一、前言
　　风险评估的极端重要性已经越来越被用户认同。在四年多的风险评估实践中，在从覆盖政府，以及电信、金融等众多行业的逾百个大小用户的风险评估实践中，我们可以清晰地感受到用户安全意识的提高，以及安全需求的不断明确。在2000－2001年，大多数用户的安全评估需求主要集中于系统脆弱性评估和渗透性测试；在2001－2002年，多数用户的安全评估需求已经侧重于整个管理体系的评估和对特定应用系统的评估；从2002年开始，许多行业用户对全面风险评估和等级化评估提出了要求。
　　二、标准与理论
　　我们在风险评估实践中，主要参考了BS 7799（ISO/IEC 17799）、ISO/IEC 15408-1999（等同GB/T 18336-2001）、ISO/IEC 13335、SSE-CMM等标准。另外，我们也参考了GB 17859-1999《计算机信息系统安全保护等级划分准则》、中国信息安全产品测评认证中心《信息系统安全保障等级评估准则》、公安部《信息系统安全等级保护评估指南》、GB9361-88《计算机场地安全要求》，以及CAV公共漏洞和暴露标准、Cramm/Octave/ …等标准和法规。
　　信息安全管理标准BS 7799（ISO/IEC 17799）
　　BS 7799是国内外现在比较流行的信息安全管理标准，其安全模型主要是建立在风险管理的基础上，通过风险分析的方法，使信息风险的发生概率和后果降低到可接受水平，并采取相应措施保证业务不会因安全事件的发生而中断。BS 7799给出了10类需要进行控制的部分：安全策略、安全组织、资产分类与控制、个人信息安全、物理和环境安全、通信和操作安全、访问控制、系统的开发和维护、商业持续规划、合法性要求等方面的安全风险评估和控制，以及127项控制细则。
　　BS 7799中关于风险管理框架的构建过程对我们进行安全风险评估给予了宏观上的指导。
　　信息安全通用准则ISO/IEC 15408-1999
　　信息技术安全性评估通用准则ISO/IEC 15408-1999（等同GB/T 18336-2001），即通用准则CC，是评估信息技术产品和系统安全性的基础准则。该标准针对在安全性评估过程中信息技术产品和系统的安全功能及相应的保证措施提出一组通用要求，使各种相对独立的安全性评估结果具有可比性。
　　ISO/IEC 15408对确定安全风险评估模型及关键风险因素具有指导意义，但更重要的是它能比较好的指导我们对系统安全功能的各方面进行安全检查和分析，保证了安全风险评估的全面性和完整性，也使得信息系统在技术上能够符合国家安全测评认证的要求。最后，我们可以根据这个标准生成针对信息系统安全的规范化的安全评估方案，或者更确切叫信息系统安全规范。
　　系统安全工程能力成熟模型SSE-CMM
　　SSE-CMM是“系统安全工程能力成熟模型”的缩写。系统安全工程旨在了解用户单位存在的安全风险，建立符合实际的安全需求，将安全需求转换为贯穿安全系统工程的实施指南。系统安全工程需要对安全机制的正确性和有效性做出验证，证明系统安全的信任度能够达到用户要求，以及未在安全基线内仍存在的安全问题连带的风险在用户可容许、或可控范围内。
　　SSE-CMM针对风险评估过程提供了影响、风险、威胁和脆弱性的具体评估方法和过程，进一步为安全风险评估的实施提供了指导。
　　应用SSE-CMM模型，我们在实践中，将整个安全风险评估工程划分为以下几个阶段：安全需求分析阶段、安全系统规划阶段、安全系统实施阶段、安全系统确认阶段和安全需求验证阶段，并在安全工程的整个生命周期过程中，严格按照SSE-CMM的要求进行实施，以保证整个项目工程的质量。
　　信息安全管理指南ISO/IEC 13335
　　ISO/IEC 13335是信息安全管理方面的规范，给出了如何有效地实施IT安全管理的建议和指南。
　　ISO/IEC 13335为风险评估提供了方法上的支持，它所定义的安全概念全面覆盖了安全风险评估需要考虑的问题，使得最终生成的安全评估方案不但能够保证技术方面的完整，而且能够满足安全管理的要求。
　　三、风险评估模型
　　资产由于自身的脆弱性，使得威胁的发生成为可能，从而造成了不同的影响，形成了风险。换句话说，风险分析的过程实际上就是对影响、威胁和脆弱性进行分析的过程，而且都紧紧围绕着资产。在风险评估中，资产的价值、资产被破坏后造成的影响、威胁的严重程度、威胁发生的可能性、资产的脆弱程度都是风险评估的关键因素。
　　在ISO/IEC 13335中描述了非正式风险评估、基线风险评估、详细风险评估、综合风险评估等四种方法。国内目前推行的《信息系统安全等级保护评估指南》接近于基线评估方法。
　　基线风险评估是指通过对信息系统实施一些标准的安全防范措施使其达到一个最基本的安全级别。这种评估方法不考虑系统所面对的具体风险有多大，而是对安全风险模型中系统资产所面临的威胁、脆弱性及其受破坏后造成的影响直接进行问题分析，为客户信息系统建立系统安全基线或更高一级的安全要求。采用基线风险评估方法，因为涉及到安全基线或某一级别安全要求的建立，实施时通常需要参照相关标准、规范和政策。基线风险评估的优点是不需花费太多的人力、物力和财力，尤其是在安全需求相同时比较有效。基线风险评估的主要缺点是通用安全标准针对性不强。
　　详细风险评估是对一个信息系统中的所有资产都进行仔细的风险评估分析，包括资产识别和评估，对资产所面临的安全威胁的评估，以及对其脆弱性的评估。然后，在这些评估分析的基础上再进行最后综合的风险分析，针对高风险实施合适的安全防范措施，并制定出相应的风险控制策略。详细风险评估的优点是对所有的系统都进行了适当的安全防范鉴定，而且这种分析评估的结果也可以在处置安全状况改变中应用。详细风险评估的缺点是需要相当多的时间和精力、财力、物力以及专业能力去获得结果，有可能的情况是提出的安全需求大大滞后于时间要求，从实际项目的经验上看，不适用大规模的风险评估需求。
　　综合风险评估首先对所有的信息系统进行一次较高级别的安全分析，并在分析中关注它对整个业务的价值以及它所面临的风险严重程度，对那些被鉴定为对业务非常重要或面临严重风险的部分进行详细风险评估分析，而对于其它的信息系统则采取基本风险评估方法。综合风险评估的优点是能够快捷简便地得到可接受的安全风险评估分析程序，迅速地为一个机构组织建立一个安全程序的策略。缺点是在进行高层安全分析时可能遗漏某些重要的部分。
　　等级保护比较接近于基线评估，没有对安全威胁进行太多考虑，易于实施，而等级保障更强调多种风险因素和保障措施的综合考虑，对实施者的要求较高。我们在实践中，使用了如图1所示的风险评估模型：资产的评估主要是对资产进行相对估价，而其估价准则依赖于对其影响的分析，即资产的相对价值体现了威胁的严重程度。这样，威胁评估就仅仅成了对资产所受威胁发生可能性的评估。脆弱性的评估是对资产脆弱程度的评估。如图1所示，安全风险评估就是通过对评估后的资产信息、威胁信息和脆弱性信息进行综合分析，最终生成风险信息。

　　图1：风险评估模型

　　四、风险评估的过程组织
　　安全风险评估过程方案是安全风险模型的体现，传统的风险评估过程可以分为以下几个阶段（参见图2）：
　　第一阶段：确定评估范围和资产识别阶段：调查并了解用户网络系统业务的流程和运行环境，确定评估范围的边界以及范围内的所有网络系统；识别和估价是对评估范围内的所有资产进行识别，并
　　调查资产破坏后可能造成的影响大小，根据影响的大小对资产进行相对赋值；
　　第二阶段：安全威胁/脆弱性评估阶段：评估资产所面临的每种威胁发生的可能性；脆弱性评估则从技术、管理、策略方面进行的脆弱程度检查，特别是技术方面，以远程和本地两种方式进行系统扫描和手动抽查的评估；
　　第三阶段：风险的分析阶段：过分析上面所评估的数据，进行风险值计算、区分和确认高风险因素；
　　第四阶段：分险的管理阶段：这一阶段主要是总结整个风险评估过程，制定相关风险控制策略，建立风险评估报告，实施某些紧急风险控制措施。

　　图2：传统风险评估流程图

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。