如何高效地執(zhí)行信息安全風險評估

    信息安全風險評估工作對于組織進行信息安全風險的有效管理、識別并修復安全風險點具有非常重要的意義，同時也是組織為滿足安全合規(guī)管理的要求之一，如當前主流的信息安全管理體系ISMS-27001、PCI-DSS數(shù)據(jù)安全標準等均有明確的風險評估要求。而在實際風險評估工作的執(zhí)行過程中，組織難免會走入一個極端：會因為合規(guī)或監(jiān)管的要求而在極短時間內執(zhí)行完成，因時間和人力等方面的分配，往往難以有效地發(fā)現(xiàn)和準確評價各種威脅的影響，使得風險評估流于形式。

　　在執(zhí)行信息安全風險評估的過程中，有些組織會將風險評估工作委托給專業(yè)的安全風險評估機構來執(zhí)行。誠然專業(yè)評估機構具有很強的方法論和知識積累，然而如果對每一個客戶都用完全相同的方法和知識庫，難免會出現(xiàn)對某些風險評價的偏差甚至缺失。

　　筆者認為，信息安全風險評估是一個專業(yè)性很強的工作，組織除了依賴于專業(yè)評估機構的能力以外，組織本身仍然需要明智地進行管理和影響，使得組織通過該過程可以真正有效地管理所面臨的風險。

　　在風險評估的執(zhí)行過程大體可以分為三個階段，評估準備與識別、風險的評估與計算以及風險結果處置。準備與識別階段主要進行資產梳理、威脅識別以及脆弱性識別等工作;評估與計算階段主要基于識別到的風險要素和措施，進行風險的評價和計算;而處置階段剛基于評估結果進行有效的風險處理，所采取的方法通常包括接受風險、降低風險或轉移風險等。為便于理解，下圖是GB/T 20984-2007標準中對風險評估過程，從整體上對風險評估工作所涉及的工作要素進行了說明。

　　因篇幅原因，本文不再具體描述和展開評估流程，而是側重于風險評估過程的實踐經驗以及對執(zhí)行方法的一些理解和建議。其中的不足之處，也非常歡迎業(yè)界朋友批評指正。

 

　　一、組織所面臨風險的定制化

　　在風險評估的準備階段， 需要針對組織當前的情況進行大量的信息收集，再加上對信息的分析與整理，這將占用大量的時間資源。而如果不進行梳理，則無法達到風險評估的預期效果。而制定適合組織當前狀況的評估項，相關的實踐經驗如下：

　　1、擴展安全威脅信息庫以覆蓋組織面臨的主要風險

　　如基于常見的信息安全風險來開展，難免存在對于威脅的忽略和偏差。組織可以從以下角度來考慮威脅數(shù)據(jù)庫的構建：

　　威脅的種類

　　比如可以從對組織產生影響的角度，擴展組織所適用的威脅庫分類。筆者認為威脅庫的積累對于風險評估最終的效果將有直接的影響，建議組織在信息安全風險評估機構的選擇過程中充分考慮評估機構對于信息安全知識，尤其是威脅知識庫的積累。

　　借助于遍布全球的知識資源，atsec所采用的知識庫體系可覆蓋到信息安全風險的方方面面，如合規(guī)風險、物理安全、人員安全、安全管理、技術架構、介質管理、權限管理、密碼管理、安全意識等多個領域。通過全面的安全風險分析，使得組織可以非常有針對性地制定當前以及未來的信息安全建設規(guī)劃。

　　威脅的來源

　　組織在確定威脅的過程中，除了考慮自身面臨的風險外，推薦從風險合規(guī)的角度來擴展威脅的信息來源。atsec 可以在風險評估過程中幫助組織梳理并明確組織所處行業(yè)的監(jiān)管要求，指導組織建立或完善統(tǒng)一整合的管理體系，并有效地吸收和融合PCI、ISO/IEC 27001、ISO 9001、ITIL、SAS70 等標準，形成全面且有針對性的威脅信息庫，使評估結果達到事半功倍的效果。

　　2、高效地進行資產的識別與評價

　　對于組織的信息資產，尤其是數(shù)據(jù)資產，難以進行有效地衡量和梳理。然而，風險評估過程中則需要對所影響的信息資產的價值納入到評價體系。由此看來如何明智地組織資產的評價體系，并對資產進行合理評價是一個具有挑戰(zhàn)性的工作。在該過程中，atsec的執(zhí)行經驗如下：

　　建立有效的資產層次

　　通常的資產層次可以從物理位置(如XX組織的生產機房)，到物理概念上的資產(如XX機房的XX服務器)，再到操作系統(tǒng)，進而到應用軟件，最終到其中的數(shù)據(jù)。經過多層次的資產劃分后，其好處是使得威脅與資產具有了明確的關聯(lián)關系，便于后續(xù)的風險評價。

　　有效地使用“資產組”的概念

　　在建立資產層次后，也會帶來資產類別和梳理過程的工作量的成倍增加。在atsec執(zhí)行風險評估的過程中，會充分考慮低層級資產的梳理難度，更多地從業(yè)務流程劃分的角度進行歸類，在最大程度上使用“資產組”的概念，盡最大可能使用組合的方法降低難度。

　　3、快速收集與評價組織的管理體系

風險評估的執(zhí)行更多地側重于發(fā)現(xiàn)安全管理過程中的差距，管理體系梳理與具體評價應更多地由內部或外部審計來完成。然而，在此過程中也需要有一定的介入并給出初步評價，以便于安全流程等方面的實際評估。

 

　　在風險的評估與評價階段，項目團隊的成員應把絕大部分精力投入到風險項的識別和級別定義，除了依賴于執(zhí)行者的信息安全評估的經驗外，使用有效的方法論和工具方法對于提升執(zhí)行效率和準確性也具有非常重要的意義。

　　1、建立有效的風險分析模型

　　在風險評估過程中，atsec所使用的風險分析模型會包括多個層面，以更有效地進行風險評價。模型方法如下：

　　風險發(fā)生的可能性初步的控制措施風險發(fā)生對客戶業(yè)務的影響風險發(fā)生對客戶品牌的影響風險發(fā)生對客戶收益的影響

　　對于具體的分析過程，由評估人員基于訪談情況、滲透情況以及相關的信息輸入，從品牌、收益和客戶三方面的影響進行展開。每一選項的賦值基于方法論中的準則進行確定，下圖為整個風險評估過程中，對數(shù)據(jù)庫和應用系統(tǒng)存在威脅的評定示例：

　　2、使用半定量化的風險計算方法

　　因威脅本身具有不斷變化和難以測量的性質，推薦明智地使用半定量化的測試方法。在具體的執(zhí)行過程中，atsec的做法是通過對每個威脅的評估結果給出半定量的評級，并進一步通過風險計算方法使最終的評估結果更精確。因篇幅原因，在此不展開具體的風險計算方法。

　　3、使用自動化的風險計算工具

　　基于風險評估在執(zhí)行過程中，atsec使用自有開發(fā)的計算工具，以最大程度上節(jié)省風險計算所占用的工作量。

　　4、最大限度地使用輔助工具

　　在對技術類威脅的評估過程中，如關鍵帳號和口令安全性，通過管理訪談方法通常難以做出準確的判斷。atsec則會在類似的過程中盡最大限度地使用各種輔助工具和手段，比如密碼安全性驗證、服務器的技術漏洞等。

 

　　三、評估結果的高效使用

　　在對所有的威脅完成風險評估后，如何有效地將風險結果轉化為組織進行高效改進的發(fā)動機呢？

　　1、自動、清晰地呈現(xiàn)風險發(fā)現(xiàn)與結果

　　在發(fā)現(xiàn)并對信息安全風險進行評價后，自動地呈現(xiàn)風險結果與發(fā)現(xiàn)不僅可以極大地節(jié)省風險評估過程中的資源，也將使得管理層清晰地知曉關鍵的信息安全風險。這對于信息安全風險評估項目的收益具有非常重要的意義。在風險評估過程中，atsec會通過自動化工具全面展現(xiàn)風險評估的發(fā)現(xiàn)與結果，如下圖所示：

　　2、全生命周期的風險管理

　　一旦一個風險被識別出來之后，將對其整個過程進行管理和控制。通常的處理方法包括：風險降低(如通過技術手段降低其影響或可能性)、風險轉移(如購買保險或通過第三方合同轉移)和風險接受(管理層正式接受風險及其影響)等。建議組織在執(zhí)行過程中使用自動化的工具跟蹤每一個風險的最終處理方法，以避免風險項被忽略和措施不到位的情況。

　　3、自上而下的管理決策

　　對于識別到的風險，需要管理層投入資源進行處理，在此看來自上而下的管理決策非常重要。atsec在風險評估管理過程中，會通過自動化的工具列舉出來，然后需要組織的管理層首先進行低級別風險的接受，最后將工作著眼于中、高級別風險整改措施的確定。

　　4、通過投入產出比指導安全措施的制定

　　在排除可接受的風險后，所剩余風險項的管理也是風險評估后期的難點之一。在此過程中，atsec推薦從投入產出比的角度考慮措施的制定。筆者認為，在整個信息安全風險評估過程中所做出的努力不僅僅是一項時間、金錢和人員的投入，而是一項為組織避免由安全風險帶來更大安全損失的核心。能做到這個的關鍵一點是在風險整改措施的投入方面，應至少要小于所避免的安全損失，這就要求借助于半定量化的指標來指導安全措施的選擇，以達到最大的投入產出比。

　　在整個風險評估過程中，atsec采用的半定量化的方法和結果仍然可用于達到此目的。舉例來看，對于識別出的“應用層XXX漏洞”的整改措施，則可以基于應用的價值以及該漏洞的風險值確定該風險的損失值，而安裝WAF設備、使用商業(yè)應用層漏洞掃描工具、使用開源工具進行應用掃描、由開發(fā)人員進行安全代碼檢查等措施每個的投入也可以從工作量和設備投入角度進行確認，這將使得最終的措施或措施組合為組織產生更大價值。

 

　　小結：

　　對于風險評估這樣專業(yè)性很強的工作，建議組織從信息安全經驗和積累的角度出發(fā)，選擇、借鑒并融合業(yè)界優(yōu)秀風險評估機構的經驗和實踐，以最大化風險評估的收益。對于執(zhí)行策略，應充分融合內、外部資源，明智全面地覆蓋所有威脅，并通過執(zhí)行過程的自動化和投入產出比的優(yōu)化，使風險評估工作真正地成為應對各類風險以及風險合規(guī)的利劍。

　　atsec是一家獨立且基于標準的IT(信息技術)信息安全咨詢和評估服務公司，它充分結合了豐富的技術知識和國際經驗，可以為組織提供具有商業(yè)導向的信息安全服務。atsec 利用其對安全保障、應用和標準方面的豐富專業(yè)知識，將協(xié)助組織建立完整的安全管理流程，進而有效地管理安全風險，改善數(shù)據(jù)和產品，以確保業(yè)務流程的可靠性。