定性评估

内容为风险评估的基本要素，与这些要素相关的属性，也是风险

评估要素的一部分。风险评估的工作是围绕其基本要素展开的，在

对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全

事件、残余风险等与这些基本要素相关的各类因素。

这些要素之间存在着以下关系：业务战略依赖于资产去完成；资

产拥有价值，单位的业务战略越重要，对资产的依赖度越高，资产

的价值则就越大；资产的价值越大则风险越大；风险是由威胁发起

的，威胁越大则风险越大，并可能演变成安全事件；威胁都要利用

脆弱性，脆弱性越大则风险越大；脆弱性使资产暴露，是未被满足

的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险；

资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全

措施来得以满足，且是有成本的；安全措施可以抗击威胁，降低风

险，减弱安全事件的影响；风险不可能也没有必要降为零，在实施

了安全措施后还会有残留下来的风险——一部分残余风险来自于安

全措施可能不当或无效,在以后需要继续控制这部分风险，另一部分

残余风险则是在综合考虑了安全的成本与资产价值后，有意未去控

制的风险，这部分风险是可以被接受的；残余风险应受到密切监视，

因为它可能会在将来诱发新的安全事件。

风险因素识别阶段的工作流程和内容如下：

1）识别需要保护的资产。依据对象确立输出的三个报告，即《信息

系统的描述报告》、《信息系统的分析报告》和《信息系统的安全

要求报告》，识别对机构使命具有关键和重要作用的需要保护的资

产，形成《需要保护的资产清单》。

2）识别面临的威胁。依据对象确立输出的三个报告，参照威胁库，

识别机构的信息资产面临的威胁，形成《面临的威胁列表》。威胁

库是有关威胁的外部共享数据和内部历史数据的汇集。

3）识别存在的脆弱性。依据对象确立输出的三个报告，参照漏洞库，

识别机构的信息资产存在的脆弱性，形成《存在的脆弱性列表》。

漏洞库是有关脆弱性/漏洞的外部共享数据和内部历史数据的汇集。

风险因素的识别方式包括文档审查、人员访谈、现场考察、辅助工

具等多种形式，可以根据实际情况灵活采用和结合使用。

风险程度分析阶段的工作流程和内容如下：

1）确认已有的安全措施。依据对象确立输出的三个报告，即《信息

系统的描述报告》、《信息系统的分析报告》和《信息系统的安全

要求报告》，确认已有的安全措施，包括技术层面（即物理平台、

系统平台、通信平台、网络平台和应用平台）的安全功能、组织层

面（即结构、岗位和人员）的安全控制和管理层面（即策略、规章

和制度）的安全对策，形成《已有安全措施分析报告》。

2）分析威胁源的动机。依据对象确立输出的三个报告和《面临的威

胁列表》，从利益、复仇、好奇和自负等驱使因素，分析威胁源动

机的强弱，形成《威胁源分析报告》。

3）分析威胁行为的能力。依据对象确立输出的三个报告和《面临的

威胁列表》，从攻击的强度、广度、速度和深度等方面，分析威胁

行为能力的高低，形成《威胁行为分析报告》。

4）分析脆弱性的被利用性。依据对象确立输出的三个报告、《面临

的威胁列表》和《存在的脆弱性列表》，按威胁/脆弱性对，分析脆

弱性被威胁利用的难以程度，形成《脆弱性分析报告》。

5）分析资产的价值。依据对象确立输出的三个报告和《需要保护的

资产清单》，从敏感性、关键性和昂贵性等方面，分析资产价值的

大小，形成《资产价值分析报告》。

6）分析影响的程度。依据对象确立输出的三个报告和《需要保

护的资产清单》，从资产损失、使命妨碍和人员伤亡等方面，分析

影响程度的深浅，形成《影响程度分析报告》。

风险等级评价阶段的工作流程和内容如下：

1）评价威胁源动机的等级。依据《威胁源分析报告》，给出威胁源

动机的等级，形成《威胁源等级列表》。

2）评价威胁行为能力的等级。依据《威胁行为分析报告》，给出威

胁行为能力的等级，形成《威胁行为等级列表》。

3）评价脆弱性被利用的等级。依据《脆弱性分析报告》，给出脆弱

性被利用的等级，形成《脆弱性等级列表》。

4）评价资产价值的等级。依据《资产价值分析报告》，给出资产价

值的等级，形成《资产价值等级列表》。

5）评价影响程度的等级。依据《影响程度分析报告》，给出影响程

度的等级，形成《影响程度等级列表》。

6）综合评价风险的等级。汇总上述分析报告和等级列表，从风险评

估算法库中选择合适的风险评估算法，综合评价风险的等级，形成

《风险评估报告》。风险评估算法库是各种风险评估算法的汇集，

包括公认算法和自创算法。

评价等级级数可以根据评价对象的特性和实际评估的需要而定，

如〈高、中、低〉三级，〈很高、较高、中等、较低、很低〉五级

等。

在风险评估的识别、分析和评价过程中，需要利用适当且有效的

评估方法和评估工具。

定性评估方法和定量评估方法。

专家系统和过程式算法。

基本评估方法、非常评估方法、详细评估方法和综合评估方法。

等。

风险识别方法

识别风险的途径包括核对表基于经验和记录的判断、流程图、集体

讨论、系统分析、情况分析和系统工程方法。所使用的方法将取决

于所评审的活动的性质和风险的类型。

风险分析方法

风险分析根据对各要素的指标量化以及计算方法不同分为定性分析、

半定量分析和定量分析的风险分析方法，或者是这些分析的组合。

定性分析方法

定性分析方法是被广泛使用的一种风险分析方法，也是出现在大部

分标准中的一种方法。它对风险产生的可能性和风险产生的后果基

于“低/中/高”这种表达方式，而不是准确的可能性和损失量。

该方法通常只关注威胁事件所带来的损失（Loss），而忽略事件发

生的概率（Probability）。多数定性风险分析方法依据组织面临的

威胁、脆弱点以及控制措施等元素来决定安全风险等级。在定性评

估时并不使用具体的数据，而是指定期望值，如设定每种风险的影

响值和概率值为“高”、“中”、“低”。有时单纯使用期望值，并不能明

显区别风险值之间的差别。可以考虑为定性数据指定数值。例如，

设“高”的值为3，“中”的值为2，“低”的值为1。但是要注意的是，这

里考虑的只是风险的相对等级，并不能说明该风险到底有多大。所

以，不要赋予相对等级太多的意义，否则将会导致错误的决策。

定性分析常用于：

初始的筛选活动，以鉴定出需要更详细分析的风险。

风险的程度不能证明要进行更充分的分析所需的时间和努力是合算

的场合

数据不足以进行定量分析的场合

半定量分析

在半定量分析中，上述的那些定性数值范围均为已知值。每项说明

所指定的数字并不一定与后果或可能性的实际大小程度具有精确的

关系。假如用来进行优先化系统与选择用来对数字赋值和组合的系

统是相匹配的，则可将这些数字采用一系列公式中的任何一个公式

加以组合。目的是为了得到比通常在定性分析中所得到的更为详细

的优先化，但并非要提出任何在定量分析中所试图的到的风险的实

际值。

使用半定量分析时必须小心，因为所选择的数字未必能正确地反映

会导致不一致结果的相关性。半定量分析可能不能恰当地区分各种

风险，尤其是当结果或可能性处于极端状态时。

有时，将可能性考虑成是由两个要素组成的较为恰当，通常称为暴

露频率和概率。

暴露频率是风险来源存在的程度，，而概率是随着该风险源的存在

而产生的后果的机会。在这两个要素之间的关系并非完全独立的情

况下，即暴露频率与概率之间的关系密切时，就必须谨慎。

定量分析

定量风险分析方法关注的是资产的价值和威胁的量化数据。

定量分析方法利用两个基本的元素：威胁事件发生的概率和可能造

成的损失。把这两个元素简单相乘的结果称为ALE（AnnualLoss

Expectancy）或EAC（EstimatedAnnualCost）[2]。理论上可以

依据ALE计算威胁事件的风险等级，并且做出相应的决策。文献[1]

提出了一种定量风险评估方法。该方法首先评估特定资产的价值

V，把信息系统分解成各个组件可能更加有利于整个系统的定价，

一般按功能单元进行分解；然后根据客观数据计算威胁的频率P；

最后计算威胁影响系数µ，因为对于每一个风险，并不是所有的资

产所遭受的危害程度都是一样的，程度的范围可能从无危害到彻底

危害（即完全破坏）。根据上述三个参数，计算ALE：

ALE＝V×P×µ

但是这种方法存在一个问题，就是数据的不可靠和不精确。对于某

些类型的安全威胁，存在可用的信息。例如，可以根据频率数据估

计人们所处区域的自然灾害发生的可能性（如洪水和地震）。也可

以用事件发生的频率估计一些系统问题的概率，例如系统崩溃和感

染病毒。但是，对于一些其他类型的威胁来说，不存在频率数据，

影响和概率很难是精确的。此外，控制和对策措施可以减小威胁事

件发生的可能性，而这些威胁事件之间又是相互关联的。这将使定

量评估过程非常耗时和困难。

鉴于以上难点，可以转用客观概率和主观概率相结合的方法。应用

于没有直接根据的情形，可能只能考虑一些间接信息、有根据的猜

测、直觉或者其他主观因素，称为主观概率[3]。应用主观概率估计

由人为攻击产生的威胁需要考虑一些附加的威胁属性，如动机、手

段和机会等。

因此，真正使用此类方法来评估是很有难度的。

实践中常用方法

在风险管理的前期准备阶段，组织已经根据安全目标确定了自己的

安全战略，其中就包括对风险评估战略的考虑。所谓风险评估战略，

其实就是进行风险评估的途径，也就是规定风险评估应该延续的操

作过程和方式。

风险评估的操作范围可以是整个组织，也可以是组织中的某一部门，

或者独立的信息系统、特定系统组件和服务。影响风险评估进展的

某些因素，包括评估时间、力度、展开幅度和深度，都应与组织的

环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风

险评估方法。目前，实际工作中经常使用的风险评估方法包括基线

评估、详细评估和组合评估三种。

基线评估

如果组织的商业运作不是很复杂，并且组织对信息处理和网络的依

赖程度不是很高，或者组织信息系统多采用普遍且标准化的模式，

基线风险评估（BalineRiskAsssment）就可以直接而简单地

实现基本的安全水平，并且满足组织及其商业环境的所有要求。

采用基线风险评估，组织根据自己的实际情况（所在行业、业务环

境与性质等），对信息系统进行安全基线检查（拿现有的安全措施

与安全基线规定的措施进行比较，找出其中的差距），得出基本的

安全需求，通过选择并实施标准的安全措施来消减和控制风险。所

谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者

惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基

本的安全需求，能使系统达到一定的安全防护水平。组织可以根据

以下资源来选择安全基线：

国际标准和国家标准，例如BS7799-1、ISO13335-4；

行业标准或推荐，例如德国联邦安全局IT基线保护手册；

来自其他有类似商务目标和规模的组织的惯例。

当然，如果环境和商务目标较为典型，组织也可以自行建立基线。

基线评估的优点是需要的资源少，周期短，操作简单，对于环境相

似且安全需求相当的诸多组织，基线评估显然是最经济有效的风险

评估途径。当然，基线评估也有其难以避免的缺点，比如基线水平

的高低难以设定，如果过高，可能导致资源浪费和限制过度，如果

过低，可能难以达到充分的安全，此外，在管理安全相关的变化方

面，基线评估比较困难。

基线评估的目标是建立一套满足信息安全基本目标的最小的对策集

合，它可以在全组织范围内实行，如果有特殊需要，应该在此基础

上，对特定系统进行更详细的评估。

详细评估

详细风险评估要求对资产进行详细识别和评价，对可能引起风险的

威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全

措施。这种评估途径集中体现了风险管理的思想，即识别资产的风

险并将风险降低到可接受的水平，以此证明管理者所采用的安全控

制措施是恰当的。

详细评估的优点在于：

组织可以通过详细的风险评估而对信息安全风险有一个精确的认识，

并且准确定义出组织目前的安全水平和安全需求；

详细评估的结果可用来管理安全变化。

当然，详细的风险评估可能是非常耗费资源的过程，包括时间、精

力和技术，因此，组织应该仔细设定待评估的信息系统范围，明确

商务环境、操作和信息资产的边界。

组合评估

基线风险评估耗费资源少、周期短、操作简单，但不够准确，适合

一般环境的评估；详细风险评估准确而细致，但耗费资源较多，适

合严格限定边界的较小范围内的评估。基于此，实践当中，组织多

是采用二者结合的组合评估方式。

为了决定选择哪种风险评估途径，组织首先对所有的系统进行一次

初步的高级风险评估，着眼于信息系统的商务价值和可能面临的风

险，识别出组织内具有高风险的或者对其商务运作极为关键的信息

资产（或系统），这些资产或系统应该划入详细风险评估的范围，

而其他系统则可以通过基线风险评估直接选择安全措施。

这种评估途径将基线和详细风险评估的优势结合起来，既节省了

评估所耗费的资源，又能确保获得一个全面系统的评估结果，而且，

组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的

信息系统能够被预先关注。当然，组合评估也有缺点：如果初步的

高级风险评估不够准确，某些本来需要详细评估的系统也许会被忽

略，最终导致结果失准。