风险评估方法

风险评估方法

在风险评估的识别、分析和评价过程中，需要利用适当且有效的评估方法和评估工具。

定性评估方法和定量评估方法。

专家系统和过程式算法。

基本评估方法、非常评估方法、详细评估方法和综合评估方法。
等。

 

风险识别方法

识别风险的途径包括核对表基于经验和记录的判断、流程图、集体讨论、系统分析、情况分析和系统工程方法。所使用的方法将取决于所评审的活动的性质和风险的类型。

风险分析方法

风险分析根据对各要素的指标量化以及计算方法不同分为定性分析、半定量分析和定量分析的风险分析方法，或者是这些分析的组合。

定性分析方法

定性分析方法是被广泛使用的一种风险分析方法，也是出现在大部分标准中的一种方法。它对风险产生的可能性和风险产生的后果基于“低/中/高”这种表达方式，而不是准确的可能性和损失量。

该方法通常只关注威胁事件所带来的损失（Loss），而忽略事件发生的概率（Probability）。多数定性风险分析方法依据组织面临的威胁、脆弱点以及控制措施等元素来决定安全风险等级。在定性评估时并不使用具体的数据，而是指定期望值，如设定每种风险的影响值和概率值为“高”、“中”、“低”。有时单纯使用期望值，并不能明显区别风险值之间的差别。可以考虑为定性数据指定数值。例如，设“高”的值为3，“中”的值为2，“低”的值为1。但是要注意的是，这里考虑的只是风险的相对等级，并不能说明该风险到底有多大。所以，不要赋予相对等级太多的意义，否则将会导致错误的决策。

定性分析常用于：

初始的筛选活动，以鉴定出需要更详细分析的风险。

风险的程度不能证明要进行更充分的分析所需的时间和努力是合算的场合

 数据不足以进行定量分析的场合

 

半定量分析

在半定量分析中，上述的那些定性数值范围均为已知值。每项说明所指定的数字并不一定与后果或可能性的实际大小程度具有精确的关系。假如用来进行优先化系统与选择用来对数字赋值和组合的系统是相匹配的，则可将这些数字采用一系列公式中的任何一个公式加以组合。目的是为了得到比通常在定性分析中所得到的更为详细的优先化，但并非要提出任何在定量分析中所试图的到的风险的实际值。

使用半定量分析时必须小心，因为所选择的数字未必能正确地反映会导致不一致结果的相关性。半定量分析可能不能恰当地区分各种风险，尤其是当结果或可能性处于极端状态时。

有时，将可能性考虑成是由两个要素组成的较为恰当，通常称为暴露频率和概率。

暴露频率是风险来源存在的程度，，而概率是随着该风险源的存在而产生的后果的机会。在这两个要素之间的关系并非完全独立的情况下，即暴露频率与概率之间的关系密切时，就必须谨慎。

定量分析

定量风险分析方法关注的是资产的价值和威胁的量化数据。

定量分析方法利用两个基本的元素：威胁事件发生的概率和可能造成的损失。把这两个元素简单相乘的结果称为ALE（Annual Loss Expectancy）或EAC（Estimated Annual Cost）[2]。理论上可以依据ALE计算威胁事件的风险等级，并且做出相应的决策。文献[1]提出了一种定量风险评估方法。该方法首先评估特定资产的价值V，把信息系统分解成各个组件可能更加有利于整个系统的定价，一般按功能单元进行分解；然后根据客观数据计算威胁的频率P；最后计算威胁影响系数µ，因为对于每一个风险，并不是所有的资产所遭受的危害程度都是一样的，程度的范围可能从无危害到彻底危害（即完全破坏）。根据上述三个参数，计算ALE：

ALE ＝ V × P × µ                         

但是这种方法存在一个问题，就是数据的不可靠和不精确。对于某些类型的安全威胁，存在可用的信息。例如，可以根据频率数据估计人们所处区域的自然灾害发生的可能性（如洪水和地震）。也可以用事件发生的频率估计一些系统问题的概率，例如系统崩溃和感染病毒。但是，对于一些其他类型的威胁来说，不存在频率数据，影响和概率很难是精确的。此外，控制和对策措施可以减小威胁事件发生的可能性，而这些威胁事件之间又是相互关联的。这将使定量评估过程非常耗时和困难。

鉴于以上难点，可以转用客观概率和主观概率相结合的方法。应用于没有直接根据的情形，可能只能考虑一些间接信息、有根据的猜测、直觉或者其他主观因素，称为主观概率[3]。应用主观概率估计由人为攻击产生的威胁需要考虑一些附加的威胁属性，如动机、手段和机会等。

因此，真正使用此类方法来评估是很有难度的。

 

实践中常用方法

在风险管理的前期准备阶段，组织已经根据安全目标确定了自己的安全战略，其中就包括对风险评估战略的考虑。所谓风险评估战略，其实就是进行风险评估的途径，也就是规定风险评估应该延续的操作过程和方式。
风险评估的操作范围可以是整个组织，也可以是组织中的某一部门，或者独立的信息系统、特定系统组件和服务。影响风险评估进展的某些因素，包括评估时间、力度、展开幅度和深度，都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估方法。目前，实际工作中经常使用的风险评估方法包括基线评估、详细评估和组合评估三种。

基线评估

如果组织的商业运作不是很复杂，并且组织对信息处理和网络的依赖程度不是很高，或者组织信息系统多采用普遍且标准化的模式，基线风险评估（Baseline Risk Assessment）就可以直接而简单地实现基本的安全水平，并且满足组织及其商业环境的所有要求。

采用基线风险评估，组织根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线：

国际标准和国家标准，例如BS 7799-1、ISO 13335-4；

行业标准或推荐，例如德国联邦安全局IT 基线保护手册；

来自其他有类似商务目标和规模的组织的惯例。

当然，如果环境和商务目标较为典型，组织也可以自行建立基线。

基线评估的优点是需要的资源少，周期短，操作简单，对于环境相似且安全需求相当的诸多组织，基线评估显然是最经济有效的风险评估途径。当然，基线评估也有其难以避免的缺点，比如基线水平的高低难以设定，如果过高，可能导致资源浪费和限制过度，如果过低，可能难以达到充分的安全，此外，在管理安全相关的变化方面，基线评估比较困难。

基线评估的目标是建立一套满足信息安全基本目标的最小的对策集合，它可以在全组织范围内实行，如果有特殊需要，应该在此基础上，对特定系统进行更详细的评估。

 

详细评估

详细风险评估要求对资产进行详细识别和评价，对可能引起风险的威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想，即识别资产的风险并将风险降低到可接受的水平，以此证明管理者所采用的安全控制措施是恰当的。

详细评估的优点在于：

组织可以通过详细的风险评估而对信息安全风险有一个精确的认识，并且准确定义出组织目前的安全水平和安全需求；

详细评估的结果可用来管理安全变化。

 

当然，详细的风险评估可能是非常耗费资源的过程，包括时间、精力和技术，因此，组织应该仔细设定待评估的信息系统范围，明确商务环境、操作和信息资产的边界。

 

组合评估

 

基线风险评估耗费资源少、周期短、操作简单，但不够准确，适合一般环境的评估；详细风险评估准确而细致，但耗费资源较多，适合严格限定边界的较小范围内的评估。基于此，实践当中，组织多是采用二者结合的组合评估方式。

为了决定选择哪种风险评估途径，组织首先对所有的系统进行一次初步的高级风险评估，着眼于信息系统的商务价值和可能面临的风险，识别出组织内具有高风险的或者对其商务运作极为关键的信息资产（或系统），这些资产或系统应该划入详细风险评估的范围，而其他系统则可以通过基线风险评估直接选择安全措施。

 

这种评估途径将基线和详细风险评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果，而且，组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。当然，组合评估也有缺点：如果初步的高级风险评估不够准确，某些本来需要详细评估的系统也许会被忽略，最终导致结果失准。