浅析信息安全风险评估分析方法简述

随着信息化的发展，信息系统依赖程度日益增强，采用风险管理的理念去识别安全风险，解决信息安全问题得到了广泛的认识和应用。该文首先介绍了风险评估工作的操作模式，指出了风险评估的实施过程阶段，简要阐述了信息安全风险评估的主要分析方法。

　　1风险评估概述

近些年，信息安全事故时有发生，如何预防信息风险、避免信息风险成为了一个广泛讨论的话题，不少企业团体、商业机构、政府组织都请了专业公司进行了风险评估。

　　1.1什么是风险评估

织机构目标的实现和完成也越来越依赖于信息的机密性、完整性以及可用性。能够引起信息“三性”损失或损害的任何事件发生的可能性我们称之为风险。由于风险是潜在的、可能发生的损失或损害，所以对风险的起因、数量、危害性等做出评定，然后制定相应的缓解措施是非常必要的。那么，风险评估就是确定与组织机构目标及关键资产相关联的风险，并对风险的大小进行识别的过程。

　　1.2信息安全风险评估发展概要

在国际上，美国一直主导信息技术和信息安全的发展，信息安全风险评估在美国的发展实际上也代表了风险评估的国际发展，风险评估已经成为一种通用的方法学和基础理论，应用到了广泛的信息安全实践工作之中，风险评估的发展主要分为三个阶段:以计算机为对象的信息保密阶段;以计算机和网络为对象的信息系统安全保护阶段;以信息系统为对象的信息保障阶段。

　　2信息安全风险评估操作模式

风险评估是一个复杂的综合过程，主要分为评估目标、评估范围与内容、评估原则和评估实施阶段。

　　2.1评估目标

风险评估所评估的目标分为安全手段评估和实际安全效果评估两个方面。安全手段包括技术体系、组织体系、管理体系等。安全效果包括了物理安全、网络安全、系统安全、数据安全、内容安全等。

　　2.2评估范围

针对具体的组织机构确定安全评估的范围可以有效帮助评估目标的实现。一般情况下应该从下面三个方面进行评估:组织层次、管理层次以及信息技术层次。具体如下:

1)组织层次:各组织机构的安全重视情况;信息技术机构的安全意识、关键资产理解情况;当前组织策略和执行的缺陷;组织脆弱点等。

2)管理层次:人员安全管理:安全环境管理:软件安全管理;运行安全管理;设备安全管理;介质安全管理;文档安全管理。

　　3)信息技术层次:硬件设备;系统软件;网络结构;数据备份/恢复。

　　2.3风险评估原则

标准性原则:风险评估理论模型的设计和具体实施应该依据国内外相关的标准进行。
规范性原则:风险评估的过程以及过程中涉及到的文档应该具有很好的规范性，以便于项目的跟踪和控制。

可控性原则:在风险评估项目实施过程中，应该按照标准的项目管理方法对人员、组织、项目进行风险控制管理，以保证风险评估在实施过程中的可控性。

整体性原则:从管理(组织)和技术两个角度对系统进行评估，保证评估的全面性。

最小影响原则:评估工作应尽可能小的影响组织机构系统和网络的正常运行。

保密性原则:评估过程应该与组织机构签订相关的保密协议，以承诺对组织机构内部信息的保密。

　　2.4风险评估实施过程

　　2.4.1定义阶段

定义阶段即明确项目范围，清晰界定用户的需求。

　　2.4.2蓝图阶段

双方拟定项目的详细进度计划，建议在计划过程中至少要包含下面几部份内容:问题描述、目标和范围、SWOT分析、工作分解、里程碑和进度计划、双方资源需求、变更控制方法。

　　2.4.3执行阶段

这是最关键的阶段，绝大多数操作都在这一阶段完成，我们可以再将这一阶段细分为四个环节，分别如下:资产评估、威胁评估、弱点评估、风险分析和控制。

　　2.4.4报告阶段

在报告阶段，所有的现场工作和大部份文档工作己经完成，这时的关键任务是:让用户真正理解并且认可我们的工作成绩。

　　2.4.5维护阶段

按照Octave评估方法的观点，用户在完成一次安全评估之后，相当于获取了其当前风险的快照((Snapshot)，同时也就完成了对其信息安全风险基线的设置。之后，组织必须解决或管理评估过程中标识的优先级最高的风险，并按照开发的解决方案进行风险的控制和消除。

　　2.5风险评估管理模式

同的组织机构其业务目标会不同，也就使得关键资产不同，那在作风险评估的时候真正分析的重点就由区别，同时不同的组织机构其组织层次及其运作方式也是由区别的，这也使得针对组织层次的评估分析具有差异性。所以，作为一个通用的风险评估的运营模式，针对客体的这些差异性，必须建立一套科学的项目管理模式，使对整个的评估过程具有可控性。

　　3风险评估常用分析方法

在上面的论述中，阐述了信息风险评估是什么、做什么及其过程，那么风险评估要采用何种方法呢?在风险评估过程中，可以采用多种操作方法，包括基于知识(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析，无论何种方法，共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。
 

3.1基于知识的分析方法

在基线风险评估时，组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。基于知识的分析方法又称作经验方法，它牵涉到对来自类似组织(包括规模、商务目标和市场等)的“最佳惯例”的重用，适合一般性的信息安全组织。

采用基于知识的分析方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。

基于知识的分析方法，最重要的还在于评估信息的采集，信息源包括:1)会议讨论;2)对当前的信息安全策略和相关文档进行复查;3)制作问卷，进行调查;4)对相关人员进行访谈;5)进行实地考察。

　　3.2基于模型的分析方法

2001年1月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了一个名为CORAS的项目，即Platformfor Risk Analysis of Security Critical Systems。该项目的目的是开发一个基于面向对象建模特别是UML技术的风险评估框架，它的评估对象是对安全要求很高的一般性的系统，特别是IT系统的安全。

与传统的定性和定量分析类似，CORAS风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程，但其度量风险的方法则完全不同，所有的分析过程都是基于面向对象的模型来进行的。

CORAS的优点在于:提高了对安全相关特性描述的精确性，改善了分析结果的质量;图形化的建模机制便于沟通，减少了理解上的偏差;加强了不同评估方法互操作的效率。

　　3.3定量分析

进行详细风险分析时，除了可以使用基于知识的评估方法外，最传统的还是定量和定性分析的方法。定量分析方法的思想很明确:对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值，风险评估的整个过程和结果就都可以被量化了。

定量分析试图从数字上对安全风险进行分析评估，对安全风险进行准确的分级，其前提条件是可供参考的数据指标必须是准确的。

　　3.4定性分析

定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素(资产价值，威胁的可能性，弱点被利用的容易度，现有控制措施的效力等)的大小或高低程度定性分级，例如“高”、“中”、“低”三级。

定性分析的操作方法可以多种多样，包括小组讨论、检查列表、问卷、人员访谈、调查等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。与定量分析相比较，定性分析的准确性稍好但也不够十分精确;定性分析没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力;定量分析依赖大量的统计数据，而定性分析没有这方面的要求;定性分析较为主观，定量分析基于客观;此外，定量分析的结果很直观，容易理解，而定性分析的结果则很难有统一的解释。组织可以根据具体的情况来选择定性或定量的分析方法。

　　4小结

在今天高速的信息化环境中，信息的安全性越发显示出其重要性。本文阐述了信息安全风险评估过程中四种基本的风啥分析方法.希望对具体的风险评估能过有所帮助。