信息安全风险评估的作用和目的

 行业动态     |      2020-01-23 11:52

  依据国家信息安全标准《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)的定义,信息安全风险评估是“对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。”

一、定义
信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。
风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
二、风险评估对企业的重要性
企业对信息系统依赖性不断增强,而且存在无处不在的安全威胁和风险,从组织自身业务的需要和法律法规的要求的角度考虑,更加需要增强对信息风险的管理。风险评估是风险管理的基础,风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动,使得组织能够准确“定位”风险管理的策略、实践和工具。从而将安全活动的重点放在重要的问题上,选择成本效益合理的、适用的安全对策。
风险评估可以明确信息系统的安全现状,确定信息系统的主要安全风险,是信息系统安全技术体系与管理体系建设的基础。
三、风险评估的个步骤:
步骤1:描述系统特征
步骤2:识别威胁(威胁评估)
步骤3:识别脆弱性(脆弱性评估)
步骤4:分析安全控制
步骤5:确定可能性
步骤6:分析影响
步骤7:确定风险
步骤8:对安全控制提出建议
步骤9:记录评估结果
四、风险评估的作用
任何系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险,综合平衡风险和代价的过程就是风险评估。风险评估不是某个系统(包括信息系统)所特有的。在日常生活和工作中,风险评估也是随处可见,为了分析确定系统风险及风险大小,进而决定采取什么措施去减少、避免风险,把残余风险控制在可以容忍的范围内。人们经常会提出这样一些问题:什么地方、什么时间可能出问题?出问题的可能性有多大?这些问题的后果是什么?应该采取什么样的措施加以避免和弥补?并总是试图找出最合理的答案。这一过程实际上就是风险评估。

  信息安全风险评估的主要任务是评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合资产价值来判断安全事件一旦发生对组织造成的影响,进而为应如何进一步强化安全控制措施提供依据及建议。

  这里我们提到了4个概念:资产、威胁、脆弱性和安全控制措施,下面我们就简单介绍一下这些概念的含义——

  1)资产:信息安全风险评估中所说的资产是任何对组织(如公司、政府机构等各类组织机构)有价值的信息资源,可以包括电子文档、纸质文档材料、软件、硬件、人员、服务性资产等。里面还有“人员”?对,人员也是信息安全风险评估的对象。

  2)威胁:信息安全风险评估中的威胁概念指可能对资产或组织造成损害的潜在原因及活动,包括黑客入侵和攻击、病毒木马等各类恶意程序、软硬件故障、人为误操作、自然灾害(如地震、火灾、爆炸等)、盗窃、网络监听、供电故障、未授权访问等,如下图所示。

  3)脆弱性:可能被威胁利用对资产造成损害的薄弱环节。可以包括系统漏洞、软件Bug、专业人员缺乏、不良操作习惯、不合理的安全配置、不安全的物理环境、缺少审计、缺乏安全意识、软件后门等。

  4)安全控制措施:是指组织所采取的降低安全风险的惯例,程序或机制。包括现有的安全控制措施、计划采取的安全控制措施。

  在解释了信息安全风险评估所涉及的基本概念,就要讲讲如何信息安全风险评估是如何开展的。下面这张图表述了风险评估的基本流程。

  1)资产识别:首先是依据业务流程列出信息资产清单,包括:数据与文档、书面文件、软件、硬件、人员、服务等;然后对资产重要性进行量化,量化时应考虑的角度包括:资产损失可能对业务活动造成的影响、将信息资产恢复到正常状态所付出的代价、在公众形象和名誉上的损失、资产采购价值、对保密性/完整性/可用性的影响等多个方面。具体量化的的数值可以是1~5,也可以是1~100等,具体依赖于后面要讲到的风险计算方法。

  2)威胁识别:是指对组织需要保护的每一项信息资产面临的威胁进行分析,应具体考虑每一项特定资产所处的环境条件以及以前遭受威胁损害的情况,应该指出的是,一项资产可能会有多个威胁。

  3)脆弱性识别:是指全面评估信息资产由于由于缺乏充分的安全控制,自身存在的可能被威胁所利用的薄弱点。脆弱性识别将针对每一项信息资产,找出每一种威胁所能利用的薄弱点(脆弱性)、分析每一个脆弱性被特定威胁所利用的可能性、并分析每一个脆弱性一旦被特定威胁利用,对该资产造成的损失严重程度。

  4)风险计算:即采用一种选定的计算方法对信息资产的风险进行量化计算。风险值的量化计算方法可以由评估者自主选定,国家标准中并没有规定必须采用哪种方法,常见的风险计算方法包括矩阵法和相乘法,简单的讲矩阵法就是根据资产的多个维度的属性在一个2维或多维矩阵中选择对应的风险值,而相乘法就是基于一个特定的函数,以资产的不同属性为变量计算风险值,“相乘”是函数关系的一般化表述,最简单的函数即多个变量的直接代数相乘。

  最后,我们依据风险分析的结果得到各个资产的风险值,根据风险值的高低和种类以及提出合理的安全控制措施,具体包括接受现有风险、基于各种方法转移风险(如商业保险等)、采取措施降低或消除风险(如安全漏洞加固等)。

  但应该指出的是:风险控制措施的选择是一种费用与风险的平衡,即风险要降低的越低,需要投入越高的费用(或资源),信息安全风险不可能完全消除,我们要做的是投入可接受的资源将风险降低到合理的程度。