網(wǎng)絡安全是信息化持續(xù)發(fā)展的根本保障，網(wǎng)絡安全中的安全風險評估則是網(wǎng)絡安全保障工作的基礎性工作和重要環(huán)節(jié)。本文將從目前應用較成熟的安全風險評估方法出發(fā)，梳理探討其他的可行的風險評估方法，并從資源能力、不確定性、復雜性、能否提供定量結果等方面進行對比，為企業(yè)選擇和優(yōu)化安全風險評估方法提供進一步改進的思路。

　　基于資產(chǎn)的風險評估

　　基于資產(chǎn)的風險評估方法是指在風險分析中，識別信息資產(chǎn)、威脅、脆弱性三要素，在此基礎上，分別對資產(chǎn)、威脅、和脆弱性及其關聯(lián)進行分析和賦值，采用選定的風險評估模型進行計算，由此得出安全事件發(fā)生的可能性和損失，及其對組織的影響（即安全風險值）。

　　理論上講，基于資產(chǎn)的風險評估方法可以對資產(chǎn)進行全面梳理，較全面地識別風險，并可以識別重要資產(chǎn)與風險的關系，對重要資產(chǎn)進行重點保護。在實際應用中，基于資產(chǎn)的風險評估基本要素是資產(chǎn)、威脅和脆弱性，資產(chǎn)清單的識別和賦值準確性很重要，一旦識別出現(xiàn)遺漏或者賦值不準確，則會造成風險結論的遺漏或不正確。

　　根據(jù)以往的實際項目經(jīng)驗總結發(fā)現(xiàn)，企業(yè)在使用基于資產(chǎn)的風險評估方法時，經(jīng)常會遇到如下問題：

　　由于通過人工梳理信息資產(chǎn)工作量較大，而且資產(chǎn)自動化工具的應用尚不完善，導致在組織中維護一份有效的信息資產(chǎn)清單是一個較困難的工作。實際情況中企業(yè)的資產(chǎn)不是固定不變的，基于資產(chǎn)的風險評估方法是在能準確識別資產(chǎn)和變更的基礎上，建立包括信息、硬件、軟件、虛擬機、環(huán)境設施、人員等內(nèi)容的資產(chǎn)清單，動態(tài)記錄資產(chǎn)全生命周期的維護，并應進行定期審查和自動更新。

　　雖然許多企業(yè)在建立IT服務管理體系時，建立了CMDB庫（Configuration Management Database, 配置管理數(shù)據(jù)庫），但這些企業(yè)的CMDB往往不能及時更新，其準確性和及時性并不能完全滿足信息資產(chǎn)的梳理要求；同時IT服務管理中的IT資產(chǎn)的概念與安全管理體系中的信息資產(chǎn)并不完全相同。因此，參考CMDB庫中IT資產(chǎn)清單來建立信息資產(chǎn)清單也有較大的局限性。

　　由于信息資產(chǎn)與業(yè)務關聯(lián)困難，導致信息資產(chǎn)過度保護或保護不當。企業(yè)部分信息資產(chǎn)（如IT基礎設施、安全設備、虛擬機、中間件、各類數(shù)據(jù)等）很難與重要業(yè)務進行充分關聯(lián)。主要原因在于將信息資產(chǎn)與業(yè)務關聯(lián)需要安全人員既要熟悉組織的業(yè)務流程，又要對組織的IT架構、信息系統(tǒng)有著深入的了解。這樣才能確保將業(yè)務與IT基礎設施、安全設備、虛擬機、中間件、數(shù)據(jù)等信息資產(chǎn)進行有效關聯(lián)。如果安全人員在實操中與業(yè)務脫離，會影響資產(chǎn)賦值的準確性，資產(chǎn)賦值的偏差會導致需要保護的重要資產(chǎn)未得到保護，或者不重要資產(chǎn)受到過度保護導致資源浪費。

　　資產(chǎn)與風險相關因素對應困難，導致識別新風險困難。風險相關因素變化（如用戶新業(yè)務不斷發(fā)展，國家法律法規(guī)要求越來越嚴格等）帶來的新安全需求很難直接與資產(chǎn)進行直接對應，無法通過資產(chǎn)發(fā)現(xiàn)新環(huán)境下的新威脅和脆弱性，導致識別無法識別新風險從而失去對新風險的控制等。

　　基于資產(chǎn)的風險評估方法根據(jù)現(xiàn)有理論設計，設計比較簡單，但是在實施過程中，資產(chǎn)威脅脆弱性比較抽象，因此實施分析和賦值相對復雜。

　　其他風險評估方法的探索

　　目前，企業(yè)在開展信息安全風險評估時，大多是通過基于資產(chǎn)的風險評估這一較成熟的方法來應用實施。但是這種方法在實施過程中會遇到資產(chǎn)梳理繁瑣、時間成本高、不易發(fā)現(xiàn)風險相關因素變化帶來的新風險等問題，業(yè)界正在積極嘗試探索新的風險評估方法。我們也對其中較典型的3種方法，進行了探索和研究，并與基于資產(chǎn)的風險評估方法進行了對比分析。

　　1 基于風險目錄的檢查表評估方法

　　基于風險目錄的檢查表評估是指基于一定的網(wǎng)絡安全標準規(guī)范或按照業(yè)內(nèi)普遍認可的安全體系架構，把網(wǎng)絡安全各個層次和領域可以產(chǎn)生的重要安全風險盡可能列出，并結合組織所處行業(yè)或組織內(nèi)部歷史上曾經(jīng)發(fā)生過的網(wǎng)絡安全事件及產(chǎn)生的風險，建立一份網(wǎng)絡安全風險目錄清單?；谶@樣的風險目錄來進行安全檢查表評估，是一種較實用的安全風險評估方法。

　　基于風險目錄的檢查表評估方法需要在專家的指導下建立目錄列表，設計比較復雜，但是在實施階段只需要根據(jù)列表逐條檢查即可，因此執(zhí)行起來較為簡單。

　　優(yōu)點：

　　a）  非專業(yè)人士可以使用，降低工作難度和實施成本；

　　b）  可以將新環(huán)境納入其中以實現(xiàn)擴展性；

　　c）  可以確保常見問題都被考慮到。

　　缺點：

　　a）  限制風險識別過程中對風險的判斷；

　　b）  往往基于已觀察到的情況，論證了“已知的已知因素”，而不是“已知的未知因素”或是“未知的未知因素”，

　　會錯過還沒有被觀察到的問題；

　　c）  使安全人員產(chǎn)生依賴列表的習慣。

　　2 基于場景的信息安全風險評估方法

　　基于場景的風險評估，是通過對現(xiàn)有系統(tǒng)、過程或程序的設計、操作等進行系統(tǒng)性分析（包括組件、環(huán)境、操作步驟、操作人員等），以識別出危險以及可能帶來的危害等。主要包括識別系統(tǒng)的設計意圖、故障模式的原因和后果、操作人員的人為錯誤、系統(tǒng)質(zhì)量的可靠性和安全性等方面。

　　優(yōu)點：

　　a）徹底地分析系統(tǒng)、過程或程序；

　　b）涉及多個專業(yè)團隊，包括有實際操作經(jīng)驗的人員以及那些必須采取行動的人員；

　　c）形成了解決方案和風險應對行動方案；

　　d）對錯誤的原因及結果進行清晰地分析。

　　缺點：

　　a）很耗時，實施成本較高；

　　b）對文件或系統(tǒng)過程以及程序規(guī)范的要求較高；

　　c）注重找到解決方案，而不是質(zhì)疑基本假設，這可以減輕分階段的辦法；

　　d）討論可能會集中在設計細節(jié)上，而不是在更寬泛或外部問題上；

　　e）受制于已有設計草案及設計意圖，以及傳遞給團隊的范圍及目標；

　　f）對設計人員的業(yè)務和安全專業(yè)知識要求很高。

　　3 德爾菲法（專家法）

　　德爾菲法（Delphi）是在一組專家中取得可靠共識的程序。刺激并鼓勵專家暢所欲言，激發(fā)其在風險管理過程及系統(tǒng)生命周期中，發(fā)現(xiàn)潛在的失效模式及相關危險、風險、決策標準及/或處理辦法。德爾菲法是發(fā)現(xiàn)問題的高層次討論，也可以用作更細致的評審或特殊問題的細節(jié)討論。

　　資源與能力

　　優(yōu)點：

　　a）可以激發(fā)專家的想象力，有助于發(fā)現(xiàn)新的風險并找到全新解決方案；

　　b）讓主要的利益相關者參與，有助于進行全面溝通；

　　c）速度較快并易于開展。

　　缺點：

　　a）需要必要的技術及知識，否則無法提出有效的建議；

　　b）相對松散，因此較難保證過程的全面性，不能識別全部的潛在風險；

　　c）在部分項目應用時會存在費力、耗時的情況。

　　因此，組織在選擇安全風險評估方法時，可以根據(jù)自身的實際情況，對以上分析的方法加以選擇與應用。

更多信息可以來這里獲取==>>電子技術應用-AET<<