風險評估
風險評估 |
中文名 風險評估 外文名 Risk Assessment 應用領域 財經名詞 |
風險評估 是指在風險事件發生之後,對於風險事件給人們的生活、生命、財產等各個方面造成的影響和損失進行量化評估的工作。
目錄
概述
風險評估(Risk Assessment)是指在風險事件發生之後,對於風險事件給人們的生活、生命、財產等各個方面造成的影響和損失進行量化評估的工作。
(1)對風險本身的界定。包括風險發生的可能性;風險強度;風險持續時間;風險發生的區域及關鍵風險點。
(2)對風險作用方式的界定。包括風險對企業的影響是直接的還是間接的;是否會引發其他的相關風險;風險對企業的作用範圍等。
(3)對風險後果的界定。在損失方面:如果風險發生,對企業會造成多大的損失?如果避免或減少風險,企業需要付出多大的代價?在冒風險的利益方面:如果企業冒了風險,可能獲得多大的利益?如果避免或減少風險,企業得到的利益又是多少?
主要任務
風險評估的主要任務包括:
· 識別組織面臨的各種風險
· 評估風險概率和可能帶來的負面影響
· 確定組織承受風險的能力
· 確定風險消減和控制的優先等級
· 推薦風險消減對策
可行途徑
在風險管理的前期準備階段,組織已經根據安全目標確定了自己的安全戰略,其中就包括對風險評估戰略的考慮。所謂風險評估戰略,其實就是進行風險評估的途徑,也就是規定風險評估應該延續的操作過程和方式。
風險評估的操作範圍可以是整個組織,也可以是組織中的某一部門,或者獨立的信息系統、特定系統組件和服務。影響風險評估進展的某些因素,包括評估時間、力度、展開幅度和深度,都應與組織的環境和安全要求相符合。組織應該針對不同的情況來選擇恰當的風險評估途徑。目前,實際工作中經常使用的風險評估途徑包括基線評估、詳細評估和組合評估三種。
基線評估
如果組織的商業運作不是很複雜,並且組織對信息處理和網絡的依賴程度不是很高,或者組織信息系統多採用普遍且標準化的模式,基線風險評估(Baseline Risk Assessment)就可以直接而簡單地實現基本的安全水平,並且滿足組織及其商業環境的所有要求。
採用基線風險評估,組織根據自己的實際情況(所在行業、業務環境與性質等),對信息系統進行安全基線檢查(拿現有的安全措施與安全基線規定的措施進行比較,找出其中的差距),得出基本的安全需求,通過選擇並實施標準的安全措施來消減和控制風險。所謂的安全基線,是在諸多標準規範中規定的一組安全控制措施或者慣例,這些措施和慣例適用於特定環境下的所有系統,可以滿足基本的安全需求,能使系統達到一定的安全防護水平。組織可以根據以下資源來選擇安全基線:
· 國際標準和國家標準,例如BS 7799-1、ISO 13335-4;
· 行業標準或推薦,例如德國聯邦安全局IT 基線保護手冊;
· 來自其他有類似商務目標和規模的組織的慣例。
當然,如果環境和商務目標較為典型,組織也可以自行建立基線。
基線評估的優點是需要的資源少,周期短,操作簡單,對於環境相似且安全需求相當的諸多組織,基線評估顯然是最經濟有效的風險評估途徑。當然,基線評估也有其難以避免的缺點,比如基線水平的高低難以設定,如果過高,可能導致資源浪費和限制過度,如果過低,可能難以達到充分的安全,此外,在管理安全相關的變化方面,基線評估比較困難。
基線評估的目標是建立一套滿足信息安全基本目標的最小的對策集合,它可以在全組織範圍內實行,如果有特殊需要,應該在此基礎上,對特定系統進行更詳細的評估。
詳細評估
詳細風險評估要求對資產進行詳細識別和評價,對可能引起風險的威脅和弱點水平進行評估,根據風險評估的結果來識別和選擇安全措施。這種評估途徑集中體現了風險管理的思想,即識別資產的風險並將風險降低到可接受的水平,以此證明管理者所採用的安全控制措施是恰當的。
詳細評估的優點在於:
1、組織可以通過詳細的風險評估而對信息安全風險有一個精確的認識,並且準確定義出組織目前的安全水平和安全需求;
2、詳細評估的結果可用來管理安全變化。當然,詳細的風險評估可能是非常耗費資源的過程,包括時間、精力和技術,因此,組織應該仔細設定待評估的信息系統範圍,明確商務環境、操作和信息資產的邊界。
組合評估 基線風險評估耗費資源少、周期短、操作簡單,但不夠準確,適合一般環境的評估;詳細風險評估準確而細緻,但耗費資源較多,適合嚴格限定邊界的較小範圍內的評估。基於次實踐當中,組織多是採用二者結合的組合評估方式。
為了決定選擇哪種風險評估途徑,組織首先對所有的系統進行一次初步的高級風險評估,着眼於信息系統的商務價值和可能面臨的風險,識別出組織內具有高風險的或者對其商務運作極為關鍵的信息資產(或系統),這些資產或系統應該劃入詳細風險評估的範圍,而其他系統則可以通過基線風險評估直接選擇安全措施。
這種評估途徑將基線和詳細風險評估的優勢結合起來,既節省了評估所耗費的資源,又能確保獲得一個全面系統的評估結果,而且,組織的資源和資金能夠應用到最能發揮作用的地方,具有高風險的信息系統能夠被預先關注。當然,組合評估也有缺點:如果初步的高級風險評估不夠準確,某些本來需要詳細評估的系統也許會被忽略,最終導致結果失准。
常用方法
在風險評估過程中,可以採用多種操作方法,包括基於知識(Knowledge-based)的分析方法、基於模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,無論何種方法,共同的目標都是找出組織信息資產面臨的風險及其影響,以及目前安全水平與組織安全需求之間的差距。
一、基於知識的分析方法
在基線風險評估時,組織可以採用基於知識的分析方法來找出目前的安全狀況和基線安全標準之間的差距。
基於知識的分析方法又稱作經驗方法,它牽涉到對來自類似組織(包括規模、商務目標和市場等)的「最佳慣例」的重用,適合一般性的信息安全社團。採用基於知識的分析方法,組織不需要付出很多精力、時間和資源,只要通過多種途徑採集相關信息,識別組織的風險所在和當前的安全措施,與特定的標準或最佳慣例進行比較,從中找出不符合的地方,並按照標準或最佳慣例的推薦選擇安全措施,最終達到消減和控制風險的目的。
基於知識的分析方法,最重要的還在於評估信息的採集,信息源包括:
1.會議討論;
2.對當前的信息安全策略和相關文檔進行複查;
3.製作問卷,進行調查;
4.對相關人員進行訪談;
5.進行實地考察。
為了簡化評估工作,組織可以採用一些輔助性的自動化工具,這些工具可以幫助組織擬訂符合特定標準要求的問卷,然後對解答結果進行綜合分析,在與特定標準比較之後給出最終的推薦報告。市場上可選的此類工具有多種,Cobra 就是典型的一種。
二、基於模型的分析方法
2001 年1 月,由希臘、德國、英國、挪威等國的多家商業公司和研究機構共同組織開發了一個名為CORAS 的項目,即Platform for Risk Analysis of Security Critical Systems。該項目的目的是開發一個基於面向對象建模特別是UML 技術的風險評估框架,它的評估對象是對安全要求很高的一般性的系統,特別是IT 系統的安全。CORAS 考慮到技術、人員以及所有與組織安全相關的方面,通過CORAS 風險評估,組織可以定義、獲取並維護IT 系統的保密性、完整性、可用性、抗抵賴性、可追溯性、真實性和可靠性。
與傳統的定性和定量分析類似,CORAS 風險評估沿用了識別風險、分析風險、評價並處理風險這樣的過程,但其度量風險的方法則完全不同,所有的分析過程都是基於面向對象的模型來進行的。CORAS 的優點在於:提高了對安全相關特性描述的精確性,改善了分析結果的質量;圖形化的建模機制便於溝通,減少了理解上的偏差;加強了不同評估方法互操作的效率;等等。
三、定量分析
進行詳細風險分析時,除了可以使用基於知識的評估方法外,最傳統的還是定量和定性分析的方法。
定量分析方法的思想很明確:對構成風險的各個要素和潛在損失的水平賦予數值或貨幣金額,當度量風險的所有要素(資產價值、威脅頻率、弱點利用程度、安全措施的效率和成本等)都被賦值,風險評估的整個過程和結果就都可以被量化了。
簡單說,定量分析就是試圖從數字上對安全風險進行分析評估的一種方法。定量風險分析中有幾個重要的概念:
暴露因子(Exposure Factor,EF)—— 特定威脅對特定資產造成損失的百分比,或者說損失的程度。
單一損失期望(Single Loss Expectancy,SLE)—— 或者稱作SOC(Single OccuranceCosts),即特定威脅可能造成的潛在損失總量。
年度發生率(Annualized Rate of Occurrence,ARO)—— 即威脅在一年內估計會發生的頻率。
年度損失期望(Annualized Loss Expectancy,ALE)—— 或者稱作EAC(EstimatedAnnual Cost),表示特定資產在一年內遭受損失的預期值。
考察定量分析的過程,從中就能看到這幾個概念之間的關係:
(1) 首先,識別資產並為資產賦值;
(2) 通過威脅和弱點評估,評價特定威脅作用於特定資產所造成的影響,即EF(取值在0%~100%之間);
(3) 計算特定威脅發生的頻率,即ARO;
(4) 計算資產的SLE:
SLE = Asset Value × EF
(5) 計算資產的ALE:
ALE = SLE × ARO
這裡舉個例子:假定某公司投資500,000 美元建了一個網絡運營中心,其最大的威脅是火災,一旦火災發生,網絡運營中心的估計損失程度是45%。根據消防部門推斷,該網絡運營中心所在的地區每5 年會發生一次火災,於是我們得出了ARO 為0.20 的結果。基於以上數據,該公司網絡運營中心的ALE 將是45,000 美元。
我們可以看到,對定量分析來說,有兩個指標是最為關鍵的,一個是事件發生的可能性(可以用ARO 表示),另一個就是威脅事件可能引起的損失(用EF 來表示)。
理論上講,通過定量分析可以對安全風險進行準確的分級,但這有個前提,那就是可供參考的數據指標是準確的,可事實上,在信息系統日益複雜多變的今天,定量分析所依據的數據的可靠性是很難保證的,再加上數據統計缺乏長期性,計算過程又極易出錯,這就給分析的細化帶來了很大困難,所以,目前的信息安全風險分析,採用定量分析或者純定量分析方法的已經比較少了。
四、定性分析
定性分析方法是目前採用最為廣泛的一種方法,它帶有很強的主觀性,往往需要憑藉分析者的經驗和直覺,或者業界的標準和慣例,為風險管理諸要素(資產價值,威脅的可能性,弱點被利用的容易度,現有控制措施的效力等)的大小或高低程度定性分級,例如「高」、「中」、「低」三級。
定性分析的操作方法可以多種多樣,包括小組討論(例如Delphi 方法)、檢查列表(Checklist)、問卷(Questionnaire)、人員訪談(Interview)、調查(Survey)等。定性分析操作起來相對容易,但也可能因為操作者經驗和直覺的偏差而使分析結果失准。與定量分析相比較,定性分析的準確性稍好但精確性不夠,定量分析則相反;定性分析沒有定量分析那樣繁多的計算負擔,但卻要求分析者具備一定的經驗和能力;定量分析依賴大量的統計數據,而定性分析沒有這方面的要求;定性分析較為主觀,定量分析基於客觀;此外,定量分析的結果很直觀,容易理解,而定性分析的結果則很難有統一的解釋。組織可以根據具體的情況來選擇定性或定量的分析方法。
注意事項
在風險評估過程中,有幾個關鍵的問題需要考慮。
首先,要確定保護的對象(或者資產)是什麼?它的直接和間接價值如何?
其次,資產面臨哪些潛在威脅?導致威脅的問題所在?威脅發生的可能性有多大?
第三,資產中存在哪裡弱點可能會被威脅所利用?利用的容易程度又如何?
第四,一旦威脅事件發生,組織會遭受怎樣的損失或者面臨怎樣的負面影響?
最後,組織應該採取怎樣的安全措施才能將風險帶來的損失降低到最低程度?
解決以上問題的過程,就是風險評估的過程。
進行風險評估時,有幾個對應關係必須考慮:
· 每項資產可能面臨多種威脅
· 威脅源(威脅代理)可能不止一個
· 每種威脅可能利用一個或多個弱點
什麼是信息安全
信息安全主要包括以下五方面的內容,即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。信息安全本身包括的範圍很大,其中包括如何防範商業企業機密泄露、防範青少年對不良信息的瀏覽、個人信息的泄露等。網絡環境下的信息安全體系是保證信息安全的關鍵,包括計算機安全操作系統、各種安全協議、安全機制(數字簽名、消息認證、數據加密等),直至安全系統,如UniNAC、DLP等,只要存在安全漏洞便可以威脅全局安全。信息安全是指信息系統(包括硬件、軟件、數據、人、物理環境及其基礎設施)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷,最終實現業務連續性。
信息安全學科可分為狹義安全與廣義安全兩個層次,狹義的安全是建立在以密碼論為基礎的計算機安全領域,早期中國信息安全專業通常以此為基準,輔以計算機技術、通信網絡技術與編程等方面的內容;廣義的信息安全是一門綜合性學科,從傳統的計算機安全到信息安全,不但是名稱的變更也是對安全發展的延伸,安全不再是單純的技術問題,而是將管理、技術、法律等問題相結合的產物。本專業培養能夠從事計算機、通信、電子商務、電子政務、電子金融等領域的信息安全高級專門人才。
信息安全面臨的主要威脅來源有環境因素和人為因素,而威脅最大的並不是惡意的外部人員,恰恰是缺乏責任心或專業技能不足的內部人員,由於沒有遵循規章制度和操作流程或不具備崗位技能而導致信息系統故障或被攻擊。[1]
參考來源
- ↑ 什麼是信息安全、等級保護以及風險評估? 搜狐,2020-05-19