信息系统安全与审计系列（二）——风险评估（江玮）

在回答了上次的三个问题列表之后，我们应该对信息系统是如何为业务和管理服务的有了一个比较好的理解。基于这个理解，我们可以开始做风险评估了。

风险评估是风险管理方法学中的第一个环节。它将帮助企业组织在减轻风险的过程中确定恰当的控制以减少或消除风险。执行风险评估的主要目的为潜在威胁可能造成的影响定量，也就是对某种因此丧失的企业功能所造成的成本估个价。风险评估的两个最主要的结果就是对风险的定义以及相应应对措施的成本/利益之间的辩证关系。

进行风险评估可以带来下列益处：
? 建立了一个清晰的关于安全防护的成本价值比率。
? 将影响针对硬件构造和软件系统设计的决策过程。
? 将帮助一个公司将它的安全资源聚焦在其最需要的地方。
? 将影响计划和建设决策，如场地选择或大厦设计。

所有的控制技术应该仅用于相当的风险并关注其相应的成本。在评估中必须对风险的成本以及相应的控制的事实和维护成本都进行称重以比较可能的损失和控制带来的益处。风险在学术上的定义是：
风险 = 威胁 * 弱点 * 成本

确定未来有害事件的可能，必须将针对信息系统的威胁与系统现有的控制和潜在的弱点一起进行分析。一个潜在的弱点可能被某个特定的威胁来源所利用的可能性可以分为高、中和低。

一下任何技术的组合可用来收集信息系统在其操作边界范围之内的信息。
? 查询表：
查询表应该被分发到所相关信息系统设计和支持的技术人员及非技术管理人员的手中。

? 现场采访：
现场参观也有助于风险评估人员观察和收集关于信息系统物理，环境，和操作的安全信息

? 文档复查
策略文档、系统文档和安全相关的文档可以很好地提供信息系统正在及计划使用的安全控制的信息。

? 自动扫描工具：
前摄的技术方法可以高效率地收集系统信息。

 执行风险分析的三个主要步骤如下：
? 通过确定其价值来估计潜在的资产损失。
? 分析针对资产的潜在威胁。
? 确定威胁的可能性和规律性。

在执行风险分析之后，最终结果应该包括：
? 对重要资产硬成本的估价。
? 重大威胁的详细列表。
? 每个威胁的可能性和发生率。
? 威胁的潜在损失，就是威胁所造成的相应的资产的金钱损失。
? 推荐的补救措施或防护对策。

现在让我们讨论风险分析过程的四个基本元素：
? 定量风险分析
? 定性风险分析
? 自产定义及估价
? 保障选择

定量风险分析和定性风险分析是用于确定资产价值和进行风险分析的两种通用方法。

定量风险分析：

在定量风险分析中，风险首先由调查一个单独的错误造成的损失的多少来辨认。然后对用于补救的费用、未来的业务损失、名誉、罚金等来作出一个判断，所有直接或间接的损失都应该考虑进去。再对给定一年内这种风险可能确实发生的次数进行计算。将之相乘就得到于一个特定风险相关的年度预期损失（Annual Loss Expectancy (ALE)）或年度成本估算（Estimated Annual Cost (EAC)）。定量风险评估方法是将基于上述度量过程确定的潜在损失加总，并以此为依据来判断风险是否能被接受以及在一段时期内会增加还是减少。

定量风险评估将尽量对风险评估的元素以及对潜在损失的评估赋予一个独立的客观数值。当所有的元素（包括资产价值、冲击、威胁频率、保障有效率、保障费用、不确定性，以及可能性等）被测量、分级、并赋值后，整个过程可以被认为是充分定量的。

通常结果（数量）是由金钱来衡量的。完全的定量分析是不可能的，因为在整个过程中某些定性决定是不可避免的。因此读者必须了解它并不可以确定地预言未来。

定量风险分析和定性风险分析得区别相当简单：定量风险分析试图对风险评估的元素和潜在的损失的评估独立地赋予客观数值(如金钱)到。 定性风险分析更加关注数据损失的无形价值并聚焦在有别于净硬性费用的其它问题上。

定量风险分析过程是一个大项目，所以需要一个项目经理来管理分析过程中的主要元素。初识计划阶段的主要任务是估计整个过程所需的时间，也必须制定详细工作计划并对小组成员进行明确分工。

初步安全测试（Preliminary Security Examination (PSE)）

初步安全测试(PSE) 经常被在实际定量风险分析之前执行。它帮组收集在实际风险分析是需要的元素，也使得风险分析更加聚焦。在这个阶段中定义的元素包括包括资产成本和价值、各种各样对公司的威胁的列表（根据对人员和环境的威胁） ，和现有安全措施的文档。通常，在风险分析开始之前PSE的结果将提交给公司的管理层进行复查。

然而，一个风险分析过程通常会非常复杂，它的目的就是将复杂的多风险的情况进行量化。

三个主要步骤如下：
1. 有资产的价值来估计潜在的损失
2. 分析对资产的潜在的威胁
3. 确定年度预期损失（ALE）

估计潜在损失：
估计一个威胁认定期间的潜在损失，必须对所有资产使用某种标准的资产估价程序（我们以后将详细讨论这个问题）。这个过程是通过EF和SLE的计算对资产赋予一个财务意义上的值。

分析潜在威胁：
这里我们将确定威胁发生的可能性和频率。为了确定威胁，我们必须了解资产的弱点并对威胁以及弱点进行ARO计算。

在这个阶段我们必须考虑各种各样的威胁，无论其可能性有多大。按威胁的源或预期的量级进行组织列表是非常有帮助的。实际上，有些组织可以提供你所处区域各种各样威胁发生频率的统计。

在此我们可以包括对威胁的以下分类：

数据分类：
可产生数据推论、隐性操作通道、恶意代码/病毒/木马/蠕虫/逻辑炸弹的数据集或责任集（缺乏职责分工）

信息战：
针对技术的恐怖主义、恶意代码/逻辑炸弹、军事或经济间谍活动等。

人员：
未经授权或未经控制的系统操作、授权用户对技术的错误使用、不满员工的篡改、伪造的数据输入等

程序/操作：
不安全的程序造成的流程错误或不正确的数据入口

犯罪：
故意的物理破坏、对资产或信息的偷盗、有组织的内贼、武装抢劫、对个人的物理侵害等

环境：
公共设施失效、公共服务中止、自然灾害或邻居的危害

计算机构架：
硬件故障、程序错误、操作系统缺陷、通讯系统故障等

处理延迟：
造成收入减少、费用增加或今后指控的生产力减少或资金调寄拖后。

确定年度预期损失（ALE）

当我们确定了SLE和ARO之后就可以用上面提过的公式来估计ALE了。

在风险分析之后得出的最后结果应包含的内容之前已提及。

定性风险分析：

定性风险评估被使用得更广泛，它不需要对概率的确定和对资产的彻底详细分类。在这个过程中，首先定义威胁，威胁就是任何可能发生错误的事情或任何可能发生的坏事，就是导致损害的不利影响的潜在可能。威胁是意图、能力和机会的组合。

定性风险评估更加关注数据损失的无形价值并聚焦在有别于净硬性费用的其它问题上。在一个定性风险分析中，通过使用场景途径并对每个场景创建损失等级量表对威胁的重要性和财产的相对敏感性进行定性分级。这导致一个主管定性评价，如高、中、低，获0-5的标度。

在一个定性风险评估的场景描述中，威胁将与资产对应起来。这种场景将描述对每个资产的威胁种类和相应的潜在损失以及对应的用于减轻风险的防护措施。在创建威胁列表后，对响应应保护的资产进行确定，并赋予相应的损失等级量表。定性风险评估这就开始了。

表1是一个简单的损失等级量表

如上所述，在定性风险评估中，我们不会去试图给损失赋予一个硬成本。它更是场景化的，与定量风险评估不同，一个纯粹的定性风险分析是可能的。虽然威胁频率或数据影响更是与定量风险评估。

 场景执行的流程如下：
? 对每一个主要的威胁写一个场景
? 有营运部门经理复查场景的真实性
? 风险分析小组针对每个风险推荐并评估各种不同的保障措施
? 风险分析小组使用威胁、资产以及相应的保障措施“走完”最终场景
? 风险分析小组将其发现备案并提交管理层

在所有的场景军“演出”完，所有的发现都公布后，管理层必需实施哪些可接受的保障措施并寻找替换掉那些不起作用的。

资产认定及估价

在一个企业的安全战略中经常被忽略的是对其资产的正确认定和估价。安全控制的适当和有效的实施要求公司对其资产进行彻底的认定。公司常犯的错误是在执行安全控制之前不对信息的价值进行准确地认定。用于确定信息资产价值的一些元素如下：
? 购买、授权、开发及支持信息资产的初始及持续成本
? 对于公司生产运作、研究开发以及商业模式的生存能力的资产价值
? 外部市场确定的资产价值以及知识产权（商业秘密、专利、版权等）的估价

一个资产的价值有许多元素确定。定量风险评估和定性风险评估（以及业务冲评估）都需要对资产对于公司的价值进行估价。这种股价是所有安全审计方法学中的基本步骤。一个共同的普遍错误是在实施安全控制之前不对资产进行准确的认定，这种情况经常导致对资产的保护失效、或财务上失效、或保护了错误的资产。

除此之外，对成本和价值进行认定还因为：
? 资产估价是成本/利益分析的必须步骤
? 资产的价值可能是保险所必需的
? 资产的价值是保障措施选择前提
? 资产估价可以达到“due care”程度上的满意并防止疏忽或法律责任

威胁认定

在资产认定和估价之后，威胁认定必须成为风险评估的一部分。威胁经常通过其过程分类，如前所列：

弱点认定

在威胁认定之后，哪些可以被威胁攻击的弱点必须被认定。弱点评估是将潜在的分线与公司现存的弱点对应起来的常用方法。

常用的弱点评估的步骤如下：
? 列出潜在的紧急状况，对内部设施的以及对外部社会的。自然的、技术的、人为的都是潜在紧急状况或错误的不同分类
? 估计每个紧急状况发生的可能性
? 估计紧急状况对公司的潜在冲击，包括人员冲击、物产冲击和业务资产冲击。
? 估计应对紧急状况所需的内部/外部资源。

根据上述理解，我们就可以根据不同公司的不同情况制定不同的风险评估的步骤。作为参考，以下是美国NIST定义的风险分析的九个步骤：
1． 系统描述
2． 威胁认定
3． 弱点认定
4． 控制分析
5． 可能性确定
6． 冲击分析
7． 风险确定
8． 推荐控制
9． 最终文档

附录

术语及定义

损失因子（Exposure Factor (EF)）：
损失因子表述了针对一个特定资产现实的威胁将造成的损失的百分率。它将用来计算单一预期损失（SLE）并由此推算年度预期损失（ALE）。它可能是一个很小的百分比，如一些硬件的损失，也可能是很大的百分比，如整个计算系统资源的损失。

单一预期损失（Single Loss Expectancy (SLE)）：
一个SLE是对一个单独事件赋予的金钱值。它表述了一个单独威胁对公司造成的损失，有下列公式计算：
SLE = EF * 资产价值（￥）
年度发生率（Annualized Rate of Occurrence (ARO)）：
 一个ARO是一个表述一个威胁可能发生的估计频率的数字。这个数字的范围可以从0（从不）到很大（诸如在数据录入时的拼写错误之类的小威胁）。这个数字的获得是非常复杂的，通常是根据事件的可能性以及可能犯错误的员工数量来计算的。这了不关心事件导致的损失，只关心其发生的频率。

年度预期损失（Annualized Loss Expectancy (ALE)）：
ALE有下列公式计算：

ALE = SLE * ARO

换句话说，一个ALE就是一种威胁在一年里可能给公司带来的财务上的损失。

信息系统安全与审计系列（一）——业务，管理与技术的三足鼎立（江玮）

本文由作者向AMT提供
作者联系方式：david.jiang@ap.nxbp.com