如何高效地執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估

    信息安全風(fēng)險(xiǎn)評(píng)估工作對(duì)于組織進(jìn)行信息安全風(fēng)險(xiǎn)的有效管理、識(shí)別并修復(fù)安全風(fēng)險(xiǎn)點(diǎn)具有非常重要的意義，同時(shí)也是組織為滿足安全合規(guī)管理的要求之一，如當(dāng)前主流的信息安全管理體系ISMS-27001、PCI-DSS數(shù)據(jù)安全標(biāo)準(zhǔn)等均有明確的風(fēng)險(xiǎn)評(píng)估要求。而在實(shí)際風(fēng)險(xiǎn)評(píng)估工作的執(zhí)行過程中，組織難免會(huì)走入一個(gè)極端：會(huì)因?yàn)楹弦?guī)或監(jiān)管的要求而在極短時(shí)間內(nèi)執(zhí)行完成，因時(shí)間和人力等方面的分配，往往難以有效地發(fā)現(xiàn)和準(zhǔn)確評(píng)價(jià)各種威脅的影響，使得風(fēng)險(xiǎn)評(píng)估流于形式。

　　在執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估的過程中，有些組織會(huì)將風(fēng)險(xiǎn)評(píng)估工作委托給專業(yè)的安全風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)來執(zhí)行。誠(chéng)然專業(yè)評(píng)估機(jī)構(gòu)具有很強(qiáng)的方法論和知識(shí)積累，然而如果對(duì)每一個(gè)客戶都用完全相同的方法和知識(shí)庫，難免會(huì)出現(xiàn)對(duì)某些風(fēng)險(xiǎn)評(píng)價(jià)的偏差甚至缺失。

　　筆者認(rèn)為，信息安全風(fēng)險(xiǎn)評(píng)估是一個(gè)專業(yè)性很強(qiáng)的工作，組織除了依賴于專業(yè)評(píng)估機(jī)構(gòu)的能力以外，組織本身仍然需要明智地進(jìn)行管理和影響，使得組織通過該過程可以真正有效地管理所面臨的風(fēng)險(xiǎn)。

　　在風(fēng)險(xiǎn)評(píng)估的執(zhí)行過程大體可以分為三個(gè)階段，評(píng)估準(zhǔn)備與識(shí)別、風(fēng)險(xiǎn)的評(píng)估與計(jì)算以及風(fēng)險(xiǎn)結(jié)果處置。準(zhǔn)備與識(shí)別階段主要進(jìn)行資產(chǎn)梳理、威脅識(shí)別以及脆弱性識(shí)別等工作;評(píng)估與計(jì)算階段主要基于識(shí)別到的風(fēng)險(xiǎn)要素和措施，進(jìn)行風(fēng)險(xiǎn)的評(píng)價(jià)和計(jì)算;而處置階段剛基于評(píng)估結(jié)果進(jìn)行有效的風(fēng)險(xiǎn)處理，所采取的方法通常包括接受風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)或轉(zhuǎn)移風(fēng)險(xiǎn)等。為便于理解，下圖是GB/T 20984-2007標(biāo)準(zhǔn)中對(duì)風(fēng)險(xiǎn)評(píng)估過程，從整體上對(duì)風(fēng)險(xiǎn)評(píng)估工作所涉及的工作要素進(jìn)行了說明。

　　因篇幅原因，本文不再具體描述和展開評(píng)估流程，而是側(cè)重于風(fēng)險(xiǎn)評(píng)估過程的實(shí)踐經(jīng)驗(yàn)以及對(duì)執(zhí)行方法的一些理解和建議。其中的不足之處，也非常歡迎業(yè)界朋友批評(píng)指正。

 

　　一、組織所面臨風(fēng)險(xiǎn)的定制化

　　在風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備階段， 需要針對(duì)組織當(dāng)前的情況進(jìn)行大量的信息收集，再加上對(duì)信息的分析與整理，這將占用大量的時(shí)間資源。而如果不進(jìn)行梳理，則無法達(dá)到風(fēng)險(xiǎn)評(píng)估的預(yù)期效果。而制定適合組織當(dāng)前狀況的評(píng)估項(xiàng)，相關(guān)的實(shí)踐經(jīng)驗(yàn)如下：

　　1、擴(kuò)展安全威脅信息庫以覆蓋組織面臨的主要風(fēng)險(xiǎn)

　　如基于常見的信息安全風(fēng)險(xiǎn)來開展，難免存在對(duì)于威脅的忽略和偏差。組織可以從以下角度來考慮威脅數(shù)據(jù)庫的構(gòu)建：

　　威脅的種類

　　比如可以從對(duì)組織產(chǎn)生影響的角度，擴(kuò)展組織所適用的威脅庫分類。筆者認(rèn)為威脅庫的積累對(duì)于風(fēng)險(xiǎn)評(píng)估最終的效果將有直接的影響，建議組織在信息安全風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)的選擇過程中充分考慮評(píng)估機(jī)構(gòu)對(duì)于信息安全知識(shí)，尤其是威脅知識(shí)庫的積累。

　　借助于遍布全球的知識(shí)資源，atsec所采用的知識(shí)庫體系可覆蓋到信息安全風(fēng)險(xiǎn)的方方面面，如合規(guī)風(fēng)險(xiǎn)、物理安全、人員安全、安全管理、技術(shù)架構(gòu)、介質(zhì)管理、權(quán)限管理、密碼管理、安全意識(shí)等多個(gè)領(lǐng)域。通過全面的安全風(fēng)險(xiǎn)分析，使得組織可以非常有針對(duì)性地制定當(dāng)前以及未來的信息安全建設(shè)規(guī)劃。

　　威脅的來源

　　組織在確定威脅的過程中，除了考慮自身面臨的風(fēng)險(xiǎn)外，推薦從風(fēng)險(xiǎn)合規(guī)的角度來擴(kuò)展威脅的信息來源。atsec 可以在風(fēng)險(xiǎn)評(píng)估過程中幫助組織梳理并明確組織所處行業(yè)的監(jiān)管要求，指導(dǎo)組織建立或完善統(tǒng)一整合的管理體系，并有效地吸收和融合PCI、ISO/IEC 27001、ISO 9001、ITIL、SAS70 等標(biāo)準(zhǔn)，形成全面且有針對(duì)性的威脅信息庫，使評(píng)估結(jié)果達(dá)到事半功倍的效果。

　　2、高效地進(jìn)行資產(chǎn)的識(shí)別與評(píng)價(jià)

　　對(duì)于組織的信息資產(chǎn)，尤其是數(shù)據(jù)資產(chǎn)，難以進(jìn)行有效地衡量和梳理。然而，風(fēng)險(xiǎn)評(píng)估過程中則需要對(duì)所影響的信息資產(chǎn)的價(jià)值納入到評(píng)價(jià)體系。由此看來如何明智地組織資產(chǎn)的評(píng)價(jià)體系，并對(duì)資產(chǎn)進(jìn)行合理評(píng)價(jià)是一個(gè)具有挑戰(zhàn)性的工作。在該過程中，atsec的執(zhí)行經(jīng)驗(yàn)如下：

　　建立有效的資產(chǎn)層次

　　通常的資產(chǎn)層次可以從物理位置(如XX組織的生產(chǎn)機(jī)房)，到物理概念上的資產(chǎn)(如XX機(jī)房的XX服務(wù)器)，再到操作系統(tǒng)，進(jìn)而到應(yīng)用軟件，最終到其中的數(shù)據(jù)。經(jīng)過多層次的資產(chǎn)劃分后，其好處是使得威脅與資產(chǎn)具有了明確的關(guān)聯(lián)關(guān)系，便于后續(xù)的風(fēng)險(xiǎn)評(píng)價(jià)。

　　有效地使用“資產(chǎn)組”的概念

　　在建立資產(chǎn)層次后，也會(huì)帶來資產(chǎn)類別和梳理過程的工作量的成倍增加。在atsec執(zhí)行風(fēng)險(xiǎn)評(píng)估的過程中，會(huì)充分考慮低層級(jí)資產(chǎn)的梳理難度，更多地從業(yè)務(wù)流程劃分的角度進(jìn)行歸類，在最大程度上使用“資產(chǎn)組”的概念，盡最大可能使用組合的方法降低難度。

　　3、快速收集與評(píng)價(jià)組織的管理體系

風(fēng)險(xiǎn)評(píng)估的執(zhí)行更多地側(cè)重于發(fā)現(xiàn)安全管理過程中的差距，管理體系梳理與具體評(píng)價(jià)應(yīng)更多地由內(nèi)部或外部審計(jì)來完成。然而，在此過程中也需要有一定的介入并給出初步評(píng)價(jià)，以便于安全流程等方面的實(shí)際評(píng)估。

 

　　在風(fēng)險(xiǎn)的評(píng)估與評(píng)價(jià)階段，項(xiàng)目團(tuán)隊(duì)的成員應(yīng)把絕大部分精力投入到風(fēng)險(xiǎn)項(xiàng)的識(shí)別和級(jí)別定義，除了依賴于執(zhí)行者的信息安全評(píng)估的經(jīng)驗(yàn)外，使用有效的方法論和工具方法對(duì)于提升執(zhí)行效率和準(zhǔn)確性也具有非常重要的意義。

　　1、建立有效的風(fēng)險(xiǎn)分析模型

　　在風(fēng)險(xiǎn)評(píng)估過程中，atsec所使用的風(fēng)險(xiǎn)分析模型會(huì)包括多個(gè)層面，以更有效地進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)。模型方法如下：

　　風(fēng)險(xiǎn)發(fā)生的可能性初步的控制措施風(fēng)險(xiǎn)發(fā)生對(duì)客戶業(yè)務(wù)的影響風(fēng)險(xiǎn)發(fā)生對(duì)客戶品牌的影響風(fēng)險(xiǎn)發(fā)生對(duì)客戶收益的影響

　　對(duì)于具體的分析過程，由評(píng)估人員基于訪談情況、滲透情況以及相關(guān)的信息輸入，從品牌、收益和客戶三方面的影響進(jìn)行展開。每一選項(xiàng)的賦值基于方法論中的準(zhǔn)則進(jìn)行確定，下圖為整個(gè)風(fēng)險(xiǎn)評(píng)估過程中，對(duì)數(shù)據(jù)庫和應(yīng)用系統(tǒng)存在威脅的評(píng)定示例：

　　2、使用半定量化的風(fēng)險(xiǎn)計(jì)算方法

　　因威脅本身具有不斷變化和難以測(cè)量的性質(zhì)，推薦明智地使用半定量化的測(cè)試方法。在具體的執(zhí)行過程中，atsec的做法是通過對(duì)每個(gè)威脅的評(píng)估結(jié)果給出半定量的評(píng)級(jí)，并進(jìn)一步通過風(fēng)險(xiǎn)計(jì)算方法使最終的評(píng)估結(jié)果更精確。因篇幅原因，在此不展開具體的風(fēng)險(xiǎn)計(jì)算方法。

　　3、使用自動(dòng)化的風(fēng)險(xiǎn)計(jì)算工具

　　基于風(fēng)險(xiǎn)評(píng)估在執(zhí)行過程中，atsec使用自有開發(fā)的計(jì)算工具，以最大程度上節(jié)省風(fēng)險(xiǎn)計(jì)算所占用的工作量。

　　4、最大限度地使用輔助工具

　　在對(duì)技術(shù)類威脅的評(píng)估過程中，如關(guān)鍵帳號(hào)和口令安全性，通過管理訪談方法通常難以做出準(zhǔn)確的判斷。atsec則會(huì)在類似的過程中盡最大限度地使用各種輔助工具和手段，比如密碼安全性驗(yàn)證、服務(wù)器的技術(shù)漏洞等。

 

　　三、評(píng)估結(jié)果的高效使用

　　在對(duì)所有的威脅完成風(fēng)險(xiǎn)評(píng)估后，如何有效地將風(fēng)險(xiǎn)結(jié)果轉(zhuǎn)化為組織進(jìn)行高效改進(jìn)的發(fā)動(dòng)機(jī)呢？

　　1、自動(dòng)、清晰地呈現(xiàn)風(fēng)險(xiǎn)發(fā)現(xiàn)與結(jié)果

　　在發(fā)現(xiàn)并對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)后，自動(dòng)地呈現(xiàn)風(fēng)險(xiǎn)結(jié)果與發(fā)現(xiàn)不僅可以極大地節(jié)省風(fēng)險(xiǎn)評(píng)估過程中的資源，也將使得管理層清晰地知曉關(guān)鍵的信息安全風(fēng)險(xiǎn)。這對(duì)于信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目的收益具有非常重要的意義。在風(fēng)險(xiǎn)評(píng)估過程中，atsec會(huì)通過自動(dòng)化工具全面展現(xiàn)風(fēng)險(xiǎn)評(píng)估的發(fā)現(xiàn)與結(jié)果，如下圖所示：

　　2、全生命周期的風(fēng)險(xiǎn)管理

　　一旦一個(gè)風(fēng)險(xiǎn)被識(shí)別出來之后，將對(duì)其整個(gè)過程進(jìn)行管理和控制。通常的處理方法包括：風(fēng)險(xiǎn)降低(如通過技術(shù)手段降低其影響或可能性)、風(fēng)險(xiǎn)轉(zhuǎn)移(如購(gòu)買保險(xiǎn)或通過第三方合同轉(zhuǎn)移)和風(fēng)險(xiǎn)接受(管理層正式接受風(fēng)險(xiǎn)及其影響)等。建議組織在執(zhí)行過程中使用自動(dòng)化的工具跟蹤每一個(gè)風(fēng)險(xiǎn)的最終處理方法，以避免風(fēng)險(xiǎn)項(xiàng)被忽略和措施不到位的情況。

　　3、自上而下的管理決策

　　對(duì)于識(shí)別到的風(fēng)險(xiǎn)，需要管理層投入資源進(jìn)行處理，在此看來自上而下的管理決策非常重要。atsec在風(fēng)險(xiǎn)評(píng)估管理過程中，會(huì)通過自動(dòng)化的工具列舉出來，然后需要組織的管理層首先進(jìn)行低級(jí)別風(fēng)險(xiǎn)的接受，最后將工作著眼于中、高級(jí)別風(fēng)險(xiǎn)整改措施的確定。

　　4、通過投入產(chǎn)出比指導(dǎo)安全措施的制定

　　在排除可接受的風(fēng)險(xiǎn)后，所剩余風(fēng)險(xiǎn)項(xiàng)的管理也是風(fēng)險(xiǎn)評(píng)估后期的難點(diǎn)之一。在此過程中，atsec推薦從投入產(chǎn)出比的角度考慮措施的制定。筆者認(rèn)為，在整個(gè)信息安全風(fēng)險(xiǎn)評(píng)估過程中所做出的努力不僅僅是一項(xiàng)時(shí)間、金錢和人員的投入，而是一項(xiàng)為組織避免由安全風(fēng)險(xiǎn)帶來更大安全損失的核心。能做到這個(gè)的關(guān)鍵一點(diǎn)是在風(fēng)險(xiǎn)整改措施的投入方面，應(yīng)至少要小于所避免的安全損失，這就要求借助于半定量化的指標(biāo)來指導(dǎo)安全措施的選擇，以達(dá)到最大的投入產(chǎn)出比。

　　在整個(gè)風(fēng)險(xiǎn)評(píng)估過程中，atsec采用的半定量化的方法和結(jié)果仍然可用于達(dá)到此目的。舉例來看，對(duì)于識(shí)別出的“應(yīng)用層XXX漏洞”的整改措施，則可以基于應(yīng)用的價(jià)值以及該漏洞的風(fēng)險(xiǎn)值確定該風(fēng)險(xiǎn)的損失值，而安裝WAF設(shè)備、使用商業(yè)應(yīng)用層漏洞掃描工具、使用開源工具進(jìn)行應(yīng)用掃描、由開發(fā)人員進(jìn)行安全代碼檢查等措施每個(gè)的投入也可以從工作量和設(shè)備投入角度進(jìn)行確認(rèn)，這將使得最終的措施或措施組合為組織產(chǎn)生更大價(jià)值。

 

　　小結(jié)：

　　對(duì)于風(fēng)險(xiǎn)評(píng)估這樣專業(yè)性很強(qiáng)的工作，建議組織從信息安全經(jīng)驗(yàn)和積累的角度出發(fā)，選擇、借鑒并融合業(yè)界優(yōu)秀風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)的經(jīng)驗(yàn)和實(shí)踐，以最大化風(fēng)險(xiǎn)評(píng)估的收益。對(duì)于執(zhí)行策略，應(yīng)充分融合內(nèi)、外部資源，明智全面地覆蓋所有威脅，并通過執(zhí)行過程的自動(dòng)化和投入產(chǎn)出比的優(yōu)化，使風(fēng)險(xiǎn)評(píng)估工作真正地成為應(yīng)對(duì)各類風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)合規(guī)的利劍。

　　atsec是一家獨(dú)立且基于標(biāo)準(zhǔn)的IT(信息技術(shù))信息安全咨詢和評(píng)估服務(wù)公司，它充分結(jié)合了豐富的技術(shù)知識(shí)和國(guó)際經(jīng)驗(yàn)，可以為組織提供具有商業(yè)導(dǎo)向的信息安全服務(wù)。atsec 利用其對(duì)安全保障、應(yīng)用和標(biāo)準(zhǔn)方面的豐富專業(yè)知識(shí)，將協(xié)助組織建立完整的安全管理流程，進(jìn)而有效地管理安全風(fēng)險(xiǎn)，改善數(shù)據(jù)和產(chǎn)品，以確保業(yè)務(wù)流程的可靠性。