風險評估是指從風險管理角度,依據國家有關信息安全技術標準和準則,運用科學的方法和手段,對信息系統及處理、傳輸和存儲信息的保密性、完整性及可用性等安全屬性進行全面科學地分析;對網絡與信息系統所面臨的威脅及存在的脆弱性進行系統的評價;對安全事件一旦發生可能造成的危害程度進行評估,并提出有針對性地抵御威脅的防護對策和整改措施。風險評估是風險管理工作的基礎,為組織提供更全面,更有效的風險信息。
《網絡安全法》于2017年6月1日正式生效,其中第十七條和二十九條規定國家推進網絡安全社會化服務體系建設,鼓勵有關企業、機構開展網絡安全認證、檢測和風險評估等安全服務。有關行業組織建立健全本行業的網絡安全保護規范和協作機制,加強對網絡安全風險的分析評估,定期向會員進行風險警示,支持、協助會員應對網絡安全風險。《網絡安全法》中多次提到風險評估,這充分體現了風險評估在網絡安全工作中的重要性。
1. 風險評估要素及識別
風險評估要素
中國軟件評測中心認為,風險評估主要涉及資產、威脅、脆弱性和風險4個主要因素,資產是對組織具有價值的信息或資源,是安全策略保護的對象,如軟硬件、人員、信息與數據等。威脅是指可能導致對系統或組織危害的不希望事故潛在起因。脆弱性是指可能被威脅所利用的資產或若干資產的薄弱環節。風險指人為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件的發生及其對組織造成的影響。
風險評估要素識別
(1)資產識別
保密性、完整性和可用性是評價資產的三個安全屬性。風險評估中資產的價值不是以資產的經濟價值來衡量,而是由資產在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。資產識別就是通過分析每個資產的保密性、完整性、可用性和重要性,并對其分別賦值分類和計算資產價值的過程。
(2)威脅識別
威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。威脅作用形式可以是對信息系統直接或間接的攻擊,在保密性、完整性和可用性等方面造成損害;也可能是偶發的、或蓄意的事件。威脅識別主要是識別關鍵資產直接或間接面臨的威脅、威脅分類、威脅來源和計算最終威脅值得過程。
(3)脆弱性識別
脆弱性識別是通過工具或手工等方式,識別當前信息系統中存在的弱點,并根據賦值規則得到資產脆弱性值的過程。脆弱性識別時的數據來自于資產的所有者、使用者,以及相關業務領域和軟硬件方面的專業人員等。脆弱性識別所采用的方法主要有:問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。
(4)風險分析
風險分析是在完成了資產識別、威脅識別、脆弱性識別以及已有安全措施確認后進行風險值計算,對風險進行定級,提出相應的風險控制措施的過程。對面臨的風險從模糊的感覺上升到更為科學、理性的認識。
2. 風險評估方法
常用的評估方法有層次分析法、德爾斐法、故障樹法等。這些方法基本上都遵循了風險評估流程,只是在具體實施手段和風險計算方面有所不同。根據計算方法的不同,評估方法可分為定性風險評估、定量風險評估以及定性與定量相結合的評估。
定性評估方法
定性分析方法需要憑借評估者的知識、經驗和直覺,或者業界的標準和實踐,為風險的各個要素定級。定性分析法操作相對容易,但也可能因為評估者經驗和直覺的偏差而使分析結果失準。定性方法較為粗糙,但在數據資料不夠充分或分析者數學基礎較為薄弱時適用。典型的定性分析方法有因素分析法、邏輯分析法、歷史比較法、德爾菲法等。
定量評估方法
定量分析則對構成風險的各個要素和潛在損失水平賦予數值,通過對度量風險的所有要素進行賦值,建立綜合評價的數學模型,從而完成風險的量化計算。定量分析方法準確,但前期建立系統風險模型較困難。定量方法比較復雜,在資料比較充分或者風險對信息資產的危害可能比較大時適用。常見的定量分析方法有時序序列分析法、Markov分析法、因子分析法、聚類分析法、決策樹法、熵權系數法等
定性與定量相結合分析方法
定性與定量結合分析方法就是將風險要素的賦值和計算,根據需要分別采取定性和定量的方法完成。定性是定量的依據,定量是定性的具體化,二者結合起來靈活運用才能取得最佳效果。實際使用時也可多種風險評估方法綜合使用,使評估效果更佳。
3. 風險評估流程
中國軟件評測中心認為,信息安全風險評估的過程主要分為:風險評估準備、資產識別過程、威脅識別過程、脆弱性識別過程、已有安全措施確認過程和.風險分析過程六個階段。
(1) 風險評估準備
該階段的主要任務是制定評估工作計劃,包括評估目標、評估范圍、制定安全風險評估工作方案。根據評估工作需要,組件評估團隊,明確各方責任。
(2) 資產識別過程
資產識別主要通過向被評估方發放資產調查表來完成。在識別資產時,以被評估方提供的資產清單為依據,對重要和關鍵資產進行標注,對評估范圍內的資產詳細分類。根據資產的表現形式,可將資產分為數據、軟件、硬件、服務和人員等類型。
根據資產在保密性、完整性和可用性上的不同要求,對資產進行保密性賦值、完整性賦值、可用性賦值和資產重要程度賦值。
(3) 威脅識別過程
在威脅評估階段評估人員結合當前常見的人為威脅、其可能動機、可利用的弱點、可能的攻擊方法和造成的后果進行威脅源的識別。
威脅識別完成后還應該對威脅發生的可能性進行評估,列出為威脅清單,描述威脅屬性,并對威脅出現的頻率賦值。
(4) 脆弱性識別過程
脆弱性分為管理脆弱性和技術脆弱性。管理脆弱性主要通過發放管理脆弱性調查問卷、訪談以及手機分析現有的管理制度來完成;技術脆弱性主要借助專業的脆弱性檢測工具和對評估范圍內的各種軟硬件安全配置進行檢查來識別。
脆弱性識別完成之后,要對具體資產的脆弱性嚴重程度進行賦值,數值越大,脆弱性嚴重程度越高。
(5) 已有安全措施確認
安全措施可以分為預防性安全措施和保護性安全措施兩種。預防性安全措施可以降低威脅利用脆弱性導致安全事件發生的可能性,如入侵檢測系統;保護性安全措施可以減少因安全事件發生后對組織或系統造成的影響。
(6) 風險分析過程
在完成了資產識別、威脅識別、脆弱性識別及已有安全措施確認后,將采用適當的方法與工具進行安全風險分析和計算。可以根據自身情況選擇相應的風險計算方法計算出風險值,如矩陣法或相乘法等。
如果風險值在可接受的范圍內,則改風險為可接受的風險;如果風險值在可接受的范圍外,需要采取安全措施降低控制風險。
4. 風險評估工作總結
風險評估能為全面有效落實安全管理工作提供基礎。中國軟件評測中中心建議,根據評估出的安全隱患,加強安全管理,采取宣傳教育、行政、技術及監督等措施和手段,推動各階層員工做好每項安全工作。使企業每位員工都能真正重視安全工作。必要時通過專業的第三方安全評測機構對網絡安全風險信息進行分析評估,預測事件發生的可能性、影響范圍和危害程度,讓風險評估為網絡安全保駕護航,降低或避免風險發生的可能性。
京公網安備 11010502049343號