網(wǎng)絡(luò)安全是信息化持續(xù)發(fā)展的根本保障，網(wǎng)絡(luò)安全中的安全風(fēng)險(xiǎn)評估則是網(wǎng)絡(luò)安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié)。本文將從目前應(yīng)用較成熟的安全風(fēng)險(xiǎn)評估方法出發(fā)，梳理探討其他的可行的風(fēng)險(xiǎn)評估方法，并從資源能力、不確定性、復(fù)雜性、能否提供定量結(jié)果等方面進(jìn)行對比，為企業(yè)選擇和優(yōu)化安全風(fēng)險(xiǎn)評估方法提供進(jìn)一步改進(jìn)的思路。

　　基于資產(chǎn)的風(fēng)險(xiǎn)評估

　　基于資產(chǎn)的風(fēng)險(xiǎn)評估方法是指在風(fēng)險(xiǎn)分析中，識別信息資產(chǎn)、威脅、脆弱性三要素，在此基礎(chǔ)上，分別對資產(chǎn)、威脅、和脆弱性及其關(guān)聯(lián)進(jìn)行分析和賦值，采用選定的風(fēng)險(xiǎn)評估模型進(jìn)行計(jì)算，由此得出安全事件發(fā)生的可能性和損失，及其對組織的影響（即安全風(fēng)險(xiǎn)值）。

　　理論上講，基于資產(chǎn)的風(fēng)險(xiǎn)評估方法可以對資產(chǎn)進(jìn)行全面梳理，較全面地識別風(fēng)險(xiǎn)，并可以識別重要資產(chǎn)與風(fēng)險(xiǎn)的關(guān)系，對重要資產(chǎn)進(jìn)行重點(diǎn)保護(hù)。在實(shí)際應(yīng)用中，基于資產(chǎn)的風(fēng)險(xiǎn)評估基本要素是資產(chǎn)、威脅和脆弱性，資產(chǎn)清單的識別和賦值準(zhǔn)確性很重要，一旦識別出現(xiàn)遺漏或者賦值不準(zhǔn)確，則會造成風(fēng)險(xiǎn)結(jié)論的遺漏或不正確。

　　根據(jù)以往的實(shí)際項(xiàng)目經(jīng)驗(yàn)總結(jié)發(fā)現(xiàn)，企業(yè)在使用基于資產(chǎn)的風(fēng)險(xiǎn)評估方法時(shí)，經(jīng)常會遇到如下問題：

　　由于通過人工梳理信息資產(chǎn)工作量較大，而且資產(chǎn)自動化工具的應(yīng)用尚不完善，導(dǎo)致在組織中維護(hù)一份有效的信息資產(chǎn)清單是一個(gè)較困難的工作。實(shí)際情況中企業(yè)的資產(chǎn)不是固定不變的，基于資產(chǎn)的風(fēng)險(xiǎn)評估方法是在能準(zhǔn)確識別資產(chǎn)和變更的基礎(chǔ)上，建立包括信息、硬件、軟件、虛擬機(jī)、環(huán)境設(shè)施、人員等內(nèi)容的資產(chǎn)清單，動態(tài)記錄資產(chǎn)全生命周期的維護(hù)，并應(yīng)進(jìn)行定期審查和自動更新。

　　雖然許多企業(yè)在建立IT服務(wù)管理體系時(shí)，建立了CMDB庫（Configuration Management Database, 配置管理數(shù)據(jù)庫），但這些企業(yè)的CMDB往往不能及時(shí)更新，其準(zhǔn)確性和及時(shí)性并不能完全滿足信息資產(chǎn)的梳理要求；同時(shí)IT服務(wù)管理中的IT資產(chǎn)的概念與安全管理體系中的信息資產(chǎn)并不完全相同。因此，參考CMDB庫中IT資產(chǎn)清單來建立信息資產(chǎn)清單也有較大的局限性。

　　由于信息資產(chǎn)與業(yè)務(wù)關(guān)聯(lián)困難，導(dǎo)致信息資產(chǎn)過度保護(hù)或保護(hù)不當(dāng)。企業(yè)部分信息資產(chǎn)（如IT基礎(chǔ)設(shè)施、安全設(shè)備、虛擬機(jī)、中間件、各類數(shù)據(jù)等）很難與重要業(yè)務(wù)進(jìn)行充分關(guān)聯(lián)。主要原因在于將信息資產(chǎn)與業(yè)務(wù)關(guān)聯(lián)需要安全人員既要熟悉組織的業(yè)務(wù)流程，又要對組織的IT架構(gòu)、信息系統(tǒng)有著深入的了解。這樣才能確保將業(yè)務(wù)與IT基礎(chǔ)設(shè)施、安全設(shè)備、虛擬機(jī)、中間件、數(shù)據(jù)等信息資產(chǎn)進(jìn)行有效關(guān)聯(lián)。如果安全人員在實(shí)操中與業(yè)務(wù)脫離，會影響資產(chǎn)賦值的準(zhǔn)確性，資產(chǎn)賦值的偏差會導(dǎo)致需要保護(hù)的重要資產(chǎn)未得到保護(hù)，或者不重要資產(chǎn)受到過度保護(hù)導(dǎo)致資源浪費(fèi)。

　　資產(chǎn)與風(fēng)險(xiǎn)相關(guān)因素對應(yīng)困難，導(dǎo)致識別新風(fēng)險(xiǎn)困難。風(fēng)險(xiǎn)相關(guān)因素變化（如用戶新業(yè)務(wù)不斷發(fā)展，國家法律法規(guī)要求越來越嚴(yán)格等）帶來的新安全需求很難直接與資產(chǎn)進(jìn)行直接對應(yīng)，無法通過資產(chǎn)發(fā)現(xiàn)新環(huán)境下的新威脅和脆弱性，導(dǎo)致識別無法識別新風(fēng)險(xiǎn)從而失去對新風(fēng)險(xiǎn)的控制等。

　　基于資產(chǎn)的風(fēng)險(xiǎn)評估方法根據(jù)現(xiàn)有理論設(shè)計(jì)，設(shè)計(jì)比較簡單，但是在實(shí)施過程中，資產(chǎn)威脅脆弱性比較抽象，因此實(shí)施分析和賦值相對復(fù)雜。

　　其他風(fēng)險(xiǎn)評估方法的探索

　　目前，企業(yè)在開展信息安全風(fēng)險(xiǎn)評估時(shí)，大多是通過基于資產(chǎn)的風(fēng)險(xiǎn)評估這一較成熟的方法來應(yīng)用實(shí)施。但是這種方法在實(shí)施過程中會遇到資產(chǎn)梳理繁瑣、時(shí)間成本高、不易發(fā)現(xiàn)風(fēng)險(xiǎn)相關(guān)因素變化帶來的新風(fēng)險(xiǎn)等問題，業(yè)界正在積極嘗試探索新的風(fēng)險(xiǎn)評估方法。我們也對其中較典型的3種方法，進(jìn)行了探索和研究，并與基于資產(chǎn)的風(fēng)險(xiǎn)評估方法進(jìn)行了對比分析。

　　1 基于風(fēng)險(xiǎn)目錄的檢查表評估方法

　　基于風(fēng)險(xiǎn)目錄的檢查表評估是指基于一定的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范或按照業(yè)內(nèi)普遍認(rèn)可的安全體系架構(gòu)，把網(wǎng)絡(luò)安全各個(gè)層次和領(lǐng)域可以產(chǎn)生的重要安全風(fēng)險(xiǎn)盡可能列出，并結(jié)合組織所處行業(yè)或組織內(nèi)部歷史上曾經(jīng)發(fā)生過的網(wǎng)絡(luò)安全事件及產(chǎn)生的風(fēng)險(xiǎn)，建立一份網(wǎng)絡(luò)安全風(fēng)險(xiǎn)目錄清單。基于這樣的風(fēng)險(xiǎn)目錄來進(jìn)行安全檢查表評估，是一種較實(shí)用的安全風(fēng)險(xiǎn)評估方法。

　　基于風(fēng)險(xiǎn)目錄的檢查表評估方法需要在專家的指導(dǎo)下建立目錄列表，設(shè)計(jì)比較復(fù)雜，但是在實(shí)施階段只需要根據(jù)列表逐條檢查即可，因此執(zhí)行起來較為簡單。

　　優(yōu)點(diǎn)：

　　a）  非專業(yè)人士可以使用，降低工作難度和實(shí)施成本；

　　b）  可以將新環(huán)境納入其中以實(shí)現(xiàn)擴(kuò)展性；

　　c）  可以確保常見問題都被考慮到。

　　缺點(diǎn)：

　　a）  限制風(fēng)險(xiǎn)識別過程中對風(fēng)險(xiǎn)的判斷；

　　b）  往往基于已觀察到的情況，論證了“已知的已知因素”，而不是“已知的未知因素”或是“未知的未知因素”，

　　會錯過還沒有被觀察到的問題；

　　c）  使安全人員產(chǎn)生依賴列表的習(xí)慣。

　　2 基于場景的信息安全風(fēng)險(xiǎn)評估方法

　　基于場景的風(fēng)險(xiǎn)評估，是通過對現(xiàn)有系統(tǒng)、過程或程序的設(shè)計(jì)、操作等進(jìn)行系統(tǒng)性分析（包括組件、環(huán)境、操作步驟、操作人員等），以識別出危險(xiǎn)以及可能帶來的危害等。主要包括識別系統(tǒng)的設(shè)計(jì)意圖、故障模式的原因和后果、操作人員的人為錯誤、系統(tǒng)質(zhì)量的可靠性和安全性等方面。

　　優(yōu)點(diǎn)：

　　a）徹底地分析系統(tǒng)、過程或程序；

　　b）涉及多個(gè)專業(yè)團(tuán)隊(duì)，包括有實(shí)際操作經(jīng)驗(yàn)的人員以及那些必須采取行動的人員；

　　c）形成了解決方案和風(fēng)險(xiǎn)應(yīng)對行動方案；

　　d）對錯誤的原因及結(jié)果進(jìn)行清晰地分析。

　　缺點(diǎn)：

　　a）很耗時(shí)，實(shí)施成本較高；

　　b）對文件或系統(tǒng)過程以及程序規(guī)范的要求較高；

　　c）注重找到解決方案，而不是質(zhì)疑基本假設(shè)，這可以減輕分階段的辦法；

　　d）討論可能會集中在設(shè)計(jì)細(xì)節(jié)上，而不是在更寬泛或外部問題上；

　　e）受制于已有設(shè)計(jì)草案及設(shè)計(jì)意圖，以及傳遞給團(tuán)隊(duì)的范圍及目標(biāo)；

　　f）對設(shè)計(jì)人員的業(yè)務(wù)和安全專業(yè)知識要求很高。

　　3 德爾菲法（專家法）

　　德爾菲法（Delphi）是在一組專家中取得可靠共識的程序。刺激并鼓勵專家暢所欲言，激發(fā)其在風(fēng)險(xiǎn)管理過程及系統(tǒng)生命周期中，發(fā)現(xiàn)潛在的失效模式及相關(guān)危險(xiǎn)、風(fēng)險(xiǎn)、決策標(biāo)準(zhǔn)及/或處理辦法。德爾菲法是發(fā)現(xiàn)問題的高層次討論，也可以用作更細(xì)致的評審或特殊問題的細(xì)節(jié)討論。

　　資源與能力

　　優(yōu)點(diǎn)：

　　a）可以激發(fā)專家的想象力，有助于發(fā)現(xiàn)新的風(fēng)險(xiǎn)并找到全新解決方案；

　　b）讓主要的利益相關(guān)者參與，有助于進(jìn)行全面溝通；

　　c）速度較快并易于開展。

　　缺點(diǎn)：

　　a）需要必要的技術(shù)及知識，否則無法提出有效的建議；

　　b）相對松散，因此較難保證過程的全面性，不能識別全部的潛在風(fēng)險(xiǎn)；

　　c）在部分項(xiàng)目應(yīng)用時(shí)會存在費(fèi)力、耗時(shí)的情況。

　　因此，組織在選擇安全風(fēng)險(xiǎn)評估方法時(shí)，可以根據(jù)自身的實(shí)際情況，對以上分析的方法加以選擇與應(yīng)用。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<