风险评估定量与定性的分析方法.doc

1、版权所有上海三零卫士信息安全有限公司风险评估定量与定性的分析方法姓名：武怀玉单位：上海三零卫士信息安全有限公司 摘要：本文简要阐述了具体风险评估工作的运营模式和管理模式，指出了风险评估的几个阶段以及如何对一个实施中的风险评估过程进行有效科学的管理。关键字：信息系统 安全 关键资产 风险 风险评估 运营模式 管理模式1 概述 随着信息化程度的日益提高，信息系统对于今天的大多数组织机构来说已经变得不可或缺。织机构目标的实现和完成也越来越依赖于信息的机密性、完整性以及可用性。尽管如此，许多单位或机构仍然没有建立有效的机制或方法来实现信息的上述“三性”，其一表现在根本不清楚应该保护什么，也就是关键信息

2、资产未能确定；其二表现在知道关键信息资产以后没有切实可行的保护机制和方法，而只是简单的从设施的弱点着手制定相应的信息系统保护策略。这样就使得组织机构的运作需求和信息技术的需求之间产生鸿沟。另外，组织内部的IT人员往往并不是特别的关心组织机构的目标和商业需求，所以他们也就不清楚应该充分保护哪些重要的信息资源，在这种情况下，组织机构的运营单位必须与IT部门或其他部门在外来力量或内部力量的协助下进行有效的沟通，从而使得如何确认机构的关键信息资产以及针对这些关键资产进行何样的有效保护策略。对信息系统而言，凡是能够引起信息“三性”损失或损害的任何事件发生的可能性我们称之为风险。由于风险是潜在的、可能发生

3、的损失或损害，所以对风险的起因、数量、危害性等作出评定，然后制定相应的缓解措施是非常必要的。确定与组织机构目标及关键资产相关联的风险，并对风险的大小进行识别的过程，我们成为风险评估。一套行之有效的风险评估可以帮助确定风险的数量并集合所有的缓解计划以减少对组织机构资产而言最具影响力的那些风险。2 风险评估的运营模式很显然，风险评估是个综合的过程。由于该过程的切入点是机构的经营目标和关键资产，这就使得风险评估的内容不仅仅涉及到信息系统本身，还要有机构的组织系统、管理制度、人员基本素质等等问题。同时，风险评估工作又是一个十分个性化的工作，针对不同的客户就有不同的客户运营目标、运作环境、组织机构等，所

4、以必须构建一个通用的、全面的、系统的、受环境驱动的信息安全风险评估运作模式。为了实现该目标，需要考虑如下问题：评估目标、评估范围、评估原则、评估实施过程以及安全加固实施建议。2.1 评估目标对信息系统而言由于威胁是动态的，风险、安全也是动态的。所以需要明确的是，安全评估不是目的而是一个过程或实施手段，它是信息系统安全工程的一个重要环节。通过安全评估识别出风险大小，在安全评估的基础上制定信息安全策略，采取适当的控制目标与控制方式对风险进行管理，从而达到加强系统安全性，降低系统风险性的目的。在进行任何一次安全评估时都要明确评估目标，在对现有系统做出准确、客观安全评价的同时量化现有系统的风险性，选择

5、适当的安全保护措施以帮助组织机构建立起一个完善的、动态的信息系统安全防护体系，管理与控制风险，使风险被避免、转移或降至一个可被接受的水平。2.2 评估范围针对具体的组织机构确定安全评估的范围可以有效帮助评估目标的实现。一般情况下应该从下面三个方面进行评估：组织层次、管理层次以及信息技术层次。具体如下：(1) 组织层次 各组织机构的安全重视情况； 信息技术机构的安全意识、关键资产理解情况； 当前组织策略和执行的缺陷； 组织脆弱点等。(2) 管理层次 人员安全管理； 安全环境管理； 软件安全管理 运行安全管理 设备安全管理 介质安全管理 文档安全管理(3) 信息技术层次 硬件设备：包括主机、网络设

6、备、线路、电源等； 系统软件：包括操作系统、数据库、应用系统、备份系统等； 网络结构：包括远程接入安全、网络带宽评估、网络监控措施等； 数据备份/恢复：包括主机操作系统、数据库、应用程序等的数据备份/恢复机制；2.3 评估原则 标准性原则：风险评估理论模型的设计和具体实施应该依据国内外相关的标准进行。 规范性原则：风险评估的过程以及过程中涉及到的文档应该具有很好的规范性，以便于项目的跟踪和控制。 可控性原则：在风险评估项目实施过程中，应该按照标准的项目管理方法对人员、组织、项目进行风险控制管理，以保证风险评估在实施过程中的可控性。 整体性原则：从管理（组织）和技术两个角度对系统进行评估，保证评

7、估的全面性。 最小影响原则：评估工作应尽可能小的影响组织机构系统和网络的正常运行。 保密性原则：评估过程应该与组织机构签订相关的保密协议，以承诺对组织机构内部信息的保密。2.4 评估实施过程风险评估共分4个实施阶段（如下图），分别是： (1) 前期准备阶段本阶段的主要工作是明确风险评估的目标、确定项目的范围、具体的成果表现形式以及最终制定的项目计划，同时明确个人职责与任务分工，以及进行项目实施的相关工作。(2) 现场调查阶段本阶段主要进行现场的调查工作，该工作由人员访谈调查和技术调查两部分组成，分别对组织机构的信息系统、安全管理策略、关键资产的安全状况进行收集与整理，形成调查报告，为下一阶段的

8、工作打好基础。(3) 风险分析阶段本阶段的主要工作是根据现场收集的资料，结合专业安全的知识，对被调查组织机构的信息系统所面临的威胁、系统存在的脆弱性、威胁事件对信息系统以及组织的影响进行系统的分析，以最终评估信息系统的风险。 (4) 安全规划阶段本阶段的主要工作是根据第三阶段的成果选择适当的安全策略，并结合组织机构具体的应用特点形成策略体系，为最终的决策提供参考。3 风险评估的管理模式从上述安全风险评估的实施过程可以看出它是一个个性化很强的工作，这主要表现在：不同的组织机构其业务目标会不同，也就使得关键资产不同，那在作风险评估的时候真正分析的重点就由区别，同时不同的组织机构其组织层次及其运作方

9、式也是由区别的，这也使得针对组织层次的评估分析具有差异性。所以，作为一个通用的风险评估的运营模式，针对客体的这些差异性，必须建立一套科学的项目管理模式，使对整个的评估过程具有可控性。我们采用项目小组的运作和控制管理机制实施安全风险评估，项目小组有科学的组织结构，上有领导层、中有项目协调层、下有具体实施成员，如下图：项目领导小组：由双方最高层领导组成，负责对整体项目的领导、协调工作。专家小组：由各方面的高级专家组成，负责重要阶段完成后汇总分析阶段的咨询、建议工作，以及对整体项目进展的建议工作。项目监理人：负责项目的质量管理工作，可以由双方协商组成人员，也可以外聘第三方监理。项目经理：负责具体项目

10、的计划、实施协调和控制工作。阶段负责人：由相关的专业人员担任，负责阶段工作的实施与阶段结束后的汇总分析工作，可以兼职。项目小组成员：由双方人员构成，负责项目的具体调查实施、文档管理、统计分析工作。在项目启动后，项目小组成员与职责以正式文件的方式加以明确。4 小结在今天的商业环境中，网络计算环境是如此的普遍以致所有的信息都被电子储存，合法用户对信息的访问比以往任何时候都要多。但这也使得公司或组织的信息面临着更多的新的风险，从而严重影响着信息的机密性、完整性和可用性。组织或机构急切需要安全风险评估来帮助他们理解的信息风险并针对这些风险创建信息的策略，而风险评估的管理模式和运作模式又决定了风险确定和策略制定的有效性以及准确性。所以本文简单地阐述了风险评估地运作模式和管理模式，希望能对具体的风险评估提供一些帮助。武怀玉 上海三零卫士信息安全有限公司地址：上海浦东张江张衡路200号2号楼4F 邮编：201204电话：021-51313019传真：51313033E-mail:wuhy