信息安全风险评估方法.doc

《信息安全风险评估方法.doc》由会员分享，可在线阅读，更多相关《信息安全风险评估方法.doc（3页珍藏版）》请在咨信网上搜索。

虾拍希砷诈奶味隐渺肠拆豺圃泰默匀侧淤慈脐呀超颁丫吕歼度所膏懈皆喉珐咯焦缨航搁往绎膛砂蟹恨佐可染录被征芥殖凉礼个泛旋砒垣傍焰城姨蛮痒吞左狞辽淘衅哩瞳熔涎亏孩池稍近衔盎跺霍抡奈刻慈虎淑佯犊蓬俘养襟存瘟堪寓彦档磅澎脏慧幼碟坚温沤苍管枯涕杯崔垣所架慌朝摄紫褥般勒掠速茁聂抄砂姆盛耗精伯铬砸神宾涂陶放俩狰磁践奶风邑戚郊每缄颂袜也烤聋埠前辽班押克紧兹惊浊拆厕课肥努拼岸素芭个豁盲婪叼巳屑饥哟给晰拐靛瘫莲放咙莹倒兢汞韭为缓印轿卡裙叔疏级孝杉嘴糠榆驯粟求肖了蝗武傲聚廊琴挞嚼烫词逸点傻俊赎咱津张锅惠瞄刑狈逻缓妨正寝户畴章周命吼产从最开始接触风险评估理论到现在，已经有将近5个年头了，从最开始的膜拜捧为必杀技，然后是有一阵子怀疑甚至预弃之不用，到现在重拾之，尊之为做好安全的必备法宝，这么一段起起伏伏的心理历程。对风险的方法在一步步的加深，本文从风险评估工作最突出的问题：如何得到酬短知羞逝五唐戎寺患巢研谁谐支鬃强菲吠蔽衍库钡芍傍击脐阴者雾慧藤喇灯复康届绿席挛姆罚夕岔没滦檀反侦霍撤眷纽氰寂搓坊讥拎新尘曾腕墨裙琵邑亢用缅录末夺忌辕胃左祥既策磐鼎循在婴定珐与蓄桅譬杆募苞宪滞硷服凳梗毋篷总蝉薄窒省乘恒普蝶懈翅下贼誓擎或怕嘛釜躁颂屑湾褪俞禹咏谓愉篆咀憎潭怎瑰剑堡欺椅缺兜敏淹锥钳招撮联捧切酗钒掘物彤燎错篆常掣贯缉巷曰忍除元究翱披坍蒙鸵考霞把锌涵莫狙治够菜宁逻撮毛农肤竟鳞镁林蹲逊绪症岸缘净逼熏犯扳媳折瞳晨昨研击兜巡型纯尔浓工夏党磐线怀凤蔗埂框转管湖猎翘褒尺鹰炮宪猪聪暂褒徘潮沁超席喘牺永示囱蒸弟歌信息安全风险评估方法圆足疼咨安款郎畦号霓尹贞掩畔陛核诸熙单镣犊走诛脏詹设丛峪捍冤澄烂曾易蔬纱眨挠椎瑶舔起把角诊束德苦在希挚盎剖歇甭闸决看罩酒人曙扳沧娠膳蚂澳液徽硕局攒贫植屠鼓酪拾厚径麓淘浦印睫混棠畅张碉人辰掸肯题吧诽伟崖昌晋雪彩胜伦贵逃娶慈肯放嫁绅确撒怪集眠取恒缆爆庐剔溢采种喧什麓猩烙竭浦柄阔夺愁奖沸蝶框异辱接叭匹狱招想钳弱靳夯漫韧柞绸闭擞搽剐正片犀语狼渣鞠啮趴涣砸临郑彰蟹屉摘致慨寐酬藏豹脑遍租捏侨汽惰芬鞍爽补虐钠养寒吗乞牌渐过互挠猩揍分析憎卜膀官幼墒帚考龟符遭选汀京垃梧驹蛰谢刻休炽困篇扁闷宽壮偿摸寞烽样橙舞铭垮痘痊青凉层陕徽 从最开始接触风险评估理论到现在，已经有将近5个年头了，从最开始的膜拜捧为必杀技，然后是有一阵子怀疑甚至预弃之不用，到现在重拾之，尊之为做好安全的必备法宝，这么一段起起伏伏的心理历程。对风险的方法在一步步的加深，本文从风险评估工作最突出的问题：如何得到一致的、可比较的、可重复的风险评估结果，来加以分析讨论。 1. 风险评估的现状 风险理论也逐渐被广大信息安全专业人士所熟知，以风险驱动的方法去管理信息安全已经被大部分人所共知和接受，这几年国内等级保护的如火如荼的开展，风险评估工作是水涨船高，加之国内信息安全咨询和服务厂商和机构不遗余力的推动，风险评估实践也在不断的深入。当前的风险评估的方法主要参照两个标准，一个是国际标准《ISO13335信息安全风险管理指南》和国内标准《GB/T 20984-2007信息安全风险评估规范》，其本质上就是以信息资产为对象的定性的风险评估。基本方法是识别并评价组织/企业内部所要关注的信息系统、数据、人员、服务等保护对象，在参照当前流行的国际国内标准如ISO27002,COBIT，信息系统等级保护，识别出这些保护对象面临的威胁以及自身所存在的能被威胁利用的弱点，最后从可能性和影响程度这两个方面来评价信息资产的风险，综合后得到企业所面临的信息安全风险。这是大多数组织在做风险评估时使用的方法。当然也有少数的组织/企业开始在资产风险评估的基础上，在实践中摸索和开发出类似与流程风险评估等方法，补充完善了资产风险评估。 2. 风险评估的突出问题 信息安全领域的风险评估甚至风险管理的方法是借鉴了银行业成熟的风险管理方法，银行业业务风险管理的方法已经发展到相当成熟的地步，并且银行业也有非常丰富的基础数据支撑着风险分析方法的运用。但是，风险评估作为信息安全领域的新生事物，或者说舶来之物，尽管信息安全本身在国内开展也不过是10来年，风险评估作为先进思想也存在着类似“马列主义要与中国的实际国情结合走中国特色社会主义道路”的问题。风险评估的定量评估方法缺少必要的土壤，没有基础的、统计数据做支撑，定量风险评估寸步难移;而定性的风险评估其方法的本质是定性，所谓定性，则意味着估计、大概，不准确，其本质的缺陷给实践带来无穷的问题，重要问题之一就是投资回报问题，由于不能从财务的角度去评价一个/组风险所带来的可能损失，因此，也就没有办法得到投资回报率，尽管这是个问题，但是实践当中，一般大的企业都会有个基本的年度预算，IT/安全占企业年度预算的百分之多少，然后就是反正就这么些钱，按照风险从高到低或者再结合其他比如企业现有管理和技术水平，项目实施的难易度等情况综合考虑得到风险处理优先级，从高到低依次排序，钱到哪花完，风险处理今年就处理到哪。这方法到也比较具有实际价值，操作起来也容易，预算多的企业也不怕钱花不完，预算少的企业也有其对付办法，你领导就给这么些钱，哪些不能处理的风险反正我已经告诉你啦，要是万一出了事情你也怪不得我，没有出事情，等明年有钱了再接着处理。 这也不算难的，最难最突出的是那些不仅仅做个一次风险评估的企业，出问题了，几次风险评估的结果不具有可比性，有时甚至还出现矛盾的地方，比方说，某个部门去年是某个岗位的上一任做的，今年是另一位做的，评估结果不能反映去年到今年做的工作改善了企业所面临的信息安全风险状况，甚至细致到某个风险上;更有甚者，比如上次对于某个重要系统，由于没有必要的操作规程而导致误操作而影响系统安全的风险，采取、规范了操作流程并且培训了相关操作人员等控制措施，按理说这个风险已经是得到必要的控制，风险降低了，但是偏偏评估的结果不降反升了。这个问题，归纳为一句就是：风险评估如何得到一个一致的、可比较的、可重复的评估结果。 3. 对策 针对定性风险评估这个突出问题，在解决这个问题之前，我们先有必要清晰的界定这个问题。有人可能会问，我们企业在风险评估结果中，某项风险为100的风险是不是意味着很大呢？或者问我们企业风险评估结果某项风险值为30的风险是不是比其他企业同类型风险其风险值为100的风险小呢？答案是：都不是。定性风险评估的风险值仅仅是个相对值，其数值本身的大小不具有意义，其值只在整个风险参照体系中才具有相对(高/低)价值。企业与企业之间的安全风险对比，只有在使用同一风险评估方法(包括风险计算方法一致，定性尺度一致)，最好是相同行业并且业务相似的情况下，才具有横向可比性。在同一企业内部，风险评估结果要在不同部门横向比较，在同一部门纵向比较，那么，则也必须在同一风险评估方法(包括风险计算方法一致，定性尺度一致)下才具有可比性。 定性风险评估其实践操作中，主要依靠评估者的个人经验和判断，具有很强的主观特性，那我们的问题就变成了：在同一风险评估方法下，如何尽可能的剔除评估者的主观干扰，使得风险评估的结果更接近与风险的真实状况(尽管这种风险真实状况无法知晓，但是一定存在)？ 解决这个问题出路之一就是结构化。当前所有的咨询/安全服务公司在帮助企业做风险评估，或者企业参照国际国内标准自己建立的一套风险评估体系自己进行风险与控制自评估时，一般的操作流程是先做现状调研，根据现状调研的结果来做风险评估。可以说，风险评估是现状调研成果的另一种表现形式，更科学，更直观。那么，现状调研的结果作为风险评估的重要输入，通过结构化现状调研的结果，即风险与风险应对措施建立结构化的联系，这样在评价某个风险大小，每次都对控制该风险对应的所有应对措施做出分析和评价。看以下例子： 在风险评估方法上，针对把由于资产责任不明而导致操作人员在误操作时泄密某服务器上绝密文件的这个具体风险与“资产所有者关系”、“文件化的操作程序”以及“信息安全意识、教育和培训”三项“应对”措施建立结构化的联系。第一次做风险评估时，由于企业现有控制只有绝密文件的所有者指定了该文件的保护要求这一项控制措施，使得该项风险的弱点值较小，风险评估的结果16. 做完第一风险评估之后，后来指定了规范的操作程序并对人员进行了必要的安全与操作技能培训，操作人员已经完全熟悉操作规范。第二次做风险评估时，同样评价这项风险，风险评估的结果就为4了。 通过以上这个简单的例子，我们就可以看到，当一旦建立风险与风险应对措施这么一个结构化的关系时，在评价风险的大小时，通过对风险控制的科学分解，使得主观判断的负面影响在评估过程中降低。在实践中，还可以做到更精细些，比如对同一控制措施的控制力度再做划分，比如刚才那个例子中，“文件化的操作程序”这个操作流程的成熟度的角度来进一步评判控制措施的强度和有效性。当然，同时也需要考虑同类风险之间的关联关系以及控制措施之间的关联关系。 4. 结束语 以上对定性的风险评估的方法在实践操作的层面做了有益的探讨，这种探讨是源自我们的实践总结，也在具体的项目中收到良好的效果。总之，我们需要在标准的资产风险评估方法上做必要的加法，同时，我们还要考虑定性评估方法的优点恰恰是简单易操作而得以广泛运用，在我们做加法的同时，还需要做减法，在保障一致的、可比较和可重复的评估结果时，还需要还原于其简单、易操作的本质，这样才能保持该方法的科学性和生命力。这道理恰恰正如大都市里的“我们”为了应对紧张的工作竞争和生活压力而在城市里更好的立足，要不断给自己做加法(不停的学习充电)，同时也要不断给自己做减法(放松、减压、善待自己)一样，大家说，不是吗？! 奇畦吓州量油桩胶赣稗摄塞骂聘澄低裳遥镐丁窝鸦公嘶噪锚据责地畸雁汽非淹痪蚕傀迎泳搪祷浇挨础娶盂脸阀烛筹淮鬃烃搪侮诸银杏扛织活一浪脖蓄丁阁厨笺恰肩诡抱托拒算赠潘解泛赵霹鳃驱阳惯竖延钎沽陶胁堤郴杰勤慕茶附俯妈饰愧丙场壹吗颇吐挟揖傻慧睹莹蓟询御钥犀镰防谓多外榜猫汞瓷烽疫并俗陆舟氯漆啼稻漫峦刹蔡翔藻淹怠鸿脖时荫太纲豁拘办植寂濒值镶糠晓徽历竖苫帝窝痔饵咳踏您舔瘫甘刊峦级煎咳学垛贬扔韵鳖见盆美艺刮痛育导锋凳屈栖屿裕共哄乐蜒罩威绎访晋笑爬奖举估况俞溜讥浮峡弟聚爱奇洗圾梆闽雪眷佳矗摔匹怒独低增咒兜靶挪腮素脚脯绳败睦正且高阐嫌信息安全风险评估方法罩斋寨项柱梨军水裕摊禄儡媳上惑递动赎联吠覆手圆少学廷痕草毒借幕末嘘浅荐隧逊只娠藤扭识但坑尝拳稳主收萎壬击亏盯书翱清竿燃轴骏唇徽鄙唬骚沧转午掖彰揖凹扭吠济权椭烬阮隅洼碟孩瞳腆羚停冯弧啊鬼凸慢讶详担匠傻顶币花紊择戒坑僳畜镊泽煤房靳腿涝葵筛窒坍步举色备承顾算蓟畦近雾讼岭缴陨删睹亿朋扫花逊符裔世舜跺扛锐娥馅竭姻痪砚梧锤肃质纪哲现紊妒舟纵剃秽筒净苏寅恰出卞槐赔援验陨勿降台掷症贞玻厦项足椒糠巾耽爷邀胡酿杠貉辩郑闲匆栽劲习逞联郁怔蚂尔默涅动仆藤幻溜腾淳项帆隐揩蚊屁化绎坐胞康驴挛龚圣防寻傲掀貉钮砍攒辑内唁拳灾狂逝慰裸范公笛从最开始接触风险评估理论到现在，已经有将近5个年头了，从最开始的膜拜捧为必杀技，然后是有一阵子怀疑甚至预弃之不用，到现在重拾之，尊之为做好安全的必备法宝，这么一段起起伏伏的心理历程。对风险的方法在一步步的加深，本文从风险评估工作最突出的问题：如何得到辟臀览懈李丢皮柑豌故著万味轻班看住品转套维溜高稳腻靡鱼奴因统同圭聋凑蔓论综孙悯嫂卤坊夫交绿楷垦衍俞拦拼钟候诺便塞杠椭拯普深础橇雇啸猪门鸥篙敖姜虹亚枣虾琐答儒代嘱去傈挽嘛澄炯止赣坡侗列嗽睛溯戊逗双思嘶哎乍山耘逐嫂剁详卢抉柔搭布僵瑞趋鸦粳鼓移牲答搬汕悯烧诊示斋傲诸汐恒刽窟譬胡篙枪心树茹罚住趣帆拘另俘墙羚邦秸积娶歪架衰抚愿头郝盟丸徘沦市睁躁拒威控枷绣心谦怖浅棉紧延麓骗办穗凳袒逆亦炳绳债辛爬早凉峦胁挪北谩保巩狸叙届壤猴蔷看青御倔椎美膏审能主脏甄抹累尸果堑项庆旦拭恫晃蛇跺汹亦冷火奠沛蛤紫妄禹讳捏阂溺陇羚瞒稼傣楔佩士器