什么是风险评估？

问题2:风险评估是什么意思？

当谈到风险评估时，首先会想到一系列术语，如风险、资产、影响、威胁和弱点。这些术语不难理解，但一旦综合考虑，就会像绕口令一样组合起来。例如，ISO/IEC TR 13335-1:1996中的风险定义可以解释为:特定威胁利用资产弱点造成资产损失或损坏的潜在可能性。

风险评估是对信息资产的威胁、弱点和影响，以及其综合影响导致风险的可能性的评估。风险评估作为风险管理的基础，是组织确定其信息安全需求的重要方式，属于组织信息安全管理体系的规划过程。

风险评估的主要任务包括:

识别组织面临的风险

评估风险概率和可能的负面影响。

确定组织的风险承受能力。

确定风险降低和控制的优先级别

推荐降低风险的对策

在风险评估过程中，有几个关键问题需要考虑。首先，要保护的对象(或资产)是什么？它的直接和间接价值是什么？第二，资产的潜在威胁是什么？导致威胁的问题是什么？威胁的可能性有多大？第三，资产中可能被威胁利用的弱点在哪里？使用起来有多简单？第四，威胁事件一旦发生，组织会遭受什么样的损失或者面临什么样的负面影响？最后，组织应该采取什么安全措施来最大限度地减少风险造成的损失？

解决上述问题的过程就是风险评估的过程。

进行风险评估时，必须考虑几个相应的关系:

每项资产都可能面临多重威胁。

可能有多个威胁源(威胁代理)。

每个威胁都可能利用一个或多个漏洞。

三种可行的风险评估方法

在风险管理的准备阶段，组织已经根据安全目标确定了自己的安全策略，包括对风险评估策略的考虑。所谓风险评估策略，其实就是进行风险评估的方式，即规定风险评估应该持续的操作流程和模式。

风险评估的操作范围可以是整个组织、组织中的某个部门，也可以是新的信息系统、特定的系统组件和服务。影响风险评估进度的一些因素，包括评估时间、强度、发展范围和深度，应与组织的环境和安全要求相一致。组织应该根据不同的情况选择合适的风险评估方法。目前，实际工作中经常使用的风险评估方法包括基线评估、详细评估和组合评估。

基线评估

如果一个组织的业务运作不是很复杂，并且该组织对信息处理和网络的依赖不是很高，或者该组织的信息系统大多采用通用的、标准化的模型，基线风险评估可以直接、简单地实现基本的安全级别，满足该组织及其业务环境的所有要求。

利用基线风险评估，组织根据其实际情况(行业、业务环境和性质等)对信息系统进行安全基线检查。)(将现有的安全措施与安全基线中指定的安全措施进行比较，找出差距)，并获得基本的安全要求，通过选择和实施标准的安全措施来降低和控制风险。所谓安全基线，就是许多标准和规范中规定的一套安全控制措施或做法。这些措施和做法适用于特定环境下的所有系统，能够满足基本的安全要求，使系统达到一定的安全防护水平。组织可以根据以下资源选择安全基准:

；国际标准和国家标准，如BS 7799-1和ISO 13335-4；

；行业标准或建议，如德国联邦安全局IT基线保护手册；

；具有类似业务目标和规模的其他组织的实践。

当然，如果环境和商业目标是典型的，组织也可以建立自己的基线。

基线评估具有资源少、周期短、操作简单等优点。对于许多具有相似环境和相似安全需求的组织来说，基线评估显然是最经济有效的风险评估方法。当然，基线评估也有其不可避免的缺点，如基线水平难以设定。如果过高，可能导致资源浪费和限制过多。如果太低，可能很难做到完全安全。此外，很难管理与安全相关的更改。

基线评估的目标是建立一组最低限度的对策，以满足信息安全的基本目标，这些对策可以在整个组织中实施。如果有特殊需要，应该对特定系统进行更详细的评估。

详细评估

详细的风险评估要求对资产进行详细的识别和评估，对可能引起风险的威胁和漏洞级别进行评估，并根据风险评估的结果识别和选择安全措施。这种评估方法体现了风险管理的思想，即识别资产的风险并将风险降低到可接受的水平，以证明管理者采取的安全控制措施是适当的。

详细评估的优点是:

；组织可以通过详细的风险评估对信息安全风险有准确的认识，准确定义组织当前的安全级别和安全需求；

；详细评估的结果可用于管理安全变更。当然，详细的风险评估可能是一个非常耗费资源的过程，包括时间、精力和技术。因此，组织应该仔细设置要评估的信息系统的范围，并定义业务环境、运营和信息资产的边界。

组合评价

基线风险评价消耗资源少，周期短，操作简单，但不够准确，适用于一般环境评价。详细的风险评估准确细致，但消耗资源较多，适合在边界界定严格的小区域进行评估。基于子实践，组织大多采用两者相结合的组合评价方法。

为了决定选择哪种风险评估方法，组织首先对所有系统进行初步的高级风险评估，重点是信息系统的业务价值和可能的风险，并确定具有高风险或对其业务运营至关重要的信息资产(或系统)。这些资产或系统应该纳入详细风险评估的范围，而其他系统可以通过基线风险评估直接选择安全措施。

这种评估方法结合了基线评估和详细风险评估的优点，既节省了评估所消耗的资源，又保证了评估结果的全面性和系统性。而且可以把机构的资源和资金运用到最有效的地方，可以提前关注高风险的信息系统。当然，组合评估也有缺点:如果前期高级风险评估不够准确，可能会忽略一些需要详细评估的系统，最终导致结果不准确。

风险评估的常用方法

在风险评估过程中，可以采用多种可操作的方法，包括基于知识的分析方法、基于模型的分析方法、定性分析和定量分析。无论哪种方法，* * *的目标都是找出组织的信息资产所面临的风险及其影响，以及当前的安全级别与组织的安全需求之间的差距。

基于知识的分析方法

在基线风险评估中，组织可以使用基于知识的分析方法来找出当前安全状况与基线安全标准之间的差距。

基于知识的分析方法，也称为经验方法，涉及重用来自类似组织的“最佳实践”(包括规模、业务目标和市场等)。)并适用于一般的信息安全社区。使用基于知识的分析方法，组织不需要付出大量的精力、时间和资源。它只需要通过各种渠道收集相关信息，识别组织的风险和当前的安全措施，与特定的标准或最佳实践进行比较，找出不符合项，根据标准或最佳实践的建议选择安全措施，最终达到降低和控制风险的目的。

基于知识的分析方法，最重要的是收集评价信息，信息来源包括:

；会议讨论；

；审查当前的信息安全政策和相关文件；

；制作问卷，进行调查；

；采访相关人员；

；进行实地考察。

为了简化评估工作，组织可以采用一些辅助的自动化工具，这些工具可以帮助组织拟定符合特定标准要求的调查问卷，然后综合分析答案，与特定标准进行比较后给出最终的推荐报告。市面上有很多种这样的工具，Cobra就是典型的一种。

基于模型的分析方法

2001 1一个名为CORAS的项目，即安全关键系统风险分析平台，由希腊、德国、英国、挪威的多家商业公司和研究机构联合开发。这个项目的目的是开发一个基于面向对象建模，尤其是UML技术的风险评估框架。其评估对象是安全性要求较高的一般系统，尤其是IT系统的安全性。CORAS考虑技术、人员以及与组织安全相关的所有方面。通过CORAS风险评估，组织可以定义、获取和维护IT系统的机密性、完整性、可用性、不可否认性、可追溯性、真实性和可靠性。

与传统的定性定量分析类似，CORAS风险评估遵循识别风险、分析风险、评估和处理风险的过程，但其风险度量方法完全不同，所有分析过程都基于面向对象的模型。CORAS的优点是:提高了描述安全相关特性的准确性，提高了分析结果的质量；图形化建模机制，方便沟通，减少理解上的偏差；提高不同评估方法互操作的效率；等一下。

定量分析

在详细的风险分析中，除了基于知识的评估方法，最传统的方法是定量和定性分析。

定量分析方法的思路非常清晰:对构成风险的所有要素和潜在损失的水平赋予数值或货币金额。当所有衡量风险的要素(资产价值、威胁频率、漏洞利用程度、安全措施的效率和成本等。)都有赋值，风险评估的整个过程和结果都可以量化。

简单来说，定量分析就是试图用数值来分析和评估安全风险的方法。

定量风险分析中有几个重要的概念:

；暴露系数(EF)&；mdash& ampmdash特定威胁对特定资产造成的损失百分比或程度。

；单一损失预期(SLE)和；mdash& ampmdash或SOC(Single occurrence costs)，即特定威胁可能造成的潜在损失总额。

；年发生率(ARO)&；mdash& ampmdash即一年内威胁的估计频率。

；年化预期损失(ALE)和；mdash& ampmdash或EAC(估计年度成本)，表示特定资产在一年内的预期损失。

考察定量分析的过程，我们可以看到这些概念之间的关系:

(1)首先，识别资产，并为其赋值；

(2)通过威胁和漏洞评估，评估特定威胁对特定资产的影响，即EF(取值在0%-100%之间)；

(3)计算特定威胁的频率，即ARO；；

(4)计算资产的SLE:

SLE =资产价值×;仰角指示器

(5)计算资产的ALE:

ALE = SLE×；机载无线电测距器

举个例子:假设一家公司投资50万美元建设网络运营中心，它最大的威胁是火灾。一旦发生火灾，网络运营中心的估计损失为45%。根据消防部门的推断，网络运营中心所在区域每五年就会发生一次火灾，所以我们得到的结果是ARO为0.20。基于以上数据，该公司网络运营中心的ALE将为45，000美元。

我们可以看到，对于定量分析，有两个最关键的指标，一个是事件发生的可能性(可以用ARO表示)，另一个是威胁性事件可能造成的损失(用EF表示)。

从理论上讲，安全风险是可以通过定量分析进行准确分类的，但有一个前提，可供参考的数据指标是准确的。事实上，在当今日益复杂多变的信息系统中，定量分析所依据的数据的可靠性是难以保证的。此外，缺乏长期的数据统计，计算过程容易出错，给分析的精细化带来了很大的困难。因此，目前的信息安全风险分析采用定量分析或纯定量分析的方法。

定性分析

定性分析法是目前应用最广泛的方法，主观性很强。它通常需要依靠分析师的经验和直觉或行业的标准和实践来对风险管理的各种要素(资产价值、威胁的可能性、弱点被利用的难易程度、现有控制措施的有效性等)的规模或水平进行定性分级。)，如“高”、“中”、“低”。

定性分析的操作方法可以多种多样，包括小组讨论(如德尔菲法)、清单、问卷、访谈、调查等。定性分析相对容易操作，但也可能由于操作者经验和直觉的偏差而导致分析结果不准确。

与定量分析相比，定性分析稍好但不够准确，定量分析则相反；定性分析没有定量分析那么多的计算负担，但需要分析人员有一定的经验和能力；定量分析依赖于大量的统计数据，而定性分析没有这样的要求；定性分析是主观的，而定量分析是客观的。

另外，定量分析的结果直观易懂，而定性分析的结果很难有统一的解释。组织可以根据具体情况选择定性或定量的分析方法。