從最開始接觸風險評估理論到現在,已經有將近5個年頭了,從最開始的膜拜捧為必殺技,然後是有一陣子懷疑甚至預棄之不用,到現在重拾之,尊之為做好安全的必備法寶,這麼一段起起伏伏的心理歷程。對風險的方法在一步步的加深,本文從風險評估工作最突出的問題:如何得到一致的、可比較的、可重復的風險評估結果,來加以分析討論。
1. 風險評估的現狀
風險理論也逐漸被廣大信息安全專 業人士所熟知,以風險驅動的方法去管理信息安全已經被大部分人所共知和接受,這幾年國內等級保護的如火如荼的開展,風險評估工作是水漲船高,加之國內信息 安全咨詢和服務廠商和機構不遺余力的推動,風險評估實踐也在不斷的深入。當前的風險評估的方法主要參照兩個標准,一個是國際標准《ISO13335信息安 全風險管理指南》和國內標准《GB/T 20984-2007信息安全風險評估規范》,其本質上就是以信息資產為對象的定性的風險評估。基本方法是識別並評價組織/企業內部所要關注的信息系統、 數據、人員、服務等保護對象,在參照當前流行的國際國內標准如ISO27002,COBIT,信息系統等級保護,識別出這些保護對象面臨的威脅以及自身所 存在的能被威脅利用的弱點,最後從可能性和影響程度這兩個方面來評價信息資產的風險,綜合後得到企業所面臨的信息安全風險。這是大多數組織在做風險評估時 使用的方法。當然也有少數的組織/企業開始在資產風險評估的基礎上,在實踐中摸索和開發出類似與流程風險評估(請見另一博文)等方法,補充完善了資產風險 評估。
2. 風險評估的突出問題
信息安全領域的風險評估甚至風險管理的方法是借鑒了銀行業成熟的風險管理方法,銀行業業務風險管理的方法已經發展到相當成熟的地步,並且銀行業 也有非常豐富的基礎數據支撐著風險分析方法的運用。但是,風險評估作為信息安全領域的新生事物,或者說舶來之物,盡管信息安全本身在國內開展也不過是10 來年,風險評估作為先進思想也存在著類似“馬列主義要與中國的實際國情結合走中國特色社會主義道路”的問題。風險評估的定量評估方法缺少必要的土壤,沒有 基礎的、統計數據做支撐,定量風險評估寸步難移;而定性的風險評估其方法的本質是定性,所謂定性,則意味著估計、大概,不准確,其本質的缺陷給實踐帶來無 窮的問題,重要問題之一就是投資回報問題,由於不能從財務的角度去評價一個/組風險所帶來的可能損失,因此,也就沒有辦法得到投資回報率,盡管這是個問 題,但是實踐當中,一般大的企業都會有個基本的年度預算,IT/安全占企業年度預算的百分之多少,然後就是反正就這麼些錢,按照風險從高到低或者再結合其 他比如企業現有管理和技術水平,項目實施的難易度等情況綜合考慮得到風險處理優先級,從高到低依次排序,錢到哪花完,風險處理今年就處理到哪。這方法到也 比較具有實際價值,操作起來也容易,預算多的企業也不怕錢花不完,預算少的企業也有其對付辦法,你領導就給這麼些錢,哪些不能處理的風險反正我已經告訴你 啦,要是萬一出了事情你也怪不得我,沒有出事情,等明年有錢了再接著處理。
這也不算難的,最難最突出的是那些不僅僅做個一次風險評估的企業,出問題了,幾次風險評估的結果不具有可比性,有時甚至還出現矛盾的地方,比方 說,某個部門去年是某個崗位的上一任做的,今年是另一位做的,評估結果不能反映去年到今年做的工作改善了企業所面臨的信息安全風險狀況,甚至細致到某個風 險上;更有甚者,比如上次對於某個重要系統,由於沒有必要的操作規程而導致誤操作而影響系統安全的風險,采取、規范了操作流程並且培訓了相關操作人員等控 制措施,按理說這個風險已經是得到必要的控制,風險降低了,但是偏偏評估的結果不降反升了。這個問題,歸納為一句就是:風險評估如何得到一個一致的、可比 較的、可重復的評估結果。