在信息安全产业界,风险评估早已不是陌生话题,几年以来,各安全公司完成的风险评估项目已不在少数,甚至在几乎所有的信息安全服务厂商中,风险评估都是其核心业务。
风险评估的核心不仅仅是理论,更是实践。风险评估的实践工作是很困难的,据国外的统计数字显示,只有60%的风险评估是成功的。国内的风险评估工作面临的挑战更多,需要一定时间的积累和沉淀,就像要成为一个好的中医,要有个学和练的过程一样。
有人认为风险评估只是一个看病的过程,其实,看病就是在治病。因此,笔者就“看病治病”的风险评估过程的几个方面简单谈谈自己的心得与体会。
1. 定义——什么是完整意义的风险评估
何为完整意义的风险评估?须从各个角度去观察,既要客观,又要全面。古语云:“横看成岭侧成峰,远近高低各不同。不识庐山真面目,只缘身在此山中。”故所谓信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。在风险评估中,最终要根据对安全事件发生的可能性和负面影响的评估来识别信息系统的安全风险。与信息系统的安全风险密切相关的因素包括:
(1)使命:即一个单位通过信息技术手段实现的工作任务。一个单位的使命对信息系统和信息的依赖程度越高,风险评估的任务就越重要。
(2)资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。
(3)资产价值:资产的敏感程度、重要程度和关键程度。
(4)威胁:一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。
(5)脆弱性:信息资产及其安全措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。
(6)事件:如果威胁主体能够产生威胁,利用资产及其安全措施的脆弱性,那么实际产生危害的情况称之为事件。
(7)风险:由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。
(8)残余风险:采取了安全措施,提高了信息安全保障能力后,仍然可能存在的风险。
(9)安全需求:为保证单位的使命能够正常行使,在信息安全保障措施方面提出的要求。
(10)安全措施:对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。
在这些要素中,尤其需要注意一个概念:残余风险。之所以提出这个概念,原因在于:1)风险不可能完全消除。信息技术在发展,外部环境在变化,信息系统本身也要发生变化,信息安全的动态性致使不可能完全消除未来发生安全事件的风险。2)风险不必要完全消除。资产的价值以及信息安全的投入之间的比例关系决定了对有些安全风险,采取措施反而比不采取措施成本更高。由于上述原因,所谓安全的信息系统,并不是指“万无一失”的信息系统,而是指残余风险可以被接受的信息系统。
造成信息安全事件的源头,可以归为外因和内因。外因为威胁,内因则为脆弱性。苏轼之《琴诗》曰:若言琴上有琴声,放在匣中何不鸣?若言声在指头上,何不于君指上听?这首诗所揭示是琴、指头和琴声三者之间的关系。如果把演奏者包括在内,那么,演奏者的思想感情和技能与琴、指之间的关系,又可以看作是事物的内因和事物的外因之间的关系。前者是音乐产生的根据,后者则是音乐产生的条件,两者缺一不可。 因此,在风险评估中,要刻画信息安全事件,就必须对威胁和脆弱性都有深入了解,这构成了风险评估工作的关键。
风险评估的工作由以下几个步骤组成:
步骤1:描述系统特征
步骤2:识别威胁(威胁评估)
步骤3:识别脆弱性(脆弱性评估)
步骤4:分析安全控制
步骤5:确定可能性
步骤6:分析影响
步骤7:确定风险
步骤8:对安全控制提出建议
步骤9:记录评估结果
2.作用——风险评估是分析确定风险的过程
任何系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险,综合平衡风险和代价的过程就是风险评估。风险评估不是某个系统(包括信息系统)所特有的。在日常生活和工作中,风险评估也是随处可见,为了分析确定系统风险及风险大小,进而决定采取什么措施去减少、避免风险,把残余风险控制在可以容忍的范围内。人们经常会提出这样一些问题:什么地方、什么时间可能出问题?出问题的可能性有多大?这些问题的后果是什么?应该采取什么样的措施加以避免和弥补?并总是试图找出最合理的答案。这一过程实际上就是风险评估。
3.战略——信息安全风险评估是信息安全建设的起点和基础
信息安全风险评估是风险评估理论和方法在信息系统中的运用,是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险,并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间作出抉择的过程。所有信息安全建设都应该是基于信息安全风险评估,只有在正确地、全面地理解风险后,才能在控制风险、减少风险之间作出正确的判断,决定调动多少资源、以什么样的代价、采取什么样的应对措施去化解、控制风险。
4.借鉴——重视风险评估是信息化比较发达国家的基本经验
《劝学》云:“吾尝终日而思矣,不如须臾之所学也。吾尝跂而望矣,不如登高之博见也。登高而招,臂非加长也,而见者远。顺风而呼,声非加疾也,而闻者彰。假舆马者,非利足也,而致千里。假舟辑者,非能水也,而绝江河。君子生非异也,善假于物也。”其核心思想即是借助外界力量发展提高壮大自己。由于信息技术的飞速发展,关系国计民生的关键信息基础设施的规模越来越大,同时也极大地增加了复杂程度,发达国家越来越重视信息安全风险评估工作,提倡风险评估制度化。20 世纪70 年代,美国政府就发布了《自动化数据处理风险评估指南》。其后颁布的关于信息安全基本政策文件《联邦信息资源安全》明确提出了信息安全风险评估的要求,要求联邦政府部门依据信息和信息系统所面临的风险,根据信息丢失、滥用、泄露、未授权访问等造成损失的大小,制订、实施信息安全计划,以保证信息和信息系统应有的安全。有些国家和国际组织还十分重视阶段性的再评估工作,以求得信息安全措施可以持续地适应信息安全形势的变化和发展。因此我们应该充分借鉴国内外就风险评估方面的经验,“站在巨人的肩膀上”,完善并改进风险评估。
5.改进——当前开展信息安全风险评估要研究解决的几个问题
经过几年的探索,我国有关方面已经在信息安全风险评估方面做了大量工作,积累了一些宝贵的经验,然而由于起步晚,存在一些亟待解决的问题。一是对风险评估的认识不高,经验不足。二是风险评估的工作流程和技术标准有待完善。风险评估既是一个管理过程,也是一个技术性过程,需要制订科学、实用、有效的工作流程和技术标准。特别是定性和定量的分析方法各自所起的作用,以及相互关系,有待进一步通过实践摸索和理论研究的活动,加以丰富、完善。三是评估工具的发展相对滞后,很难适应技术发展需要。造成风险评估工具滞后的原因很多,技术、装备上的落后是主要的。所以,要加强风险评估工具的研发和推广。四是风险评估带来的新风险的有效控制还没有得到很好的解决。最后要强调的一点是要注重风险评估知识和经验的积累,提高安全能力——“半亩方塘一鉴开,天光云影共徘徊。问渠那得清如水?为有源头活水来。” 只有不断更新,不断积累,企业的风险管理才不会成为一潭死水,毫无生气。