容易部署的风险评估框架

申请免费试用、咨询电话：400-8352-114

不用说风险评估本身，风险评估框架的概念似乎就超出了中等规模公司的需求。但是，对于各种规模的公司来说，评估风险的概念是IT安全的核心。而且对保护信息资产感兴趣的任何中等规模的组织——在今天应该是每家公司——都需要有某些形式的风险评估，即使它只是一个成型的裸机框架，而且只适用于小小的人员班子。　　

好消息是，风险评估框架是免费的。可以从网上很容易地下载、打印并按意愿研究。虽然它们显得像神秘的文件，需要一批顾问来实施，但那未必是事实。有一些任何中等规模的公司都可以实施的最佳实践，为其组织剥离甚至最复杂的框架成可用的、匹配组织规模的部分。

风险评估的目标是对您的IT基础设施的各个部分的IT安全风险排列优先级。如果没有对风险排列优先级，企业就不能有效地对控制最大风险进行预算。结果是要么花费太多在过度的或不必要的控制上，要么在另一个极端，让系统暴露在恶意攻击下。并且对于资金短缺的中等规模的公司，预算就是一切，尤其当谈到安全系统时，不是太昂贵就是难于管理。

此外，通过对风险排列优先级，公司可以判定哪些系统处在滥用或受攻击的低风险，避免过多的安全行为；并可以判定哪些系统处在高风险状态，需要更大的保障。有几个风险评估框架，但行业基准来自国家标准研究所（NIST）。

来自NIST的主要刊物，“专门出版物（SP）800-100，信息安全手册：经理人指南”（Special Publication 800-100, Information Security Handbook: A Guide for Managers），确定了在风险评估过程中的四个步骤。下面是一个简化的、大致基于SP 800-100并适用于中等规模公司的风险评估进程。

要有自知

第一步是清点和分类所有IT资产。第二步是识别威胁，第三步是要识别对应的安全漏洞。最后一步是实际的风险分析，包括评估对IT资产的安全控制，确定破坏的可能性和影响，并最终指定风险级别。评估完成后，汇编带有推荐控制措施的报告。应当将风险评估看作是一个定期审查和实施的循环过程，应定期反复进行风险评估。

IT资产清单定义了风险评估的范围。公司在实施安全控制以前，必须知道它已有什么资产以及现有的控制措施（如果有的话）。该清单应包括所有硬件、软件、数据、流程和到外部系统的接口的列表。

下一步是识别威胁。这些威胁包括物理威胁，诸如自然灾害或停电，但当然它也应包括IT安全威胁，例如对系统的恶意访问或恶意攻击。需要有创意。考虑对你的系统最有可能的威胁，既包括来自你经历的威胁，也包括来自安全公告公布的攻击名单，如在卡耐基梅隆（Carnegie Mellon）的美国计算机紧急响应小组（US - CERT）。

但威胁并不是孤立存在的。如果在系统中存在漏洞，它们就可能受到威胁，这是评估过程的第三步。在这里，NIST同样提供了有价值的资源。它的国家漏洞数据库（NVD）是当前威胁的目录和旧的威胁的归档。除了NVD以外，可以检查硬件和软件供应商的网站以查找漏洞列表。诸如黑客公告板的其他来源也是发现漏洞的一个很好的参考。

漏洞也可从安全性测试和系统扫描中获得，包括脆弱性和渗透测试。

收集到所有这些数据以后，最后一步是实际的风险分析。这包括三个子阶段：评估现有的安全控制措施、基于这些控制措施确定破坏的可能性和影响，以及确定风险级别。破坏的可能性和影响均可以分为各高、中和低三个档次。可以为每一个风险级别给定一个风险指数，如从1到10，然后形成一个3*3的矩阵，水平方向为影响，垂直方向为可能性。

随后的风险指数应成为最终报告详细阐述的一部分，如果有的话，应该实施安全控制措施将风险级别降到一个较低的水平，或降低到组织愿意容忍和接受的级别。也可以用风险指数来证明安全措施的成本，特别是在风险比较高时。例如，高风险是潜在破坏的一面红旗，需要立即采取安全控制措施。

虽然这个规模较小的风险评估过程是基于NIST的，其他框架也有类似的方式，包括识别资产、威胁和脆弱性，然后基于收集的数据指定风险。其他框架包括OCTAVE和COBIT。OCTAVE是来自CERT的业务关键威胁、资产和脆弱性评价；COBIT是来自信息系统审计与控制协会对信息和相关技术的控制目标。

无论您选择什么框架，对于中等规模的公司来说，风险评估仍像是一个大项目。它可能用尽人员并耗费时间，这两个方面都只需要在短期内得到供应。但是，在一个更小的公司，进行风险评估并不是一个全职的工作。可以由某位IT工作人员定期处理它们，例如每年或当有大的系统变更时，如在收购或安装新的、主要的IT系统期间。

在做风险评估时，另一种节省时间的方法是限制范围。例如，许多中等规模的公司并不在内部做应用开发。这就不需要审查。对于大多数中等规模的公司，应坚持最关注的项目——访问管理、网络安全、物理安全和网站安全——你应该审查“面包和黄油”。

对于任何信息安全计划，风险评估都是至关重要的。对于任何中等规模的公司来说，这些步骤应有助于简化风险评估的过程。