一、風險評估的幾個定義
在談風險評估時一般會圍繞脆弱性/薄弱性、威脅、威脅主體、風險、資產、控制措施/防護措施、暴露、安全策略等幾個概念展開，因此本文在論述風險評估之前有必要先了解下其定義和之間的關系，有利于我們理解和實際應用。
以下內容描述過程中，未特指均指的是IT領域的風險評估，但過程和相關定義在公共領域也同樣適用，但范圍會有所不同。
以下所有內容的理解大部分都是參考中文文獻，英文能力太差，但大家有時間還是推薦看看英文原版。
1.脆弱性/薄弱性
在GB/T 20984-2007中的定義：可能被威脅所利用的資產或若干資產的薄弱環節
在NIST SP 800-30中的的定義：能夠被威脅利用而導致安全破壞或違背安全方針的缺陷或薄弱點
CISSP認證考試指南中的定義：脆弱性是缺少防護措施或防護措施存在能夠被利用的缺陷。
關鍵詞：缺陷、弱點。
例如：計算機漏洞就是缺陷，明文傳輸就是弱點。
2.威脅源和威脅
CISSP認證考試指南中的定義：威脅是某人或某物有意或無意的利用某些脆弱性并導致資產損失的可能性

在GB/T 20984-2007中的定義：威脅是可能導致對系統或組織維護的不希望事故潛在的起因。

在NIST SP 800-30中的的定義：是特定威脅源成功利用特定薄弱點的潛在可能。
威脅源：是指任何能給對系統造成潛在影響的環境或者事件。通?？梢詫⑼{源分類為自然的、人為的、環境的。
舉個例子：


總結起來，其實威脅是一個動作，就是你做什么，影響了什么，這就是威脅。而誰來發起威脅呢？就是威脅源，也就是發起者。向誰發起呢？就是脆弱點。
舉個例子：

圖中，由于離職員工賬號沒有被及時清除（弱點），離職員工（威脅源）訪問公司私有數據（威脅），導致公司商業秘密泄露（風險）。
3.風險
CISSP認證考試指南中的定義：風險是威脅主體利用脆弱性對資產造成傷害的可能性以及導致的業務影響。
在NIST SP 800-30中的的定義：風險是指已被識別的威脅源利用特定的潛在弱點/缺陷導致不利事件的概率及其影響的函數。
其實從字面上大家都能力理解，概念比較晦澀，筆者理解為風險由概率和影響兩個維度組成。例如離職員工利用原單位未及時刪除賬號的弱點，盜取原有公司的商業信息導致公司損失這是不利事件，而到底能不能發生，這就是可能性/概率。若企業網絡網絡不在互聯網上運行，離職員工必須突破企業的物理安全防線后才能進入，這個風險就可以忽略。而這個事件一旦發生會帶來什么后果呢？這就是影響。
注意一般風險分已知和未知風險，所以在800-30里面加”特定“
4.風險評估
風險評估是對信息系統及其由處理、傳輸和存儲的信息的保密性/機密性、完整性、可用性等安全屬性進行評價的過程，它要評價資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所設計的資產價值來判斷安全事件一旦發生對組織造成的影響。
殘余風險是采取安全控制措施后，信息系統仍然可能存在的風險。
安全事件是系統、服務或網絡的一種可識別狀態的發生，它可能是對信息安全策略違反或防護措施的失效，或未預知的不安全狀況。
安全措施保護資產、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪實施的各種實踐、規程和機制。
5.一張圖總結上面幾者之間的關系


威脅主體利用脆弱性發起威脅，威脅帶來風險，風險產生帶來對資產的破壞，引起了影響（暴露），通過防護措施降低/規避風險。
來自GB/T 20984-2007的風險評估要素關系圖



二、國內外風險評估框架參考
1.關注IT領域
1） NISTSP 800-30
NIST SP 800-30 IT系統風險管理指南
NIST SP 800-26 IT系統安全自評估指南
NIST SP 800-53 聯邦IT系統推薦的安全控制
幾個標準的關系：26是其企業自評估指南，是實施指南，30偏框架類，53是技術控制，推薦的應該怎么做。實際上三者相互關聯，26作為30的輸入，30作為53的輸入。
這里延伸一些知識概念，在CISSP中提到企業應該有各種委員會，包括：安全策略委員會，對應53，風險評估委員會對應30 ，審計委員會對應26 。
由于審計委員會暴露出風險，而審計報告的質量由安全督導委員會審查。評審的內容提交給風險評估委員會，風險評估委員會評估后提交安全策略委員會。這過程中都由安全監督委員會跟進。
2）ISO/IEC 27001：2013
先說下ISO/IEC 27001：2013，就是我們常說的27000認證，標準的前身為BS 7799，設計出來主要用于企業認證，幫助企業建立和維護ISMS。
該標準要求組織通過業務風險評估的方法來建立、實施、運行、監視、評審、保持和改進其ISMS，確保其資產的保密性、可用性和完整性。
其中27001是信息安全管理體系要求，27005是信息安全風險管理。
• ISO/IEC 27000 概述和詞匯
• ISO/IEC 27001 ISMS 要求
• ISO/IEC 27002 信息安全管理實踐代碼
• ISO/IEC 27003 信息安全管理體系實施指南
• ISO/IEC 27004 信息安全管理衡量指南與指標框架
• ISO/IEC 27005 信息安全風險管理指南
• ISO/IEC 27006 認證機構要求
• ISO/IEC 27007 ISMS 審計
• ISO/IEC 27008 審計師指南
• ISO/IEC 27011 通信組織信息安全管理指南
• ISO/IEC 27014 信息安全治理指南
• ISO/IEC 27015 金融行業信息安全管理指南
• ISO/IEC 27031 業務連續性
• ISO/IEC 27032 網絡空間安全指南
• ISO/IEC 27033 網絡安全指南
• ISO/IEC 27034 應用安全指南
• ISO/IEC 27035 安全事件管理指南
• ISO/IEC 27037 數字證據收集和保存指南
• ISO/IEC 27799 醫療機構信息安全管理指南
• ISO/IEC 13335 信息安全風險管理指南
3）國內標準
GB/T 20984-2007 信息安全技術 信息安全風險評估指南
GB/T 31509-2015 信息安全技術 信息安全風險評估實施指南

三、風險評估過程

風險評估目標：評估的過程是識別脆弱性和威脅、計算風險值，評估可能造成的損失，達成的目標是確保安全防護措施是劃算的、相關的、及時的并能響應特定的威脅。

評估要先收集數據，然后再對收集的數據進行研究，確定應該采取什么行動。

1.制定方案
此階段也稱為準備階段主要包括：

確定風險評估的目標、范圍；
組建合適的團隊；
確定評估的依據和方法；
制定方案；
獲得最高管理者對工作的支持。

2.風險識別
在大部分標準和文獻中將資產識別/系統調研放在了第一部分。作為風險識別的開始，作為后續其他“識別”的基礎，筆者更傾向于放在此部分。
在風險識別部分，更多的是識別各種信息，為后續分析做準備，所謂知己知彼百戰百勝。
1）資產識別/系統調研

業務戰略及管理制度；
主要的業務功能和要求；
網絡結構與網絡環境，包括內部連接和外部連接；
系統邊界；
主要軟硬件；
數據和信息；
系統和數據的敏感性；
支持和使用系統的人員。

系統調研：調查表、現場調查、文件評審、使用工具進行掃描
建立資產清單，根據業務流程來識別信息資產
信息資產存在的形式

電子數據：數據庫和數據文件、用戶手冊等
書面合同：合同，策略方針，歸檔文件，重要商業結果
軟件資產：應用軟件、系統軟件、開發工具、軟件程序
實物資產：磁介質、電源和空調、網絡基礎設施、服務器等
人員：承擔特定只能和責任的人員或角色
服務：計算和通信服務、外包服務，其他技術性服務
組織形象與聲譽：無形資產

2）脆弱性識別
脆弱性是資產本身存在的，如果沒有被利用，單純的脆弱性不會對資產造成損害。
在這里識別脆弱性，是針對所確定的范圍、環境和識別的資產進行脆弱性識別。這個在制定方案階段確定。
此步驟最終形成脆弱性清單。
應該記錄可能存在的弱點以及判斷弱點的方法。
弱點分析的來源有哪些呢？

以往的風險分析報告
IT的審計報告
供應商信息（發布的漏洞、補丁程序、服務公告、產品信息等）
互聯網及其他機構的服務信息
系統軟件的安全分析

怎么確定弱點呢？

自動的脆弱性掃描；
安全測試與評估；
滲透測試。

總結：
識別出每個資產可能被利用的弱點：技術性弱點、操作弱點、管理型弱點
識別途徑：審計報告、實踐報告、安全檢查報告、系統測試和評估報告。自動化漏洞掃描工具和滲透測試

3）威脅和威脅源識別
一項資產可能面臨多個威脅，一個威脅也可能對多個資產造成影響。
威脅是特定威脅源成功利用特定薄弱點的潛在可能。
威脅源是指任何能夠對系統造成影響的環境或事件。
威脅三要素：存在的漏洞、可行的攻擊、有能力的威脅

威脅源種類

人員威脅；
系統威脅；
環境威脅；
自然威脅。

威脅源一定會有動機，才會生產威脅活動。
評估威脅可能性是要考慮威脅源的動機和能力因素。



威脅源的確定需要和企業自身及其所處的環境而確定。
威脅示例：



4）已有的安全措施
在進行以上信息識別的同時，也需要對已采取的措施進行識別，采取了哪些措施，措施是否生效。
從針對性和實施方式來看：

管理性安全策略、風險管理程序
技術性包括操作性和技術性措施；邏輯訪問控制、日志審計、加密、身份識別、物理和環境安全策略等
物理：基礎環境控制，視頻監控、CCTV等

從作用上看

威懾性(Deterrent)：防止威脅的發生
預防性(preventive)：保護系統
檢測性(Detective)：發現安全事件
糾正性(corrective)：減小造成的影響

至此，風險識別的過程算完成了。
3.風險分析
此階段的方法包括定性和定量分析，一般兩者結合使用。



1）定性分析
定性分析主要來源于主觀判斷、最佳實踐、直覺和經驗
收集數據的技術：Delphi、集體討論、情節串聯、焦點群體、調查、問卷、檢查表、單獨訪談、采訪
a)資產賦值
評價信息資產

受損后造成的直接損失；
資產恢復需要的代價，包括檢測、控制、修復的人力和物理；
組織公眾形象和名譽損失，競爭優勢損失；
其他損失，如保險費用的增加。

根據重要性（影響或后果）來劃分資產等級，同時考慮保密性、完整性和可用性的受損可能引發的后果

參考GB/T 20984-2007,對資產進行保密性、完整性和可用性三個方面進行賦值了

機密性/保密性

完整性

可用性



對于資產重要等級確定，GB/T 20984-2007是這么說的：評定方法可根據企業自身的特點，選擇資產機密性、完整性和可用性最為重要的一個賦值等級作為資產的的最終賦值結果；也可以根據資產的機密性、完整性、可用性的不同等級及其賦值進行加權賦值（每個值設置比重）到資產的最終賦值結果。加權方法可根據企業的特點確定。

b)脆弱性賦值
參考GB/T 20984-2007中的定義，可根據資產的損害程度（若弱點行為直接導致企業無法生產，例如工控安全事件）、技術實現難易程度（攻擊者也是先易后難）、弱點的流行程度（越流行越容易被攻擊）等，對弱點的嚴重程度賦值。具體脆弱性的描述等等詳見上一章節。


c)威脅賦值
參考GB/T 20984-2007中的定義，威脅出現的頻率是威脅賦值的重要內容，需要參考以往事件的概率、可發現的概率、國內外的統計情況等。

2）風險值計算
參考GB/T 20984-2007中的定義：
在完成了資產識別、威脅識別、脆弱性識別，以及對已有安全措施確認后，將采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性。綜合安全事件所作用的資產價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險。以下面的范式形式化加以說明：
風險值=R（A， T， V） = R(L(T， V)， F(Ia， Va ))
其中， R 表示安全風險計算函數； A 表示資產； T 表示威脅； V 表示脆弱性； Ia 表示安全事件所作用的資產價值； Va 表示脆弱性嚴重程度； L 表示威脅利用資產的脆弱性導致安全事件發生的可能性； F表示安全事件發生后產生的損失。
在解釋各值的定義前，再把前面的內容用一張圖來進行下總結：

a） 計算安全事件發生的可能性
根據威脅出現頻率及弱點的狀況，計算威脅利用脆弱性導致安全事件發生的可能性，即：安全事件發生的可能性=L(威脅出現頻率，脆弱性)＝ L(T， V )
在具體評估中，應綜合攻擊者技術能力（專業技術程度、攻擊設備等）、脆弱性被利用的難易程度（可訪問時間、 設計和操作知識公開程度等）、資產吸引力等因素來判斷安全事件發生的可能性。
b） 計算安全事件發生后的損失
根據資產價值及脆弱性嚴重程度，計算安全事件一旦發生后的損失，即：安全事件的損失=F(資產價值，脆弱性嚴重程度)＝ F(Ia， Va )
部分安全事件的發生造成的損失不僅僅是針對該資產本身，還可能影響業務的連續性；不同安全事件的發生對組織造成的影響也是不一樣的。在計算某個安全事件的損失時，應將對組織的影響也考慮在內。
部分安全事件損失的判斷還應參照安全事件發生可能性的結果，對發生可能性極小的安全事件（ 如處于非地震帶的地震威脅、在采取完備供電措施狀況下的電力故障威脅等） 可以不計算其損失。
c） 計算風險值
根據計算出的安全事件發生的可能性以及安全事件的損失，計算風險值，即：風險值=R(安全事件發生的可能性，安全事件造成的損失)＝ R(L(T， V)， F(Ia， Va ))
評估者可根據自身情況選擇相應的風險計算方法計算風險值，如矩陣法或相乘法。矩陣法通過構造一個二維矩陣，形成安全事件發生的可能性與安全事件的損失之間的二維關系；相乘法通過構造經驗函數，將安全事件發生的可能性與安全事件的損失進行運算得到風險值。
具體風險值的賦值方法在GB/T 20984-2007給出了詳細方法在此就不做過多介紹。
總之，計算的風險值，根據風險計算的方法會給出個區間，每個區間會給出是否處于哪個等級。

3）定量風險分析
細心的人會發現，為什么這里才說定量分析分析呢？
在項目管理中，定量風險分析是對已經識別的風險在定性風險分析后被確定為對項目的競爭性存在潛在重大影響的風險進行的分析。實施定量風險分析過程就是分析這些風險對項目目標的影響，主要用來評估所有風險對項目的總體影響。在進行定量分析時，也可以對單個風險分配優先級數值。
本過程的主要作用是為決策者提供更加直觀的決策依據，關系到資金的投入，投入的防護手段所需要花費的資金是否小于產生風險對資產帶來的損失等。
提供成本/收益比，幫助企業將安全計劃目標整合到企業的業務目標和需求中。
評估用來收集數據，分析對收集的數據進行研究，確定應該采取什么行動

筆者的理解，其實我們大部分單位做完定性風險分析后就已經形成風險分析報告，而具體針對風險的問題也給出解決方案，但這些問題要不要解決，是否有價值，產出比是否合理，一般都是在安全委員會上提交而定的，也姑且可以認為實際我們在在做完分析后，提交領導決策，這個過程潛移默化的就會涉及到定量的數據。領導最關心的是這事不做會帶來多大損失，做要花多大代價，然后做出判斷。

因此定性和定量是相輔相成。先定性，然后根據定性的結果，將分析結果再縮小，比如定性確定了高、中、低風險，接下來針對高風險，再做定量分析。

定量風險分析涉及的幾個定義：

暴露因子：某種特殊資產被已發生的風險損壞所造成損失的百分比。
SLE：單一損失預期，為某個事件賦予的貨幣價值。
SLE=資產價值*暴露因子
ARO（年發生比率）：一年時間內發生特定威脅的預計頻率
ALE：年度損失預期：SLE*年發生比率=ALE
ARO：年發生比率..一年時間內發生特定威脅的預計頻率

使用場景：計算結果是一個貨幣數值。如果每年投入的高于損失所產生的貨幣值就沒有價值了，可用于有形資產
為什么不能實現真正的定量風險分析：定量的措施必須施加定性要素
4）分析結果
賦予資產的貨幣價值
所有可能威脅和重要威脅的綜合列表
每種威脅的發生概率
12個月時間內公司在每種威脅下能夠承受的潛在損失
建議的防護措施、對策和行動
意義：幫助將安全計劃目標整合到公司的業務目標和需求中。為安全計劃及構成安全技術的組件制訂合理的預算

在這個階段風險識別及其賦值與IT系統生命周期所處的階段有關。
筆者在這個過程中遇到好多企業新建系統不知道怎么做風險識別，當然目前我也是處于懂和不懂的過度期（汗顏），以下來自GB/T 20984-2007中，一起共勉

對于處于規劃階段：主要關注組織的安全方針和策略。在此階段資產、脆弱性不需要識別，威脅根據未來系統的應用對象、應用環境、業務狀況、操作要求等方面進行分析。
對于處于設計階段：需要根據規劃階段的運行環境、資產的重要，提出安全功能需求。風險分析結果應對方案中所提供的安全功能符合性進行判斷。也就是說主要對方案的可行性進行風險分析。
對于處于實施階段：根據系統的安全需求和運行環境對系統開發、實施過程進行風險分析，并對建成后的系統進行安全功能驗證
對于運維階段：了解和控制運行過程中的安全風險，一般我們大部分都是針對運行階段的風險評估。
對于廢止階段：對處置及影響進行評估。
4.風險應對
對不可接受的風險應根據導致該風險的脆弱性制定風險處理計劃。風險處理計劃中明確應采取的彌補弱點的安全措施、預期效果、實施條件、進度安排、責任部門等。安全措施的選擇應從管理與技術兩個方面考慮。安全措施的選擇與實施應參照信息安全的相關標準進行。
1）風險處置方法

緩解/減低/削弱風險(Mitigate/Reduce Risk)

例子：
減少威脅：實施惡意代碼控制措施
減少弱點：通過安全意識培訓，強化安全操作能力
降低影響：災難恢復計劃和業務連續性計劃，做好備份

規避風險(Avoid/Reject Risk)

轉移風險(Transfer Risk)：（外包/買保險）

接受風險(Accept Risk)

2）風險控制措施選擇對策

基本原則：實施安全措施的代價不應該大于所要保護資產的價值

對策成本：購買費用，對業務效率的影響，額外人力物力，培訓費用，維護成本費用等

控制價值=實施控制之前的ALE-實施控制后的ALE-控制的年成本

約束條件：時間約束，技術約束，環境約束，法律約束，社會約束

3）評價殘留風險

實施安全控制后殘留或殘存的風險

殘留風險Rr=原有風險R0-控制效力R

殘留風險<=可接受的風險Rt

5.風險監控

風險監控實際是作為風險管理的一個過程，不作為風險評估的一個過程。風險監控一方面監控已有的風險是否被規避或者升級，另一方面要監控系統否有新的風險產生。以上問題都會再次生產風險的再評估。
因此風險管理是動態的、周期性的。
6.其他
在CISSP中提到了幾個風險評估的方法，沒有去看，以下先進行如下羅列吧
OCTAVE ：是團隊型的、通過研討會而管理風險的方法，通常用于商業部門
FRAP ：便利的風險分析過程，只對最需要的風險進行評估，過程中不計算風險被利用的概率和年度預期損失
FMEA 失效模式和影響分析 ：用于產品開發和運營環境中，標識出最容易出現故障的環節。一種確定功能、標識功能失效以及通過結構化過程評估失效原因和失效影響的方法


四、幾個相關知識
風險管理是作為為ISMS(信息系統管理）的輸入，需要高級管理層的承諾和一個文檔化的過程

風險管理框架（RMF）
ISO 31000:2009
ISACA IT風險
COSO 企業風險管理：自上而下的方式
NIST RMF SP 800-37 r1

安全控制的選擇：可能引發風險再評估（安全控制系統/設備本身帶來風險）

特別聲明：
1.以上所有描述內容部分參考鏈接/文獻未逐一列出，若有侵權，請及時告知，有則改之無則加勉。
2.以上僅是學習過程的總結，相信有很多理解偏差的地方，特別希望指出，給予幫助，更新知識體系，共同進步。

參考文獻：

https://wenku.baidu.com/view/b957a4dc5dbfc77da26925c52cc58bd631869384.html?from=search

https://www.docin.com/p-734773530.html

https://blog.csdn.net/sunmoon1210/article/details/82955955

https://www.nist.gov/news-events/news/2012/09/new-nist-publication-provides-guidance-computer-security-risk-assessments

GB/T 20984-2007 信息安全技術 信息安全風險評估指南

CISSP 認證考試指南（第7版）

<wiz_tmp_tag id="wiz-table-range-border" contenteditable="false">

來自為知筆記(Wiz)

總結

以上是生活随笔為你收集整理的安全与风险管理之IT风险评估的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。