浅谈企业风险评估

前言

孙子兵法中说“知己知彼，百战不殆”，只有充分的认识自己和敌人，才能取得战争的胜利。实际情况中，知彼难，知己易，因此作战前往往先从知己开始。企业内做安全也是一样的，只能充分认识到企业内存在的安全风险，才能提出有针对性的计划去消除这些风险。今天就来看看企业内要如何去做风险评估。

由于本人水平有限，文章中可能会出现一些错误，欢迎各位大佬指正，感激不尽。如果有什么好的想法也欢迎交流~~

风险评估是什么

是指企业在特定的范围内，通过识别和评估风险并制定相关计划和安全措施，从而最大程度降低或控制这些风险及其对企业造成的潜在影响，使其降到一个可接受的等级并持续保持的过程。

那么都存在什么风险要素呢？下面来看看风险要素的关系

●资产(Asset)是指企业拥有的能够体现价值的资源，包括人、设备、数据、信息系统以及知识产权等。

●脆弱性(Vulnerability)是指信息系统、软件、硬件及其使用过程中存在的可能会被威胁利用的薄弱环节或者人为缺陷，也可以称为漏洞。

●威胁(Threat)是指识别到特定脆弱性并利用其来危害企业或个人，利用脆弱性的主体称为威胁主体，如黑客、渗透测试人员等。

●风险(Risk)是指威胁主体利用脆弱性造成业务影响的可能性。

●暴露(Exposure)是指威胁主体造成的资产损失的实例，如黑客入侵导致数据泄露的安全事件。

●对策(Countermeasure)是指能够缓解潜在的风险的手段，可以是软件配置、部署硬件设备或者安全控制措施，也可以称为防护措施(Safeguard)。

例如某个企业被黑客攻击导致用户数据泄露的事件，事后经安全部门溯源检查发现，这是因为一些Windows服务器的系统更新是关闭的且从未更新过“补丁”。在这个事件中，未更新补丁的服务器就是脆弱性，黑客就是威胁主体，黑客利用未更新补丁的服务器，导致了数据损失的可能，这就是风险。而发生了数据泄露事件，造成的企业的经济与名誉损失，这就是暴露。倘若在安全事件发生之前，安全部门在日常安全扫描工作中发现了问题，督促相应责任人进行补丁更新，就可以大大降低攻击的风险，从而避免黑客攻击事件的发生。这就是减少安全事件的常见对策之一。

为什么要做风险评估

安全人员在进行安全规划时应明确在众多业务系统中哪些资产是最重要、最需要保护的，如何通过资产识别与评估来找到对业务生存最为关键的东西，从而建立以信息安全风险为导向的企业信息安全体系，这就是进行风险管理的目的。

风险评估的流程

风险评估一般通过下面的步骤进行，大致可以分为三个阶段：规划阶段，风险计算阶段，风险处置阶段

规划阶段

在规划阶段，应制定企业总体风险管理策略，以便更好地对企业风险进行管理。

制定风险管理策略的关键环节是根据不同业务特点确定风险接受等级，并据此确定相应的风险对策，根据风险与收益相平衡的原则，进一步确定风险管理的优先顺序。

企业应进行有效的信息安全风险管理，建立相应的组织和流程以开展工作，在控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的等级。

同时在规划阶段应确认实施的范围，确认工具以及确认可接受的风险等级

风险计算阶段

要进行风险计算，首先需要进行资产识别，威胁识别，脆弱性识别以及现有安全措施确认，并进行资产赋值，再通过风险分析方法计算，最终得出风险结果

资产识别

风险评估离不开安全保护对象，首先就是确定评估对象。在风险评估实施中，资产识别的目的就是明确具体的保护对象，准确清晰地定位保护对象。这是非常关键的一步，它对于后续风险评估工作的开展起着至关重要的作用，同时资产识别内容的恰当与否，也决定着评估结果的公正性、合理性。

风险评估人员需要在划定的评估范围内，识别出信息系统所有资产，并根据资产的表现形式，将资产分为数据、软件、硬件、服务、环境和基础设施、人员等。

资产分类

资产是风险评估的对象，不同资产，因功能的不同，其重要程度也不同。因此，对资产合理分类尤为重要，它是后续确定资产的重要程度，以及进行安全需求分析的基础。资产分类的方式多种多样，组织可根据不同的标准，以及组织的管理目标建立资产分类清单。由于风险评估的具体对象一般指信息资产，可将信息资产分为数据、服务、信息系统、平台或支撑系统、基础设施、人员管理等。在实际工作中，具体的资产分类方法还可以根据评估对象和要求决定。

如下图是一个简单的资产分类示例：

资产赋值

在进行资产识别的同时，根据资产的重要程度对资产进行赋值。我们可以从下面的几个方面给资产进行赋值，最终得到资产重要等级。

1）保密性

2）完整性

3）可用性

4）业务承载性赋值

通过对上面的几种属性进行赋值，然后进行加权计算，得到资产的重要性最终赋值结果。一般分为下面的5种。

资产识别方式

资产识别一方面要识别出有哪些资产，另一方面要识别出每项资产自身的关键属性。要做到对资产进行准确的识别需要采用科学合理的方法，资产识别的方法并非一成不变，而是根据实际的情况因地制宜。下面是一些常用的资产识别方法

1）调查分析法

资产调查是识别资产的重要途径。资产调查一方面应调查出有哪些资产，另一方面要调查出每项资产自身的关键属性。资产调查法包括阅读文档、访谈相关人员、查看相关资产、利用工具主动扫描或被动探测等。

2）定性分析法

定性分析一般在调查之后、定量分析之前进行，定性分析法是识别组织由哪些资产组成，为设计或选择定量方法提供有用的输入信息，但并非所有的定量分析前都必须进行定性分析。

3）定量分析法

定量分析法指通过分析组织所包含资产的数量、资产安全属性的数量关系和数量变化，最后采用“数量”对风险加以描述。

在风险评估的资产识别中，调查分析法、定性分析法和定量分析法三种方法通常结合使用，先采用调查分析法采集信息，再使用定性分析法确定安全属性的级别，最后采用定量分析法综合计算重要性的赋值和等级。

资产识别工具

1）手工记录表格

手工记录表格主要以资产调查表为主，资产调查表可以记录资产识别活动，常用于收集被评估组织信息资产的各方面信息，以及安全需求。

2）自动化工具

自动化工具包括资产信息收集工具、被动监测工具和主动探测工具等。

3）辅助资料

根据实际情况可能还会用到一些辅助的工具或者材料。比如评估组织提供最新的、详细的网络拓扑图，以及行业运行流程图，这些辅助资料均有助于资产识别活动的开展，还可以避免在资产识别过程中发生遗漏。

资产识别实例

首先对资产的安全属性进行赋值

得到最后资产的重要程度

威胁识别

威胁是指特定威胁源成功利用特定脆弱性（漏洞）的潜在可能。当没有可利用的脆弱性时，威胁源并不代表风险。各类组织或信息资产可以面临来自人、组织、自然或信息资产自身故障等的威胁。因此，如何识别不同种类威胁对不同组织或信息资产的作用，成为预警和规避安全风险的关键工作之一。

常见的威胁

威胁的赋值

威胁实例

脆弱性识别

脆弱性是信息系统设计、实施、操作和控制过程中存在的可被威胁利用而造成系统安全危害的缺陷或弱点。脆弱性识别是风险评估中最重要的环节之一。脆弱性识别是以资产为核心的。针对每一项需要保护的资产，识别可能被威胁利用的弱点，并按照脆弱性被威胁利用时对资产造成的损害程度进行评估。

脆弱性识别主要从技术和管理两个方面进行分类，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题，管理脆弱性又分为技术管理和组织管理两方面。技术脆弱性与具体技术活动相关，管理脆弱性与管理环境相关

脆弱性赋值

通过业务、威胁、脆弱性和已有安全措施识别结果，得出脆弱性可利用性和严重程度，并可以进行等级化处理，不同的等级代表业务和资产脆弱性可利用性和严重程度的高低。

脆弱性识别方法

脆弱性识别主要是通过工具扫描或手工等不同方式，识别资产或当前系统中存在的脆弱性。

目前，业界对脆弱性识别所采用的方法主要有：

● 问卷调查；

● 工具检测：使用漏洞检测工具（或定制的脚本）识别脆弱性，对被评估系统进行扫描，可以获得较高的检测效率，省去大量的手工重复操作，花费低、效果好、节省人力和时间

● 人工检查；

● 文档查阅；

● 渗透性测试

脆弱性识别工具

业界常用的脆弱性识别工具有漏洞扫描工具、渗透测试工具、补丁检查工具和检查列表等。

已有安全措施识别

有效的安全控制措施能够减少安全事件发生的可能性，也可以减轻安全事件造成的不良影响。因此，在风险分析之前，有必要识别被评估组织已有的安全控制措施，并对措施的有效性进行确认，为后续的风险分析提供参考依据。

根据安全需求部署，用来防范威胁，降低风险的措施，例如：● 部署防火墙、IDS、审计系统● 测试环节● 操作审批环节● 应急体系● 终端U盘管理制度

可以通过检查文档，人员访谈，问卷调查，实地检查，安全扫描，线上安全测试，仿真验证等方式确认已有的安全措施。

举例

风险分析方式

风险分析工作是风险管理工作的重要组成部分，主要包括两种，一种是定量风险分析，另一种是定性风险分析。

定量风险分析

将货币和数值分配给风险评估的所有元素。风险评估团队通过全面识别资产、威胁、脆弱性、损失百分比以及年发生频率等因素，并对这些因素赋予具体数值，最后计算出风险的确切经济损失。

风险计算公式：

单次风险经济损失=资产×损失百分比

年风险经济损失=单次风险经济损失×年发生频率

控制措施价值=未采取控制措施的风险结果−采取控制措施的风险结果−成本

举个简单的例子，假设您的企业在南海某个小岛建了一个数据中心，价值3000万元。如果台风、海啸来临，可能损失40%，那么它的损失百分比就是40%，那么经过计算单次风险经济损失是1200万元。如果5年发生一次，那么它的年发生频率就是0.2，年风险经济损失就是240万元。当您采取了相应的安全措施，如有了防台风、海啸的手段，那么您的损失百分比可能就变成了10%，那么年风险经济损失的计算结果是60万元；防台风、海啸的设备和人力成本是100万元，那么控制措施价值就是80万元。

定性分析方式

基于意见分析风险、使用场景及评级。

风险评估团队通过问卷调查、现场访谈等方式结合信息系统所承载的主要业务功能和要求、网络结构与网络环境、系统边界，主要的硬件、软件、数据和信息，系统和数据的敏感性，以及相关的人员情况等方面进行充分的调查，最后得出风险等级划分以及价值赋值，赋值范围为1～5，计算出的风险值同样也映射到5个等级的风险：极高风险(5)、高风险(4)、中风险(3)、低风险(2)、极低风险(1)。原则上风险等级不小于3的风险，视为不可接受风险

风险计算公式：

总风险值 = 资产等级 × 威胁等级 × 脆弱性等级

控制措施价值=未采取控制措施的风险结果−采取控制措施的风险结果−成本

仍然以南海的数据中心为例：风险评估团队通过对相应人员进行现场访谈，结合数据中心环境及结构、承载的系统、数据敏感性，以及业务重要程度等情况进行充分的调查，最后得出风险等级划分以及价值赋值。将资产等级赋值为5，将脆弱性等级赋值为5，将威胁等级赋值为4，计算出总风险值为100，风险标识为高风险，需要进行风险处理。当执行控制措施后，威胁等级赋值变为了3，脆弱性等级赋值变为3，总风险值为45，剩余风险标识为低风险，降低了风险等级。

风险处置阶段

上面完成了风险的评估工作，既然发现了风险就要对风险进行处置。

风险处置是指通过制定并实施控制风险的手段，确保风险降低到可接受的等级的方法，主要包括风险缓解、风险转移、风险接受以及风险规避。

• 风险缓解，指通过相应的策略措施将风险降低到可接受的等级，如开展安全意识培训、部署防火墙或入侵检测系统等对相应的风险进行降级。
• 风险转移，指通过合同或协议将风险转移给其他主体，如选择多种保险来保护资产，将把风险转移到保险公司。
• 风险接受，指风险管理组了解面临的风险以及潜在的损失，通过成本/收益分析结果表明修复风险的成本要大于潜在损失的价值时，决定不实施相应的安全对策。如果企业的潜在损失价值为1000元，而采取安全对策的成本为1500元，修复风险的成本比潜在损失的价值还要大，那么按照成本/收益分析，通常企业都会选择接受风险。
• 风险规避，指通过终止带来风险的活动进行风险处理，如使用的Windows系统提供对外服务，发现存在相应的Windows系统漏洞，可能被黑客利用，对策是将Windows系统更换为Linux系统，从而规避相应的风险。

总结

本篇文章简要的介绍了企业内进行安全评估的一些知识，先知己才能有针对性的进行安全建设。风险评估也可以为安全建设提供参考。

学累了试试能不能通关抓大鹅

原文始发于微信公众号（信安路漫漫）：浅谈企业风险评估