實踐經(jīng)驗:如何提高信息安全風險評估效果和效率
提到信息安全就必然涉及風險評估,風險評估已經(jīng)成為信息安全工作的重要組成部分,也是現(xiàn)代信息安全理論重要基礎(chǔ)之一。風險評估的方法有很多種,例如,定量評估、基線評估、非正式(非結(jié)構(gòu)化)評估、詳細評估(基于信息資產(chǎn)的風險評估),綜合評估,等等。目前使用最為廣泛的是“基于信息資產(chǎn)的風險評估”方法(以下簡稱“風險評估”),它是基于《ISO13335信息安全風險管理指南》發(fā)展起來的,我國也在此基礎(chǔ)上制定了《GB/T20984-2007信息安全風險評估規(guī)范》,本文將僅聚焦(不涉及對于其他風險評估方法的評價)于對如何正確理解此方法、如何提高風險評估效果和效率,結(jié)合我們在咨詢實踐中的經(jīng)驗進行探討,與大家分享我們的成果。
本文適合的閱讀對象為:在組織中負責信息安全管理工作的相關(guān)人員,以及提供信息安全風險評估服務(wù)的相關(guān)咨詢服務(wù)商、集成商、廠商的相關(guān)人員。對于尚不了解風險評估基本概念和方法的人員,可以先參考閱讀《GB/T20984-2007信息安全風險評估規(guī)范》。
一、對風險評估的認識過程
實際上,我們對風險評估的認識是經(jīng)歷了一個逐步深化和清晰的過程,在工作過程中也曾經(jīng)有過很多的疑問,在此簡單介紹一下,如果您也有過同樣的經(jīng)歷或者正在經(jīng)歷這個過程,那么我想在本文下面幾節(jié)所闡述的內(nèi)容和觀點,也許對您將有所幫助。
我們對于風險評估的認識可以分為三個階段:第一階段——盲目期,在剛剛接觸風險評估時,認為這個能夠簡單、定量的刻畫評估信息安全風險的方法非常實用有效,因此在所有項目中都引導和建議客戶做風險評估;第二個階段——質(zhì)疑期,隨著在項目中的應用,逐漸發(fā)現(xiàn)了很多實際操作問題,同時也面臨客戶對于此方法的很多挑戰(zhàn),例如:資產(chǎn)賦值標準、風險計算方法等等,有些問題由于自己認識的不到位也無法給出合理的解釋,以致對風險評估工作本身產(chǎn)生了質(zhì)疑;第三個階段——探索期,由于風險評估是信息安全的理論基礎(chǔ)之一,如果沒有前期的風險評估工作成果,則包括信息安全規(guī)劃、安全工作落實等工作就失去了方向和依據(jù),所以開始結(jié)合這些年在工作中遇到的問題和經(jīng)驗,重新對風險評估的意義、價值進行思考,對評估方法重新進行嘗試和探索。
由于受篇幅限制,本文僅進行概括性的闡述。我們在谷安天下的顧問培訓班中也會進行風險評估方法論的詳細講解和探討。#p#
二、信息資產(chǎn)與資產(chǎn)價值
(1)不要把信息資產(chǎn)識別與組織的資產(chǎn)管理混為一談
信息資產(chǎn)識別和資產(chǎn)管理的目的和范圍是不同的。組織的資產(chǎn)管理是站在資產(chǎn)財務(wù)角度來考慮的,重點在于登記、管理組織資產(chǎn)的財務(wù)屬性,用于清算、核實組織的運行情況。而信息安全風險評估工作中的資產(chǎn)識別,是站在信息資產(chǎn)保護的視角上,來考慮信息資產(chǎn)的機密性、可用性、完整性受到破壞后對組織的影響。所以說,二者的關(guān)注點是截然不同的,不要試圖在風險評估工作中搜集和識別所有資產(chǎn)管理范圍內(nèi)的資產(chǎn)及其相關(guān)屬性。有些客戶往往在風險評估中花了大量的工作在資產(chǎn)搜集上,反而忽視了對于關(guān)鍵信息資產(chǎn)風險的識別、控制與管理,實際上是舍本逐末,效果自然是事倍功半。
(2)信息資產(chǎn)范圍與分類。
風險評估首要工作就是要識別信息資產(chǎn)。觀點一:識別關(guān)鍵信息資產(chǎn)即可,尤其是第一次做風險評估時對于信息資產(chǎn)比較多的組織,不要試圖識別所有信息資產(chǎn),可以在以后的風險評估過程中逐步完善。觀點二:識別信息資產(chǎn)時要結(jié)合組織情況,同樣資產(chǎn)對于不同組織識別信息資產(chǎn)結(jié)果可能是不同。舉個例子,對于一般組織投影儀完全可以不作為信息資產(chǎn)來識別,然而對于從事培訓工作的組織來說,投影儀就可能被識別為關(guān)鍵信息資產(chǎn)。觀點三:相關(guān)標準、規(guī)范對于信息資產(chǎn)分類和范圍的定義可以參考,不要盲從。應結(jié)合組織特點制定符合組織實際情況的、可操作的信息資產(chǎn)分類和范圍,可以在標準的基礎(chǔ)上進行增加、對于不適用的可以刪減、或?qū)τ谀骋毁Y產(chǎn)類進行細化(細化的程度以可操作為宜,具有相同威脅和脆弱性的資產(chǎn)可以歸為一類),等等。目的是使后續(xù)威脅、脆弱性識別與風險分析等工作得以簡化和更具可操作性。
(3)信息資產(chǎn)屬性與分級
在風險評估中,信息資產(chǎn)相對價值由機密性、完整性和可用性(CIA)的等級來確定。我們認為在CIA不足以完全體現(xiàn)關(guān)鍵信息資產(chǎn)價值時,可以結(jié)合實際補充相關(guān)屬性,如財物價值等。在工作中經(jīng)常會碰到客戶問到信息資產(chǎn)分級是分三級、五級還是十級好?這個問題不是絕對的,對于發(fā)展中的中小組織來說,信息資產(chǎn)相對較少,可以采用三級分類,即高(3)、中(2)、低(1);對于信息資產(chǎn)相對較多的組織,為了更細致描述資產(chǎn)相對價值,可以采用五級分類,即高(5)、較高(4)、中(3)、較低(2)、低(1)。總而言之,能夠體現(xiàn)信息資產(chǎn)價值和方便操作的兩個前提下,越簡單越好(定義成十級理論上也是可以的,但基本不具備可操作性)。
(4)信息資產(chǎn)價值計算
在信息資產(chǎn)相對價值的評價時,首先要對信息資產(chǎn)的CIA屬性進行賦值。在賦值過程中,可能會發(fā)現(xiàn)對于一些資產(chǎn)很難評價CIA。舉個例子,對于人員類資產(chǎn),評價其完整性是沒有什么意義的。因此,可采用加權(quán)系數(shù)的方式,即針對CIA分別設(shè)定α、β、γ三個系數(shù)(α+β+γ=1),設(shè)定β=0、α=0.4、γ=0.6。這樣做的好處是對于不適用的選型可以不予評價,同時針對不同行業(yè)、不同資產(chǎn)類別可以設(shè)定反映此類資產(chǎn)特點的CIA加權(quán)系數(shù)α、β、γ(例如:金融行業(yè)與制造業(yè)對于相同資產(chǎn)類別的CIA關(guān)注側(cè)重點是不同的,硬件資產(chǎn)和數(shù)據(jù)資產(chǎn)CIA關(guān)注側(cè)重點是不同的)。另外,針對具體算法,只要能夠相對比較客觀的反映出信息資產(chǎn)相對價值,可以采用相加、相乘、平均值等算法,然后根據(jù)資產(chǎn)值所在區(qū)間確定資產(chǎn)相對價值。
總結(jié)來說,信息資產(chǎn)識別與價值評估的根本目的,是在于通過一套統(tǒng)一定量的方法論,來識別出組織中需要保護的信息資產(chǎn),并且對其重要性進行分析,從而有的放矢的識別分析出組織中的信息安全風險。#p#
三、威脅、脆弱性分級與識別
(1)威脅與脆弱性分級。
可參照上述信息資產(chǎn)屬性與分級一節(jié)的內(nèi)容。
(2)威脅和脆弱性識別。
觀點一:不要試圖識別出資產(chǎn)面臨的所有威脅以及具有的所有脆弱性。因為,無論如何都不可能識別完全,而且資產(chǎn)的威脅和脆弱性也是隨著組織環(huán)境與控制措施不斷在變化的,只要把當時資產(chǎn)所面臨的最重要的威脅和脆弱性識別出來就可以了。觀點二:利用漏掃工具對主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等進行掃描時會掃出很多的技術(shù)漏洞,建議在進行脆弱性識別時按一條來處理,統(tǒng)一識別威脅和風險,采取的控制措施就是對這個資產(chǎn)進行加固,沒有必要針對每一條進行識別。觀點三:在識別威脅和脆弱性時,不要忘記識別現(xiàn)有的控制措施,因為現(xiàn)有控制措施的效果會對威脅和脆弱性賦值產(chǎn)生影響。從理論上講,現(xiàn)有控制措施可能對威脅和脆弱性同時產(chǎn)生影響,但從實際操作層面來看,現(xiàn)有控制措施絕大多數(shù)情況只針對脆弱性發(fā)揮作用,因此我們更傾向于只針對脆弱性考慮現(xiàn)有控制措施。觀點四:為了提高效率,威脅、脆弱性和風險可以一起識別,因為風險實際上是資產(chǎn)(A)、威脅(T)、脆弱性(V)的組合而成,缺一不可。因此,單獨識別資產(chǎn)的威脅和脆弱性看似合理的,但是沒有與威脅相匹配的脆弱性,或者沒有與脆弱性相匹配的威脅,最終都不會被識別為資產(chǎn)的風險,所以ATV-R/AVT-R這樣一條龍的方式來識別是效率最高的。
四、風險評估算法與風險展示
(1)風險評估算法。
經(jīng)常有客戶或者學員提出,采用ATV相加、ATV相乘、或者像信息安全風險評估規(guī)范中所介紹的矩陣法、或√(A×V)×√(T×V)相乘法,或更為復雜的公式來計算風險,哪種更好?我們認為:由于目前采用的風險評估方法實質(zhì)上還是半定量的評估方法,因此不必糾結(jié)于具體算法,只要能夠合理的反映出資產(chǎn)、威脅、脆弱性和風險之間的邏輯關(guān)系就好。有人會說采用不同的算法對于風險的評價可能是不同的,例如對于同一風險,用相加法算出的風險是中風險,而用相乘法算出的風險是高風險,如何避免這種情況?第一,確定好一種計算方法就長期使用它,不要這次使用矩陣法,下次使用相乘法,這樣不具可比性;第二,可以根據(jù)選擇的算法以及組織自身特點調(diào)整風險取值范圍,例如:50-81是高風險,25-49是中風險,1-24是低風險;第三,由于采用的是半定量的評估,與其糾結(jié)具體算法的誤差,不如把注意力放在資產(chǎn)、威脅、脆弱性的賦值上,因為這里出現(xiàn)誤差后會被采用的算法進行放大,所以算法出現(xiàn)的誤差與之相比就可以忽略不計了。
(2)這里要特別強調(diào)的是,風險評估的核心目的是利用統(tǒng)一的評估尺度將識別出的風險進行排序,以確定組織需要優(yōu)先處置的風險,而不是為了計算出每一條風險的絕對值。只要尺度是統(tǒng)一的,無論尺子比例大小、單位高低,都不會影響風險的相對大小,而且組織的風險接受水平是根據(jù)全面風險評估結(jié)果而劃定的。風險展示。
通常在撰寫風險評估報告時,會總結(jié)組織總體和各部門的高、中、低風險分布情況,同時會附上以資產(chǎn)為主線的風險評估記錄表。但實際上,風險應該以更多的視角去展現(xiàn),這樣便于領(lǐng)導層和操作層更全面的認識風險,進而控制風險。風險還可以以資產(chǎn)分類、脆弱性分類、威脅分類等去展示,同時應能夠展示出歷次風險評估風險的變化情況,甚至對于每一個風險及其控制措施進行跟蹤,以確保風險最終得到有效控制,這樣才能夠反映出風險評估的真正價值。不過要做到這個程度就必須有一個系統(tǒng)來管理,不是簡單的excel表能夠方便實現(xiàn)的了。#p#
五、風險管理是一個過程
有些做過風險評估工作的客戶或?qū)W員,尤其是處在上文提到的第二個階段的人,經(jīng)常會質(zhì)疑風險評估的意義。我們認為這是還沒有真正理解風險評估的價值造成的。風險評估是一個過程,它不是一次性的工作,風險評估是風險管理的重要環(huán)節(jié),而風險管理更是一個過程管理,過分的強調(diào)一次風險評估的結(jié)果意義不大。風險評估不是目的,風險評估只是一個工具和手段,通過這個工具或者說采用這種方法能夠不斷地揭示組織面臨的風險,使原來未知的風險變成已知風險,進而采取相應的控制措施去控制這些風險,從而不斷降低組織風險水平,這才是風險評估真正價值所在。
曾經(jīng)有客戶和咨詢服務(wù)商的學員討論過風險評估工作是顧問來做的,還是客戶自己做的?我們認為,如果在項目預算、項目進度等都可控,并且客戶配合的前提下,盡可能的讓客戶相關(guān)部門人員自己做風險評估,顧問負責傳遞風險評估方法,并在過程中進行指導,對風險評估結(jié)果進行審核;如果不具備這些條件,為了控制項目成本和進度,由顧問快速地完成風險評估工作也無可厚非??偟脑瓌t是條件允許的情況下,盡可能地讓客戶參與進來,在項目中幫助客戶人員建立風險評估能力。在項目結(jié)束后,客戶在全組織范圍內(nèi)具備自行開展風險評估工作來管理風險的能力,并且能夠持續(xù)進行風險管理,遠比一次性的風險評估結(jié)果更重要、更有意義。
六、信息安全風險管理系統(tǒng)
通過上文相關(guān)介紹,可以發(fā)現(xiàn)風險評估是專業(yè)性較強的工作,因此為了幫助客戶提高風險評估工作的效率,確保風險評估的成果得以落實,谷安天下結(jié)合多年咨詢服務(wù)經(jīng)驗,研發(fā)了GooAnn-ISRM系統(tǒng),這里僅介紹一下系統(tǒng)主要特點:
·固化了持續(xù)風險管理的過程,支持用戶以多部門、多角色來開展風險評估的工作流程;
·支持多種的分級方法和風險計算方法,客戶可根據(jù)需要選擇風險環(huán)境配置,符合《GB/T20984-2007信息安全風險評估規(guī)范》要求;
·內(nèi)置了谷安總結(jié)的資產(chǎn)類別庫、威脅庫、脆弱性庫、風險庫、脆弱性檢查庫、控制措施庫,并支持客戶更新和建立自己相應的知識庫,實現(xiàn)知識的積累、共享和傳承;
·支持快速批量資產(chǎn)風險評估,提高評估效率;
·通過可視化展現(xiàn)使風險整改工作清晰可見,確保風險得以控制;
·支持多維度、多視角風險展示,及資產(chǎn)、風險和控制措施的全程跟蹤;
·通過對比分析展現(xiàn)風險管理工作成績,量化體現(xiàn)信息安全工作成果。