？這個(gè)問題不是絕對(duì)的，對(duì)于發(fā)展中的中小組織來說，信息資產(chǎn)相對(duì)較少，可以采用三級(jí)分類，即高（3）、中（2）、低（1）；對(duì)于信息資產(chǎn)相對(duì)較多的組織，為了更細(xì)致描述資產(chǎn)相對(duì)價(jià)值，可以采用五級(jí)分類，即高（5）、較高（4）、中（3）、較低（2）、低（1）。總而言之，能夠體現(xiàn)信息資產(chǎn)價(jià)值和方便操作的兩個(gè)前提下，越簡單越好（定義成十級(jí)理論上也是可以的，但基本不具備可操作性）。

(4)信息資產(chǎn)價(jià)值計(jì)算

在信息資產(chǎn)相對(duì)價(jià)值的評(píng)價(jià)時(shí)，首先要對(duì)信息資產(chǎn)的CIA屬性進(jìn)行賦值。在賦值過程中，可能會(huì)發(fā)現(xiàn)對(duì)于一些資產(chǎn)很難評(píng)價(jià)CIA。舉個(gè)例子，對(duì)于人員類資產(chǎn)，評(píng)價(jià)其完整性是沒有什么意義的。因此，可采用加權(quán)系數(shù)的方式，即針對(duì)CIA分別設(shè)定α、β、γ三個(gè)系數(shù)（α+β+γ=1），設(shè)定β=0、α=0.4、γ=0.6。這樣做的好處是對(duì)于不適用的選型可以不予評(píng)價(jià)，同時(shí)針對(duì)不同行業(yè)、不同資產(chǎn)類別可以設(shè)定反映此類資產(chǎn)特點(diǎn)的CIA加權(quán)系數(shù)α、β、γ（例如：金融行業(yè)與制造業(yè)對(duì)于相同資產(chǎn)類別的CIA關(guān)注側(cè)重點(diǎn)是不同的，硬件資產(chǎn)和數(shù)據(jù)資產(chǎn)CIA關(guān)注側(cè)重點(diǎn)是不同的）。另外，針對(duì)具體算法，只要能夠相對(duì)比較客觀的反映出信息資產(chǎn)相對(duì)價(jià)值，可以采用相加、相乘、平均值等算法，然后根據(jù)資產(chǎn)值所在區(qū)間確定資產(chǎn)相對(duì)價(jià)值。

總結(jié)來說，信息資產(chǎn)識(shí)別與價(jià)值評(píng)估的根本目的，是在于通過一套統(tǒng)一定量的方法論，來識(shí)別出組織中需要保護(hù)的信息資產(chǎn)，并且對(duì)其重要性進(jìn)行分析，從而有的放矢的識(shí)別分析出組織中的信息安全風(fēng)險(xiǎn)。#p#

三、威脅、脆弱性分級(jí)與識(shí)別

(1)威脅與脆弱性分級(jí)。

可參照上述信息資產(chǎn)屬性與分級(jí)一節(jié)的內(nèi)容。

(2)威脅和脆弱性識(shí)別。

觀點(diǎn)一：不要試圖識(shí)別出資產(chǎn)面臨的所有威脅以及具有的所有脆弱性。因?yàn)椋瑹o論如何都不可能識(shí)別完全，而且資產(chǎn)的威脅和脆弱性也是隨著組織環(huán)境與控制措施不斷在變化的，只要把當(dāng)時(shí)資產(chǎn)所面臨的最重要的威脅和脆弱性識(shí)別出來就可以了。觀點(diǎn)二：利用漏掃工具對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等進(jìn)行掃描時(shí)會(huì)掃出很多的技術(shù)漏洞，建議在進(jìn)行脆弱性識(shí)別時(shí)按一條來處理，統(tǒng)一識(shí)別威脅和風(fēng)險(xiǎn)，采取的控制措施就是對(duì)這個(gè)資產(chǎn)進(jìn)行加固，沒有必要針對(duì)每一條進(jìn)行識(shí)別。觀點(diǎn)三：在識(shí)別威脅和脆弱性時(shí)，不要忘記識(shí)別現(xiàn)有的控制措施，因?yàn)楝F(xiàn)有控制措施的效果會(huì)對(duì)威脅和脆弱性賦值產(chǎn)生影響。從理論上講，現(xiàn)有控制措施可能對(duì)威脅和脆弱性同時(shí)產(chǎn)生影響，但從實(shí)際操作層面來看，現(xiàn)有控制措施絕大多數(shù)情況只針對(duì)脆弱性發(fā)揮作用，因此我們更傾向于只針對(duì)脆弱性考慮現(xiàn)有控制措施。觀點(diǎn)四：為了提高效率，威脅、脆弱性和風(fēng)險(xiǎn)可以一起識(shí)別，因?yàn)轱L(fēng)險(xiǎn)實(shí)際上是資產(chǎn)（A）、威脅（T）、脆弱性（V）的組合而成，缺一不可。因此，單獨(dú)識(shí)別資產(chǎn)的威脅和脆弱性看似合理的，但是沒有與威脅相匹配的脆弱性，或者沒有與脆弱性相匹配的威脅，最終都不會(huì)被識(shí)別為資產(chǎn)的風(fēng)險(xiǎn)，所以ATV-R/AVT-R這樣一條龍的方式來識(shí)別是效率最高的。

四、風(fēng)險(xiǎn)評(píng)估算法與風(fēng)險(xiǎn)展示

(1)風(fēng)險(xiǎn)評(píng)估算法。

經(jīng)常有客戶或者學(xué)員提出，采用ATV相加、ATV相乘、或者像信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范中所介紹的矩陣法、或√(A×V)×√(T×V)相乘法，或更為復(fù)雜的公式來計(jì)算風(fēng)險(xiǎn)，哪種更好？我們認(rèn)為：由于目前采用的風(fēng)險(xiǎn)評(píng)估方法實(shí)質(zhì)上還是半定量的評(píng)估方法，因此不必糾結(jié)于具體算法，只要能夠合理的反映出資產(chǎn)、威脅、脆弱性和風(fēng)險(xiǎn)之間的邏輯關(guān)系就好。有人會(huì)說采用不同的算法對(duì)于風(fēng)險(xiǎn)的評(píng)價(jià)可能是不同的，例如對(duì)于同一風(fēng)險(xiǎn)，用相加法算出的風(fēng)險(xiǎn)是中風(fēng)險(xiǎn)，而用相乘法算出的風(fēng)險(xiǎn)是高風(fēng)險(xiǎn)，如何避免這種情況？第一，確定好一種計(jì)算方法就長期使用它，不要這次使用矩陣法，下次使用相乘法，這樣不具可比性；第二，可以根據(jù)選擇的算法以及組織自身特點(diǎn)調(diào)整風(fēng)險(xiǎn)取值范圍，例如：50-81是高風(fēng)險(xiǎn)，25-49是中風(fēng)險(xiǎn)，1-24是低風(fēng)險(xiǎn)；第三，由于采用的是半定量的評(píng)估，與其糾結(jié)具體算法的誤差，不如把注意力放在資產(chǎn)、威脅、脆弱性的賦值上，因?yàn)檫@里出現(xiàn)誤差后會(huì)被采用的算法進(jìn)行放大，所以算法出現(xiàn)的誤差與之相比就可以忽略不計(jì)了。

(2)這里要特別強(qiáng)調(diào)的是，風(fēng)險(xiǎn)評(píng)估的核心目的是利用統(tǒng)一的評(píng)估尺度將識(shí)別出的風(fēng)險(xiǎn)進(jìn)行排序，以確定組織需要優(yōu)先處置的風(fēng)險(xiǎn)，而不是為了計(jì)算出每一條風(fēng)險(xiǎn)的絕對(duì)值。只要尺度是統(tǒng)一的，無論尺子比例大小、單位高低，都不會(huì)影響風(fēng)險(xiǎn)的相對(duì)大小，而且組織的風(fēng)險(xiǎn)接受水平是根據(jù)全面風(fēng)險(xiǎn)評(píng)估結(jié)果而劃定的。風(fēng)險(xiǎn)展示。

通常在撰寫風(fēng)險(xiǎn)評(píng)估報(bào)告時(shí)，會(huì)總結(jié)組織總體和各部門的高、中、低風(fēng)險(xiǎn)分布情況，同時(shí)會(huì)附上以資產(chǎn)為主線的風(fēng)險(xiǎn)評(píng)估記錄表。但實(shí)際上，風(fēng)險(xiǎn)應(yīng)該以更多的視角去展現(xiàn)，這樣便于領(lǐng)導(dǎo)層和操作層更全面的認(rèn)識(shí)風(fēng)險(xiǎn)，進(jìn)而控制風(fēng)險(xiǎn)。風(fēng)險(xiǎn)還可以以資產(chǎn)分類、脆弱性分類、威脅分類等去展示，同時(shí)應(yīng)能夠展示出歷次風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)的變化情況，甚至對(duì)于每一個(gè)風(fēng)險(xiǎn)及其控制措施進(jìn)行跟蹤，以確保風(fēng)險(xiǎn)最終得到有效控制，這樣才能夠反映出風(fēng)險(xiǎn)評(píng)估的真正價(jià)值。不過要做到這個(gè)程度就必須有一個(gè)系統(tǒng)來管理，不是簡單的excel表能夠方便實(shí)現(xiàn)的了。#p#

五、風(fēng)險(xiǎn)管理是一個(gè)過程

有些做過風(fēng)險(xiǎn)評(píng)估工作的客戶或?qū)W員，尤其是處在上文提到的第二個(gè)階段的人，經(jīng)常會(huì)質(zhì)疑風(fēng)險(xiǎn)評(píng)估的意義。我們認(rèn)為這是還沒有真正理解風(fēng)險(xiǎn)評(píng)估的價(jià)值造成的。風(fēng)險(xiǎn)評(píng)估是一個(gè)過程，它不是一次性的工作，風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的重要環(huán)節(jié)，而風(fēng)險(xiǎn)管理更是一個(gè)過程管理，過分的強(qiáng)調(diào)一次風(fēng)險(xiǎn)評(píng)估的結(jié)果意義不大。風(fēng)險(xiǎn)評(píng)估不是目的，風(fēng)險(xiǎn)評(píng)估只是一個(gè)工具和手段，通過這個(gè)工具或者說采用這種方法能夠不斷地揭示組織面臨的風(fēng)險(xiǎn)，使原來未知的風(fēng)險(xiǎn)變成已知風(fēng)險(xiǎn)，進(jìn)而采取相應(yīng)的控制措施去控制這些風(fēng)險(xiǎn)，從而不斷降低組織風(fēng)險(xiǎn)水平，這才是風(fēng)險(xiǎn)評(píng)估真正價(jià)值所在。

曾經(jīng)有客戶和咨詢服務(wù)商的學(xué)員討論過風(fēng)險(xiǎn)評(píng)估工作是顧問來做的，還是客戶自己做的？我們認(rèn)為，如果在項(xiàng)目預(yù)算、項(xiàng)目進(jìn)度等都可控，并且客戶配合的前提下，盡可能的讓客戶相關(guān)部門人員自己做風(fēng)險(xiǎn)評(píng)估，顧問負(fù)責(zé)傳遞風(fēng)險(xiǎn)評(píng)估方法，并在過程中進(jìn)行指導(dǎo)，對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行審核；如果不具備這些條件，為了控制項(xiàng)目成本和進(jìn)度，由顧問快速地完成風(fēng)險(xiǎn)評(píng)估工作也無可厚非。總的原則是條件允許的情況下，盡可能地讓客戶參與進(jìn)來，在項(xiàng)目中幫助客戶人員建立風(fēng)險(xiǎn)評(píng)估能力。在項(xiàng)目結(jié)束后，客戶在全組織范圍內(nèi)具備自行開展風(fēng)險(xiǎn)評(píng)估工作來管理風(fēng)險(xiǎn)的能力，并且能夠持續(xù)進(jìn)行風(fēng)險(xiǎn)管理，遠(yuǎn)比一次性的風(fēng)險(xiǎn)評(píng)估結(jié)果更重要、更有意義。

六、信息安全風(fēng)險(xiǎn)管理系統(tǒng)

通過上文相關(guān)介紹，可以發(fā)現(xiàn)風(fēng)險(xiǎn)評(píng)估是專業(yè)性較強(qiáng)的工作，因此為了幫助客戶提高風(fēng)險(xiǎn)評(píng)估工作的效率，確保風(fēng)險(xiǎn)評(píng)估的成果得以落實(shí)，谷安天下結(jié)合多年咨詢服務(wù)經(jīng)驗(yàn)，研發(fā)了GooAnn-ISRM系統(tǒng)，這里僅介紹一下系統(tǒng)主要特點(diǎn)：

·固化了持續(xù)風(fēng)險(xiǎn)管理的過程，支持用戶以多部門、多角色來開展風(fēng)險(xiǎn)評(píng)估的工作流程；

·支持多種的分級(jí)方法和風(fēng)險(xiǎn)計(jì)算方法，客戶可根據(jù)需要選擇風(fēng)險(xiǎn)環(huán)境配置，符合《GB/T20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》要求；

·內(nèi)置了谷安總結(jié)的資產(chǎn)類別庫、威脅庫、脆弱性庫、風(fēng)險(xiǎn)庫、脆弱性檢查庫、控制措施庫，并支持客戶更新和建立自己相應(yīng)的知識(shí)庫，實(shí)現(xiàn)知識(shí)的積累、共享和傳承；

·支持快速批量資產(chǎn)風(fēng)險(xiǎn)評(píng)估，提高評(píng)估效率；

·通過可視化展現(xiàn)使風(fēng)險(xiǎn)整改工作清晰可見，確保風(fēng)險(xiǎn)得以控制；

·支持多維度、多視角風(fēng)險(xiǎn)展示，及資產(chǎn)、風(fēng)險(xiǎn)和控制措施的全程跟蹤；

·通過對(duì)比分析展現(xiàn)風(fēng)險(xiǎn)管理工作成績，量化體現(xiàn)信息安全工作成果。