风险评估概念及其基本要素

一、风险评估概念及其基本要素
信息系统的安全风险，是由来自人为的与自然的威胁利用系统存在的脆弱性造成的安全事件发生的可能性及其可能造成的影响。信息安全风险评估（本文以下简称“风险评估”），则是指依据国家有关信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
信息安全是一个动态的复杂过程，它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想，对可能的威胁、脆弱性和需要保护的信息资源进行分析，依据风险评估的结果为信息系统选择适当的安全措施，妥善应对可能发生的风险。
信息安全风险评估要关注如下基本要素：
使命：一个单位通过信息化要来实现的工作任务。
依赖度：一个单位的使命对信息系统和信息的依靠程度。
资产：通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。
价值：资产的重要程度和敏感程度。
威胁：一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。
脆弱性：信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为弱点或漏洞。
风险：风险由意外事件发生的可能性及发生后可能产生的影响两种指标来衡量。风险是在考虑事件发生的可能性及其可能造成的影响下，脆弱性被威胁所利用后所产生的实际负面影响。风险是可能性和影响的函数，前者指威胁源利用一个潜在脆弱性的可能性，后者指不利事件对组织机构产生的影响。
残余风险：采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。
安全需求：为保证单位的使命能够正常行使，在信息安全防护措施方面提出的要求。
安全防护措施：对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。
二、风险评估工作流程、理论和工具
风险评估一般遵循如下工作流程：
步骤1：体系特征描述
步骤2：识别威胁
步骤3：识别脆弱性
步骤4：分析现有安全防护措施
步骤5：确定可能性
步骤6：分析影响
步骤7：确定风险
步骤8：建议安全防护措施
步骤9：记录结果
上述工作流程是一个大致应当遵循和不断重复循环的过程。但是在实践中，基于不同目的和条件，在不同阶段所进行的风险评估工作，也可简化或者充实其中的某些步骤。
风险评估理论研究和工具开发应当服务于信息安全保障体系建设的总体目标。当前，国内外提出了一些广义的、传统的风险评估理论，以及一些专门针对信息系统安全的风险评估方法。从计算方法来区分，有定性的方法、定量的方法和部分定量的方法。从实施手段来区分，有基于“树”的技术、动态系统的技术等。
目前存在的信息安全评估工具大体可以分成以下几类：漏洞扫描工具；入侵检测系统（IDS）；渗透性测试工具；主机安全性审计工具；安全管理评价系统；风险综合分析系统；评估支撑环境工具等等。
综观这些理论和工具的现状，存在的问题是：尚缺乏模型化、形式化描述和科学证明的深度；一般化的广义的理论如何用于风险评估；定性，定量的理论方法如何更加有效；工具运用的结果如何能够反映实质，有效测度，准确无误；工具的使用如何能够综合协调等等。
三、风险评估角色、责任和模式分析
信息系统风险评估的参与角色一般有主管机关、信息系统拥有者、信息系统承建者、信息系统安全评估服务机构、信息系统的关联者（即因信息系统互联、信息交换和共享、系统采购等行为与该系统发生关联的机构）。他们在信息系统安全风险评估中的责任如表1所示：
表1 风险评估中的角色和责任
角色 责任
国家信息安全主管机关 制定信息安全风险评估的政策、法规和标准督促、检查和指导
业务主管机关 提出、制定并批准本部门的信息安全风险管理策略领导和组织本部门内的信息系统安全评估工作基于本部门内信息系统的特征以及风险评估的结果，判断信息系统残余风险是否可接受，并确定是否批准信息系统投入运行检查信息系统运行中产生的安全状态报告定期或不定期地开展新的信息安全风险评估工作
信息系统拥有者 制定安全计划，报上级审批组织实施信息系统自评估工作配合检查评估或委托评估工作，并提供必要的文档等资源向主管机关提出新一轮风险评估的建议改善信息安全防护措施，控制信息安全风险
信息系统承建者 根据对信息系统建设方案的风险评估结果，修正安全方案，使安全方案成本合理、积极有效，在方案中有效地控制风险规范建设，减少在建设阶段引入的新风险确保安全组件产品得到了相关机构的认证
信息系统安全评估机构 提供独立的信息系统安全风险评估对信息系统中的安全防护措施进行评估，以判断（1）这些安全防护措施在特定运行环境中的有效性；（2）实现了这些措施后系统中存在的残余风险提出调整建议，以减少或根除信息系统中的脆弱性，有效对抗安全威胁，控制风险保护风险评估中获得的敏感信息，防止被无关人员和单位获得
信息系统的关联机构 遵守安全策略、法规、合同等涉及信息系统交互行为的安全要求，减少信息安全风险协助风险评估机构确定评估边界在风险评估中提供必要的资源和资料
国内外现存的风险评估模式大体有自评估、检查评估与委托评估几种类型，后两种类型也可称为他评估。这种分类主要根据评估方与被评估方的关系，他们和信息资产的关系。在现阶段，不同模式各有优点和缺陷。
自评估是信息系统拥有者依靠自身力量，对自有的信息系统进行的风险评估活动。自评估有利于保密；有利于发挥行业和部门内的人员的业务特长；有利于降低风险评估的费用；有利于提高本单位的风险评估能力与信息安全认识。但是，如果没有统一的规范和要求，在缺乏安全风险评估专业人才的情况下，自评估的结果可能不深入，不规范，不到位，也可能会存在某些不利的干预。为了弥补这些缺陷，可以用发挥专家的指导作用或委托专业评估组织参与部分工作的方式加以解决。
检查评估则由信息安全主管机关或业务主管机关发起，旨在依据已经颁布的法规或标准进行检查评估。这是一种典型的他评估，需要被评估单位的配合。检查评估是通过行政手段加强信息安全的重要措施。这种模式最具权威性。但是，通常间隔时间较长，一般是抽样进行，难于贯穿信息系统的生命周期。
委托评估是指信息系统使用单位委托具有风险评估能力的专业评估机构实施的评估活动。它兼具自评估和他评估的特点。委托评估一般过程较为规范，评估结果较为客观，置信度较高。但评估费用较高，且可能会难以深入了解行业应用服务中的安全风险。需着重指出，由于风险评估中必然会接触到被评估单位的敏感情况，且评估结果本身也属于敏感信息，因此委托评估易导致新的风险。
四、风险评估与等级保护、认证认可和风险管理的关系
1994年《中华人民共和国计算机信息系统安全保护条例》中正式提出了实施等级保护的要求。27号文件强调了这一重要的信息安全保障的基础工作。等级保护强调了信息系统应实现相应级别的安全性。信息系统安全级别的确定、安全需求的导出、安全保障措施的选择、安全状态的检查，无一不需要贯彻风险评估的思想和风险评估工作的支持。风险评估的结果也应当与信息系统的等级建立与保护紧密结合。
信息系统安全认证认可是国际上采用的信息系统安全评估与管理模式。由于实际运行中的信息系统与一般的产品不同，不具有流通性，对信息系统安全的认证是指运用技术和管理检查手段来测试、分析、评价信息系统的安全保障措施是否到位。信息安全产品的认证是信息系统安全认证的前提和基础，但不能代替对信息系统安全的认证。在风险评估中，认可是对评估结果的批准，是单位的管理层或上级主管机关依据安全认证的结果，判断信息系统中存在的残余风险是否可以接受，从而决定是否批准信息系统投入建设或运行的过程。这个认可与对信息安全产品的测评机构资质的认可是不同的。美国政府已经认识到了认证认可概念的多样性，明确提出了要区分安全认可与组织认可这两类概念。
风险管理是安全管理的重要组成部分。它包括：风险评估、风险控制以及根据风险评估结果对信息系统运行中的相关事项做出决策。风险评估是风险管理的重要组成部分，没有风险评估，风险管理就会缺乏决策行动的依据和方向。
五、我国风险评估的现状和问题
目前，就信息安全保障的主管工作而言，在保密和密码方面，由
于有优良的工作传统，思想明确，技术规范相对齐全，工作力度比较强，到位情况比较好。在计算机网络安全方面，经过二十多年的探索准备以及对犯罪案件和安全事件的侦破处理，积累了经验和知识，组织制定了一系列的技术标准，正在为实施计算机信息系统安全的等级保护制度进行试点和政策性文件的准备。国家有关部门建立的测评认证机构进行了大量的安全产品的功能评测，并逐步向安全产品的性能评测、安全性评测方向发展。风险评估也逐步作为系统安全评估的一个环节，纳入其中。但保密管理、密码管理、计算机网络信息安全管理、产品测评等工作的协调、协同还有待加强。
我国各个部门和行业对风险评估的认识和开展的情况是不平衡
的，可分为以下几类：一是有认识、有行动、有措施、有效果；二是有认识、有行动但措施不当；三是有认识、无行动、无措施；四是无认识、无行动、无措施。
在信息化依赖程度较高的行业和部门中，信息化手段已经成为其生产第一线上不可或缺的基础设施。在安全事件的驱动下，也有针对性地进行了一些风险评估工作。大多数单位还是外聘信息安全企业和本单位的人员结合开展风险评估工作。
在信息化依赖程度较低的行业和部门中，一般对信息安全的内涵和外延、信息安全保障的技术和管理涉足不深，认识模糊，风险概念不强，有的处于计划进行风险评估的状态，有的还根本没有提上议事日程。
一批国内信息安全企业开始对客户提供信息系统安全评估服务，并且承担了一些行业单位的系统安全评估工作。一些外资企业已经涉足我国的信息系统安全评估工作，他们带来了国外风险评估的理念和标准，宣传了风险评估，培养了一批人才，其中一些骨干已经回流到国内安全企业。但是需要注意的是，外资企业介入国家关键部门的风险评估也会带来一些风险。
总的来讲，在重视风险评估的单位中，“安全事件驱动”是一个重要原因。除此而外，信息化程度的不同以及对信息化依赖程度的不同也决定了对风险评估的重视程度和工作程度的不同。但是，仍有不少单位虽然也存在潜在的安全事件和较高的信息化程度，但在风险评估问题上，却还处于起步或将要起步的阶段。
归纳起来，我国在风险评估方面仍然存在以下问题：
1、风险评估的研究积累不足；
2、缺乏风险评估的规范化标准；
3、熟悉和有能力进行风险评估的专业技术和管理人才匮乏；
4、风险评估的角色和责任混乱；
5、风险评估实施不当会导致新的风险。
六、当前风险评估工作的建议
针对我国风险评估的现状与存在的问题，以及信息安全建设的紧迫要求，当前风险评估工作应围绕以下几个方面来进行：
1、确立推进风险评估工作应当遵守的指导原则；
2、建立健全和完善风险评估的工作机制；
3、统筹建设风险评估的基础设施和基础环境；
4、开展基础信息网络和重要信息系统的风险评估试点示范；
5、抓紧制定和完善有关政策、法规、标准；
6、加强宣传教育，提高风险意识。