網絡安全是信息化持續發展的根本保障，網絡安全中的安全風險評估則是網絡安全保障工作的基礎性工作和重要環節。本文將從目前應用較成熟的安全風險評估方法出發，梳理探討其他的可行的風險評估方法，并從資源能力、不確定性、復雜性、能否提供定量結果等方面進行對比，為企業選擇和優化安全風險評估方法提供進一步改進的思路。

基于資產的風險評估

基于資產的風險評估方法是指在風險分析中，識別信息資產、威脅、脆弱性三要素，在此基礎上，分別對資產、威脅、和脆弱性及其關聯進行分析和賦值，采用選定的風險評估模型進行計算，由此得出安全事件發生的可能性和損失，及其對組織的影響（即安全風險值）。

理論上講，基于資產的風險評估方法可以對資產進行全面梳理，較全面地識別風險，并可以識別重要資產與風險的關系，對重要資產進行重點保護。在實際應用中，基于資產的風險評估基本要素是資產、威脅和脆弱性，資產清單的識別和賦值準確性很重要，一旦識別出現遺漏或者賦值不準確，則會造成風險結論的遺漏或不正確。

根據以往的實際項目經驗總結發現，企業在使用基于資產的風險評估方法時，經常會遇到如下問題：

由于通過人工梳理信息資產工作量較大，而且資產自動化工具的應用尚不完善，導致在組織中維護一份有效的信息資產清單是一個較困難的工作。實際情況中企業的資產不是固定不變的，基于資產的風險評估方法是在能準確識別資產和變更的基礎上，建立包括信息、硬件、軟件、虛擬機、環境設施、人員等內容的資產清單，動態記錄資產全生命周期的維護，并應進行定期審查和自動更新。

雖然許多企業在建立IT服務管理體系時，建立了CMDB庫（Configuration Management Database, 配置管理數據庫），但這些企業的CMDB往往不能及時更新，其準確性和及時性并不能完全滿足信息資產的梳理要求；同時IT服務管理中的IT資產的概念與安全管理體系中的信息資產并不完全相同。因此，參考CMDB庫中IT資產清單來建立信息資產清單也有較大的局限性。

由于信息資產與業務關聯困難，導致信息資產過度保護或保護不當。企業部分信息資產（如IT基礎設施、安全設備、虛擬機、中間件、各類數據等）很難與重要業務進行充分關聯。主要原因在于將信息資產與業務關聯需要安全人員既要熟悉組織的業務流程，又要對組織的IT架構、信息系統有著深入的了解。這樣才能確保將業務與IT基礎設施、安全設備、虛擬機、中間件、數據等信息資產進行有效關聯。如果安全人員在實操中與業務脫離，會影響資產賦值的準確性，資產賦值的偏差會導致需要保護的重要資產未得到保護，或者不重要資產受到過度保護導致資源浪費。

資產與風險相關因素對應困難，導致識別新風險困難。風險相關因素變化（如用戶新業務不斷發展，國家法律法規要求越來越嚴格等）帶來的新安全需求很難直接與資產進行直接對應，無法通過資產發現新環境下的新威脅和脆弱性，導致識別無法識別新風險從而失去對新風險的控制等。

基于資產的風險評估方法根據現有理論設計，設計比較簡單，但是在實施過程中，資產威脅脆弱性比較抽象，因此實施分析和賦值相對復雜。

其他風險評估方法的探索

目前，企業在開展信息安全風險評估時，大多是通過基于資產的風險評估這一較成熟的方法來應用實施。但是這種方法在實施過程中會遇到資產梳理繁瑣、時間成本高、不易發現風險相關因素變化帶來的新風險等問題，業界正在積極嘗試探索新的風險評估方法。我們也對其中較典型的3種方法，進行了探索和研究，并與基于資產的風險評估方法進行了對比分析。

1、基于風險目錄的檢查表評估方法

基于風險目錄的檢查表評估是指基于一定的網絡安全標準規范或按照業內普遍認可的安全體系架構，把網絡安全各個層次和領域可以產生的重要安全風險盡可能列出，并結合組織所處行業或組織內部歷史上曾經發生過的網絡安全事件及產生的風險，建立一份網絡安全風險目錄清單。基于這樣的風險目錄來進行安全檢查表評估，是一種較實用的安全風險評估方法。

基于風險目錄的檢查表評估方法需要在專家的指導下建立目錄列表，設計比較復雜，但是在實施階段只需要根據列表逐條檢查即可，因此執行起來較為簡單。

優點：

a)  非專業人士可以使用，降低工作難度和實施成本。

b)  可以將新環境納入其中以實現擴展性。

c)  可以確保常見問題都被考慮到。

缺點：

a)  限制風險識別過程中對風險的判斷；

b)  往往基于已觀察到的情況，論證了“已知的已知因素”，而不是“已知的未知因素”或是“未知的未知因素”，

會錯過還沒有被觀察到的問題；

c)  使安全人員產生依賴列表的習慣。

2、基于場景的信息安全風險評估方法

基于場景的風險評估，是通過對現有系統、過程或程序的設計、操作等進行系統性分析（包括組件、環境、操作步驟、操作人員等），以識別出危險以及可能帶來的危害等。主要包括識別系統的設計意圖、故障模式的原因和后果、操作人員的人為錯誤、系統質量的可靠性和安全性等方面。

優點：

a)徹底地分析系統、過程或程序；

b)涉及多個專業團隊，包括有實際操作經驗的人員以及那些必須采取行動的人員。

c)形成了解決方案和風險應對行動方案。

d)對錯誤的原因及結果進行清晰地分析。

缺點：

a)很耗時，實施成本較高。

b)對文件或系統過程以及程序規范的要求較高。

c)注重找到解決方案，而不是質疑基本假設，這可以減輕分階段的辦法。

d)討論可能會集中在設計細節上，而不是在更寬泛或外部問題上。

e)受制于已有設計草案及設計意圖，以及傳遞給團隊的范圍及目標。

f)對設計人員的業務和安全專業知識要求很高。

3、德爾菲法（專家法）

德爾菲法(Delphi)是在一組專家中取得可靠共識的程序。刺激并鼓勵專家暢所欲言，激發其在風險管理過程及系統生命周期中，發現潛在的失效模式及相關危險、風險、決策標準及/或處理辦法。德爾菲法是發現問題的高層次討論，也可以用作更細致的評審或特殊問題的細節討論。

資源與能力

優點：

a)可以激發專家的想象力，有助于發現新的風險并找到全新解決方案。

b)讓主要的利益相關者參與，有助于進行全面溝通。

c)速度較快并易于開展。

缺點：

a)需要必要的技術及知識，否則無法提出有效的建議。

b)相對松散，因此較難保證過程的全面性，不能識別全部的潛在風險。

c)在部分項目應用時會存在費力、耗時的情況。

因此，組織在選擇安全風險評估方法時，可以根據自身的實際情況，對以上分析的方法加以選擇與應用。