本文目標(biāo)：依據(jù)GB/T 20984—2007和相關(guān)經(jīng)驗(yàn)，通過簡(jiǎn)潔明了的方式快速介紹風(fēng)險(xiǎn)評(píng)估的背景、目標(biāo)、概念、流程及實(shí)施注意事項(xiàng)。

GB/T 20984—2007發(fā)布機(jī)關(guān)：
1、中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局
2、中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

1、風(fēng)險(xiǎn)評(píng)估的背景

隨著政府部門、金融機(jī)構(gòu)、企事業(yè)單位、商業(yè)組織等對(duì)信息系統(tǒng)依賴程度的日益增強(qiáng)，信息安全問題受到普遍關(guān)注。運(yùn)用風(fēng)險(xiǎn)評(píng)估去識(shí)別安全風(fēng)險(xiǎn)，解決信息安全問題得到了廣泛的認(rèn)識(shí)和應(yīng)用。

2、風(fēng)險(xiǎn)評(píng)估目標(biāo)

從風(fēng)險(xiǎn)管理的角度出發(fā)，依據(jù)國(guó)家法律法規(guī)、行業(yè)標(biāo)準(zhǔn)提前對(duì)各應(yīng)用服務(wù)提供商的應(yīng)用等進(jìn)行風(fēng)險(xiǎn)評(píng)估。通過對(duì)風(fēng)險(xiǎn)的提前發(fā)現(xiàn)、提前整改、持續(xù)改進(jìn)達(dá)到有效提升企業(yè)信息安全目標(biāo)。
此外，我們發(fā)現(xiàn)風(fēng)險(xiǎn)評(píng)估不僅是為了保障企業(yè)各類資產(chǎn)安全、防止企業(yè)的各類資產(chǎn)遭受來自外部的攻擊和利用，也是為了符合國(guó)家和行業(yè)的合規(guī)性要求，避免處罰。
最后，有效的風(fēng)險(xiǎn)管控也可提升對(duì)應(yīng)用服務(wù)提供商的信任，也為企業(yè)在客戶合作中贏得更多合作機(jī)會(huì)。

3、概念

依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過程。它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對(duì)組織造成的影響。

4、風(fēng)險(xiǎn)評(píng)估框架及流程

4.1風(fēng)險(xiǎn)關(guān)鍵要素關(guān)系

4.2風(fēng)險(xiǎn)分析原理

4.3實(shí)施流程

5、實(shí)施流程中各階段主要任務(wù)

5.1準(zhǔn)備階段

風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備是整個(gè)風(fēng)險(xiǎn)評(píng)估過程有效性的保證。因此，在風(fēng)險(xiǎn)評(píng)估實(shí)施前應(yīng)充分做好準(zhǔn)備階段的相關(guān)工作：
1）確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)：自評(píng)估or檢查評(píng)估？為滿足什么樣的安全需求，保持業(yè)務(wù)戰(zhàn)略繼續(xù)運(yùn)行OR國(guó)家、行業(yè)、或被評(píng)估的上級(jí)機(jī)關(guān)要求等？
2）確定風(fēng)險(xiǎn)評(píng)估的范圍：被評(píng)估范圍確定。
3）組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)；
4）進(jìn)行系統(tǒng)調(diào)研：
a）業(yè)務(wù)戰(zhàn)略及管理制度
b）主要的業(yè)務(wù)功能和要求
c）網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接；
d）系統(tǒng)邊界；
e）主要的硬件、軟件；
f）數(shù)據(jù)和信息；
g）系統(tǒng)和數(shù)據(jù)的敏感性；
h）支持和使用系統(tǒng)的人員；
i）其他。
系統(tǒng)調(diào)研可以采取問卷調(diào)查、現(xiàn)場(chǎng)面談相結(jié)合的方式進(jìn)行。調(diào)查問卷是提供一套關(guān)于管理或操作控
制的問題表格，供系統(tǒng)技術(shù)或管理人員填寫；現(xiàn)場(chǎng)面談則是由評(píng)估人員到現(xiàn)場(chǎng)觀察并收集系統(tǒng)在物理、
環(huán)境和操作方面的信息。
5）確定評(píng)估依據(jù)和方法：
根據(jù)系統(tǒng)調(diào)研結(jié)果，確定評(píng)估依據(jù)和評(píng)估方法。評(píng)估依據(jù)包括（但不限于）：
a）現(xiàn)行國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)；
b）行業(yè)主管機(jī)關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度；
c）系統(tǒng)安全保護(hù)等級(jí)要求；
d）系統(tǒng)互聯(lián)單位的安全要求；
e）系統(tǒng)本身的實(shí)時(shí)性或性能要求等。
根據(jù)評(píng)估依據(jù)，應(yīng)考慮評(píng)估的目的、范圍、時(shí)間、效果、人員素質(zhì)等因素來選擇具體的風(fēng)險(xiǎn)計(jì)算方法，并依據(jù)業(yè)務(wù)實(shí)施對(duì)系統(tǒng)安全運(yùn)行的需求，確定相關(guān)的判斷依據(jù)，使之能夠與組織環(huán)境和安全要求相適應(yīng)。

6）制定方案：為了后面的風(fēng)險(xiǎn)評(píng)估實(shí)施活動(dòng)提供一個(gè)總體計(jì)劃，用于指導(dǎo)實(shí)施方開展后續(xù)工作
7）獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持。

5.2 資產(chǎn)識(shí)別

5.2.1 資產(chǎn)分類

機(jī)密性、完整性和可用性是評(píng)價(jià)資產(chǎn)的三個(gè)安全屬性。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量，而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。為此，有必要對(duì)組織中的資產(chǎn)進(jìn)行識(shí)別。
在一個(gè)組織中，資產(chǎn)有多種表現(xiàn)形式；同樣的兩個(gè)資產(chǎn)也因?qū)儆诓煌男畔⑾到y(tǒng)而重要性不同，而且對(duì)于提供多種業(yè)務(wù)的組織，其支持業(yè)務(wù)持續(xù)運(yùn)行的系統(tǒng)數(shù)量可能更多。這時(shí)首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸?，以此為基礎(chǔ)進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估。在實(shí)際工作中，具體的資產(chǎn)分類方法可以根據(jù)具體的評(píng)估對(duì)象和要求，由評(píng)估者靈活把握。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員等類型。

資產(chǎn)分類分級(jí)指導(dǎo)

5.2.2 資產(chǎn)賦值

5.2.2.1 保密性賦值
根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在保密性上應(yīng)達(dá)成的不同程度或者保密性缺失時(shí)對(duì)整個(gè)組織的影響。

表1 資產(chǎn)保密性賦值表

5.2.2.2 完整性賦值
根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性上缺失時(shí)對(duì)整個(gè)組織的影響。

表2 資產(chǎn)完整性賦值表

5.2.2.3 可用性賦值
根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在可用性上應(yīng)達(dá)成的不同程度。

表3 資產(chǎn)可用性賦值

5.2.2.4 資產(chǎn)重要性等級(jí)
資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在機(jī)密性、完整性和可用性上的賦值等級(jí)，經(jīng)過綜合評(píng)定得出。綜合評(píng)定方法可以根據(jù)自身的特點(diǎn)，選擇對(duì)資產(chǎn)機(jī)密性、完整性和可用性最為重要的一個(gè)屬性的賦值等級(jí)作為資產(chǎn)的最終賦值結(jié)果；也可以根據(jù)資產(chǎn)機(jī)密性、完整性和可用性的不同等級(jí)對(duì)其賦值進(jìn)行加權(quán)計(jì)算得到資產(chǎn)的最終賦值結(jié)果。加權(quán)方法可根據(jù)組織的業(yè)務(wù)特點(diǎn)確定。

表4 資產(chǎn)等級(jí)及含義描述

5.3 威脅識(shí)別

5.3.1 威脅分類

基于表現(xiàn)形式的威脅分類表

5.3.2 威脅賦值
判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來進(jìn)行判斷。在評(píng)估中，需要綜合考慮以下三個(gè)方面，以形成在某種評(píng)估環(huán)境中各種威脅出現(xiàn)的頻率：
a) 以往安全事件報(bào)告中出現(xiàn)過的威脅及其頻率的統(tǒng)計(jì)；
b) 實(shí)際環(huán)境中通過檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)；
c) 近一兩年來國(guó)際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警。

威脅賦值表

5.4 脆弱性識(shí)別

5.4.1脆弱性識(shí)別內(nèi)容
脆弱性是資產(chǎn)本身存在的，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會(huì)對(duì)資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件發(fā)生，并造成損失。即，威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。
脆弱性識(shí)別時(shí)的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等。脆弱性識(shí)別所采用的方法主要有：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等。
脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問題。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。

脆弱性識(shí)別內(nèi)容表

5.4.2 脆弱性賦值
可以根據(jù)對(duì)資產(chǎn)的損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)的流行程度，采用等級(jí)方式對(duì)已識(shí)別的脆弱性的嚴(yán)重程度進(jìn)行賦值。由于很多弱點(diǎn)反映的是同一方面的問題，或可能造成相似的后果，賦值時(shí)應(yīng)綜合考慮這些弱點(diǎn)，以確定這一方面脆弱性的嚴(yán)重程度。
對(duì)某個(gè)資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度還受到組織管理脆弱性的影響。因此，資產(chǎn)的脆弱性賦值還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。
脆弱性嚴(yán)重程度可以進(jìn)行等級(jí)化處理，不同的等級(jí)分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級(jí)數(shù)值越大，脆弱性嚴(yán)重程度越高。表 10 提供了脆弱性嚴(yán)重程度的一種賦值方法。

脆弱性嚴(yán)重程度賦值表

5.5 已有安全措施確認(rèn)

5.6 風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)等級(jí)劃分表

5.7 風(fēng)險(xiǎn)評(píng)估文檔記錄

附件

1、基于信息安全標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估：

目前，國(guó)際上存在多種不同的風(fēng)險(xiǎn)分析標(biāo)準(zhǔn)或指南，不同的風(fēng)險(xiǎn)分析方法側(cè)重點(diǎn)不同，例如
NIST SP 800-30 、BS7799、ISO/IEC 13335 等。

2、基于知識(shí)的風(fēng)險(xiǎn)評(píng)估：

基于知識(shí)的風(fēng)險(xiǎn)評(píng)估并不僅僅遵循某個(gè)單一的標(biāo)準(zhǔn)或指南，而是將各種風(fēng)險(xiǎn)分析方法進(jìn)行綜合，并結(jié)合實(shí)踐經(jīng)驗(yàn)，形成風(fēng)險(xiǎn)評(píng)估知識(shí)庫，以此為基礎(chǔ)完成綜合評(píng)估。
與特定的標(biāo)準(zhǔn)或最佳實(shí)踐進(jìn)行比較，從中找出不符合的地方；按照標(biāo)準(zhǔn)或最佳實(shí)踐的推薦選擇安全措施以控制風(fēng)險(xiǎn)。