風(fēng)險(xiǎn)評(píng)估是指從風(fēng)險(xiǎn)管理角度，依據(jù)國(guó)家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)和準(zhǔn)則，運(yùn)用科學(xué)的方法和手段，對(duì)信息系統(tǒng)及處理、傳輸和存儲(chǔ)信息的保密性、完整性及可用性等安全屬性進(jìn)行全面科學(xué)地分析；對(duì)網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及存在的脆弱性進(jìn)行系統(tǒng)的評(píng)價(jià)；對(duì)安全事件一旦發(fā)生可能造成的危害程度進(jìn)行評(píng)估，并提出有針對(duì)性地抵御威脅的防護(hù)對(duì)策和整改措施。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理工作的基礎(chǔ)，為組織提供更全面，更有效的風(fēng)險(xiǎn)信息。

《網(wǎng)絡(luò)安全法》于2017年6月1日正式生效，其中第十七條和二十九條規(guī)定國(guó)家推進(jìn)網(wǎng)絡(luò)安全社會(huì)化服務(wù)體系建設(shè)，鼓勵(lì)有關(guān)企業(yè)、機(jī)構(gòu)開(kāi)展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)和風(fēng)險(xiǎn)評(píng)估等安全服務(wù)。有關(guān)行業(yè)組織建立健全本行業(yè)的網(wǎng)絡(luò)安全保護(hù)規(guī)范和協(xié)作機(jī)制，加強(qiáng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的分析評(píng)估，定期向會(huì)員進(jìn)行風(fēng)險(xiǎn)警示，支持、協(xié)助會(huì)員應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)?！毒W(wǎng)絡(luò)安全法》中多次提到風(fēng)險(xiǎn)評(píng)估，這充分體現(xiàn)了風(fēng)險(xiǎn)評(píng)估在網(wǎng)絡(luò)安全工作中的重要性。

1. 風(fēng)險(xiǎn)評(píng)估要素及識(shí)別

風(fēng)險(xiǎn)評(píng)估要素

中國(guó)軟件評(píng)測(cè)中心認(rèn)為，風(fēng)險(xiǎn)評(píng)估主要涉及資產(chǎn)、威脅、脆弱性和風(fēng)險(xiǎn)4個(gè)主要因素，資產(chǎn)是對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象，如軟硬件、人員、信息與數(shù)據(jù)等。威脅是指可能導(dǎo)致對(duì)系統(tǒng)或組織危害的不希望事故潛在起因。脆弱性是指可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。風(fēng)險(xiǎn)指人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。

風(fēng)險(xiǎn)評(píng)估要素識(shí)別

（1）資產(chǎn)識(shí)別

保密性、完整性和可用性是評(píng)價(jià)資產(chǎn)的三個(gè)安全屬性。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量，而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。資產(chǎn)識(shí)別就是通過(guò)分析每個(gè)資產(chǎn)的保密性、完整性、可用性和重要性，并對(duì)其分別賦值分類和計(jì)算資產(chǎn)價(jià)值的過(guò)程。

（2）威脅識(shí)別

威脅可以通過(guò)威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來(lái)描述。威脅作用形式可以是對(duì)信息系統(tǒng)直接或間接的攻擊，在保密性、完整性和可用性等方面造成損害；也可能是偶發(fā)的、或蓄意的事件。威脅識(shí)別主要是識(shí)別關(guān)鍵資產(chǎn)直接或間接面臨的威脅、威脅分類、威脅來(lái)源和計(jì)算最終威脅值得過(guò)程。

（3）脆弱性識(shí)別

脆弱性識(shí)別是通過(guò)工具或手工等方式，識(shí)別當(dāng)前信息系統(tǒng)中存在的弱點(diǎn)，并根據(jù)賦值規(guī)則得到資產(chǎn)脆弱性值的過(guò)程。脆弱性識(shí)別時(shí)的數(shù)據(jù)來(lái)自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等。脆弱性識(shí)別所采用的方法主要有：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等。

（4）風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析是在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別以及已有安全措施確認(rèn)后進(jìn)行風(fēng)險(xiǎn)值計(jì)算，對(duì)風(fēng)險(xiǎn)進(jìn)行定級(jí)，提出相應(yīng)的風(fēng)險(xiǎn)控制措施的過(guò)程。對(duì)面臨的風(fēng)險(xiǎn)從模糊的感覺(jué)上升到更為科學(xué)、理性的認(rèn)識(shí)。

2. 風(fēng)險(xiǎn)評(píng)估方法

常用的評(píng)估方法有層次分析法、德?tīng)栰撤?、故障?shù)法等。這些方法基本上都遵循了風(fēng)險(xiǎn)評(píng)估流程，只是在具體實(shí)施手段和風(fēng)險(xiǎn)計(jì)算方面有所不同。根據(jù)計(jì)算方法的不同，評(píng)估方法可分為定性風(fēng)險(xiǎn)評(píng)估、定量風(fēng)險(xiǎn)評(píng)估以及定性與定量相結(jié)合的評(píng)估。

定性評(píng)估方法

定性分析方法需要憑借評(píng)估者的知識(shí)、經(jīng)驗(yàn)和直覺(jué)，或者業(yè)界的標(biāo)準(zhǔn)和實(shí)踐，為風(fēng)險(xiǎn)的各個(gè)要素定級(jí)。定性分析法操作相對(duì)容易，但也可能因?yàn)樵u(píng)估者經(jīng)驗(yàn)和直覺(jué)的偏差而使分析結(jié)果失準(zhǔn)。定性方法較為粗糙，但在數(shù)據(jù)資料不夠充分或分析者數(shù)學(xué)基礎(chǔ)較為薄弱時(shí)適用。典型的定性分析方法有因素分析法、邏輯分析法、歷史比較法、德?tīng)柗品ǖ取?/p>

定量評(píng)估方法

定量分析則對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失水平賦予數(shù)值，通過(guò)對(duì)度量風(fēng)險(xiǎn)的所有要素進(jìn)行賦值，建立綜合評(píng)價(jià)的數(shù)學(xué)模型，從而完成風(fēng)險(xiǎn)的量化計(jì)算。定量分析方法準(zhǔn)確，但前期建立系統(tǒng)風(fēng)險(xiǎn)模型較困難。定量方法比較復(fù)雜，在資料比較充分或者風(fēng)險(xiǎn)對(duì)信息資產(chǎn)的危害可能比較大時(shí)適用。常見(jiàn)的定量分析方法有時(shí)序序列分析法、Markov分析法、因子分析法、聚類分析法、決策樹(shù)法、熵權(quán)系數(shù)法等

定性與定量相結(jié)合分析方法

定性與定量結(jié)合分析方法就是將風(fēng)險(xiǎn)要素的賦值和計(jì)算，根據(jù)需要分別采取定性和定量的方法完成。定性是定量的依據(jù)，定量是定性的具體化，二者結(jié)合起來(lái)靈活運(yùn)用才能取得最佳效果。實(shí)際使用時(shí)也可多種風(fēng)險(xiǎn)評(píng)估方法綜合使用，使評(píng)估效果更佳。

3. 風(fēng)險(xiǎn)評(píng)估流程

中國(guó)軟件評(píng)測(cè)中心認(rèn)為，信息安全風(fēng)險(xiǎn)評(píng)估的過(guò)程主要分為：風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、資產(chǎn)識(shí)別過(guò)程、威脅識(shí)別過(guò)程、脆弱性識(shí)別過(guò)程、已有安全措施確認(rèn)過(guò)程和.風(fēng)險(xiǎn)分析過(guò)程六個(gè)階段。

（1） 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備

該階段的主要任務(wù)是制定評(píng)估工作計(jì)劃，包括評(píng)估目標(biāo)、評(píng)估范圍、制定安全風(fēng)險(xiǎn)評(píng)估工作方案。根據(jù)評(píng)估工作需要，組件評(píng)估團(tuán)隊(duì)，明確各方責(zé)任。

（2） 資產(chǎn)識(shí)別過(guò)程

資產(chǎn)識(shí)別主要通過(guò)向被評(píng)估方發(fā)放資產(chǎn)調(diào)查表來(lái)完成。在識(shí)別資產(chǎn)時(shí)，以被評(píng)估方提供的資產(chǎn)清單為依據(jù)，對(duì)重要和關(guān)鍵資產(chǎn)進(jìn)行標(biāo)注，對(duì)評(píng)估范圍內(nèi)的資產(chǎn)詳細(xì)分類。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、服務(wù)和人員等類型。

根據(jù)資產(chǎn)在保密性、完整性和可用性上的不同要求，對(duì)資產(chǎn)進(jìn)行保密性賦值、完整性賦值、可用性賦值和資產(chǎn)重要程度賦值。

（3） 威脅識(shí)別過(guò)程

在威脅評(píng)估階段評(píng)估人員結(jié)合當(dāng)前常見(jiàn)的人為威脅、其可能動(dòng)機(jī)、可利用的弱點(diǎn)、可能的攻擊方法和造成的后果進(jìn)行威脅源的識(shí)別。

威脅識(shí)別完成后還應(yīng)該對(duì)威脅發(fā)生的可能性進(jìn)行評(píng)估，列出為威脅清單，描述威脅屬性，并對(duì)威脅出現(xiàn)的頻率賦值。

（4） 脆弱性識(shí)別過(guò)程

脆弱性分為管理脆弱性和技術(shù)脆弱性。管理脆弱性主要通過(guò)發(fā)放管理脆弱性調(diào)查問(wèn)卷、訪談以及手機(jī)分析現(xiàn)有的管理制度來(lái)完成；技術(shù)脆弱性主要借助專業(yè)的脆弱性檢測(cè)工具和對(duì)評(píng)估范圍內(nèi)的各種軟硬件安全配置進(jìn)行檢查來(lái)識(shí)別。

脆弱性識(shí)別完成之后，要對(duì)具體資產(chǎn)的脆弱性嚴(yán)重程度進(jìn)行賦值，數(shù)值越大，脆弱性嚴(yán)重程度越高。

（5） 已有安全措施確認(rèn)

安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測(cè)系統(tǒng)；保護(hù)性安全措施可以減少因安全事件發(fā)生后對(duì)組織或系統(tǒng)造成的影響。

（6） 風(fēng)險(xiǎn)分析過(guò)程

在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別及已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具進(jìn)行安全風(fēng)險(xiǎn)分析和計(jì)算?？梢愿鶕?jù)自身情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算出風(fēng)險(xiǎn)值，如矩陣法或相乘法等。

如果風(fēng)險(xiǎn)值在可接受的范圍內(nèi)，則改風(fēng)險(xiǎn)為可接受的風(fēng)險(xiǎn)；如果風(fēng)險(xiǎn)值在可接受的范圍外，需要采取安全措施降低控制風(fēng)險(xiǎn)。

4. 風(fēng)險(xiǎn)評(píng)估工作總結(jié)

風(fēng)險(xiǎn)評(píng)估能為全面有效落實(shí)安全管理工作提供基礎(chǔ)。中國(guó)軟件評(píng)測(cè)中中心建議，根據(jù)評(píng)估出的安全隱患，加強(qiáng)安全管理，采取宣傳教育、行政、技術(shù)及監(jiān)督等措施和手段，推動(dòng)各階層員工做好每項(xiàng)安全工作。使企業(yè)每位員工都能真正重視安全工作。必要時(shí)通過(guò)專業(yè)的第三方安全評(píng)測(cè)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)信息進(jìn)行分析評(píng)估，預(yù)測(cè)事件發(fā)生的可能性、影響范圍和危害程度，讓風(fēng)險(xiǎn)評(píng)估為網(wǎng)絡(luò)安全保駕護(hù)航，降低或避免風(fēng)險(xiǎn)發(fā)生的可能性。