【资料名称】：谷安天下——再谈信息安全风险评估方法

【资料作者】：陈岌

【资料日期】：2013.4.26

【资料语言】：中文

【资料格式】：DOC

【资料目录和简介】：


作者简介：陈岌
谷安天下公司咨询经理，CISA(ISACA)；CISSP(ISC2)；ISO27001 LA(DNV)；ITIL Foundation(OGC)，10年信息安全领域研究与从业经验，主要从事信息安全实施规划、信息安全风险评估、信息安全管理体系建立和实施、等级保护等方面工作，具备丰富的信息安全管理咨询与IT审计实践经验。目前主要专业领域集中于IT风险管理与控制、信息安全等方面，曾服务的主要客户有：中国电信、工商银行、用友软件、北京NTT DATA、太平洋保险等。长期从事CISSP等信息安全培训工作。

引子：
从最开始接触风险评估理论到现在，已经有将近5个年头了，从最开始的膜拜捧为必杀技，然后是有一阵子怀疑甚至预弃之不用，到现在重拾之，尊之为做好安全的必备法宝，这么一段起起伏伏的心理历程。对风险的方法在一步步的加深，本文从风险评估工作最突出的问题：如何得到一致的、可比较的、可重复的风险评估结果，来加以分析讨论。

1.风险评估的现状
风险理论也逐渐被广大信息安全专业人士所熟知，以风险驱动的方法去管理信息安全已经被大部分人所共知和接受，这几年国内等级保护的如火如荼的开展，风险评估工作是水涨船高，加之国内信息安全咨询和服务厂商和机构不遗余力的推动，风险评估实践也在不断的深入。当前的风险评估的方法主要参照两个标准，一个是国际标准《ISO13335信息安全风险管理指南》和国内标准《GB/T 20984-2007信息安全风险评估规范》，其本质上就是以信息资产为对象的定性的风险评估。基本方法是识别并评价组织/企业内部所要关注的信息系统、数据、人员、服务等保护对象，在参照当前流行的国际国内标准如ISO27002,COBIT，信息系统等级保护，识别出这些保护对象面临的威胁以及自身所存在的能被威胁利用的弱点，最后从可能性和影响程度这两个方面来评价信息资产的风险，综合后得到企业所面临的信息安全风险。这是大多数组织在做风险评估时使用的方法。当然也有少数的组织/企业开始在资产风险评估的基础上，在实践中摸索和开发出类似与流程风险评估（请见另一博文）等方法，补充完善了资产风险评估。

2.风险评估的突出问题
信息安全领域的风险评估甚至风险管理的方法是借鉴了银行业成熟的风险管理方法，银行业业务风险管理的方法已经发展到相当成熟的地步，并且银行业也有非常丰富的基础数据支撑着风险分析方法的运用。但是，风险评估作为信息安全领域的新生事物，或者说舶来之物，尽管信息安全本身在国内开展也不过是10来年，风险评估作为先进思想也存在着类似“马列主义要与中国的实际国情结合走中国特色社会主义道路”的问题。风险评估的定量评估方法缺少必要的土壤，没有基础的、统计数据做支撑，定量风险评估寸步难移；而定性的风险评估其方法的本质是定性，所谓定性，则意味着估计、大概，不准确，其本质的缺陷给实践带来无穷的问题，重要问题之一就是投资回报问题，由于不能从财务的角度去评价一个/组风险所带来的可能损失，因此，也就没有办法得到投资回报率，尽管这是个问题，但是实践当中，一般大的企业都会有个基本的年度预算，IT/安全占企业年度预算的百分之多少，然后就是反正就这么些钱，按照风险从高到低或者再结合其他比如企业现有管理和技术水平，项目实施的难易度等情况综合考虑得到风险处理优先级，从高到低依次排序，钱到哪花完，风险处理今年就处理到哪。这方法到也比较具有实际价值，操作起来也容易，预算多的企业也不怕钱花不完，预算少的企业也有其对付办法，你领导就给这么些钱，哪些不能处理的风险反正我已经告诉你啦，要是万一出了事情你也怪不得我，没有出事情，等明年有钱了再接着处理。
这也不算难的，最难最突出的是那些不仅仅做个一次风险评估的企业，出问题了，几次风险评估的结果不具有可比性，有时甚至还出现矛盾的地方，比方说，某个部门去年是某个岗位的上一任做的，今年是另一位做的，评估结果不能反映去年到今年做的工作改善了企业所面临的信息安全风险状况，甚至细致到某个风险上；更有甚者，比如上次对于某个重要系统，由于没有必要的操作规程而导致误操作而影响系统安全的风险，采取、规范了操作流程并且培训了相关操作人员等控制措施，按理说这个风险已经是得到必要的控制，风险降低了，但是偏偏评估的结果不降反升了。这个问题，归纳为一句就是：风险评估如何得到一个一致的、可比较的、可重复的评估结果。
3.对策
针对定性风险评估这个突出问题，在解决这个问题之前，我们先有必要清晰的界定这个问题。有人可能会问，我们企业在风险评估结果中，某项风险为100的风险是不是意味着很大呢？或者问我们企业风险评估结果某项风险值为30的风险是不是比其他企业同类型风险其风险值为100的风险小呢？答案是：都不是。定性风险评估的风险值仅仅是个相对值，其数值本身的大小不具有意义，其值只在整个风险参照体系中才具有相对（高/低）价值。企业与企业之间的安全风险对比，只有在使用同一风险评估方法（包括风险计算方法一致，定性尺度一致），最好是相同行业并且业务相似的情况下，才具有横向可比性。在同一企业内部，风险评估结果要在不同部门横向比较，在同一部门纵向比较，那么，则也必须在同一风险评估方法（包括风险计算方法一致，定性尺度一致）下才具有可比性。
定性风险评估其实践操作中，主要依靠评估者的个人经验和判断，具有很强的主观特性，那我们的问题就变成了：在同一风险评估方法下，如何尽可能的剔除评估者的主观干扰，使得风险评估的结果更接近与风险的真实状况（尽管这种风险真实状况无法知晓，但是一定存在）？
解决这个问题出路之一就是结构化。当前所有的咨询/安全服务公司在帮助企业做风险评估，或者企业参照国际国内标准自己建立的一套风险评估体系自己进行风险与控制自评估时，一般的操作流程是先做现状调研，根据现状调研的结果来做风险评估。可以说，风险评估是现状调研成果的另一种表现形式，更科学，更直观。那么，现状调研的结果作为风险评估的重要输入，通过结构化现状调研的结果，即风险与风险应对措施建立结构化的联系，这样在评价某个风险大小，每次都对控制该风险对应的所有应对措施做出分析和评价。看以下例子：
在风险评估方法上，针对把由于资产责任不明而导致操作人员在误操作时泄密某服务器上绝密文件的这个具体风险与“资产所有者关系”、“文件化的操作程序”以及“信息安全意识、教育和培训”三项“应对”措施建立结构化的联系。第一次做风险评估时，由于企业现有控制只有绝密文件的所有者指定了该文件的保护要求这一项控制措施，使得该项风险的弱点值较小，风险评估的结果16.

做完第一风险评估之后，后来指定了规范的操作程序并对人员进行了必要的安全与操作技能培训，操作人员已经完全熟悉操作规范。第二次做风险评估时，同样评价这项风险，风险评估的结果就为4了。

通过以上这个简单的例子，我们就可以看到，当一旦建立风险与风险应对措施这么一个结构化的关系时，在评价风险的大小时，通过对风险控制的科学分解，使得主观判断的负面影响在评估过程中降低。在实践中，还可以做到更精细些，比如对同一控制措施的控制力度再做划分，比如刚才那个例子中，“文件化的操作程序”这个操作流程的成熟度的角度来进一步评判控制措施的强度和有效性。当然，同时也需要考虑同类风险之间的关联关系以及控制措施之间的关联关系。

4.结束语
以上对定性的风险评估的方法在实践操作的层面做了有益的探讨，这种探讨是源自我们的实践总结，也在具体的项目中收到良好的效果。总之，我们需要在标准的资产风险评估方法上做必要的加法，同时，我们还要考虑定性评估方法的优点恰恰是简单易操作而得以广泛运用，在我们做加法的同时，还需要做减法，在保障一致的、可比较和可重复的评估结果时，还需要还原于其简单、易操作的本质，这样才能保持该方法的科学性和生命力。这道理恰恰正如大都市里的“我们”为了应对紧张的工作竞争和生活压力而在城市里更好的立足，要不断给自己做加法（不停的学习充电），同时也要不断给自己做减法（放松、减压、善待自己）一样，大家说，不是吗？！