從最開始接觸風險評估理論到現(xiàn)在，已經(jīng)有將近5個年頭了，從最開始的膜拜捧為必殺技，然后是有一陣子懷疑甚至預棄之不用，到現(xiàn)在重拾之，尊之為做好安全的必備法寶，這么一段起起伏伏的心理歷程。對風險的方法在一步步的加深，本文從風險評估工作最突出的問題：如何得到一致的、可比較的、可重復的風險評估結(jié)果，來加以分析討論。

1.風險評估的現(xiàn)狀

風險理論也逐漸被廣大信息安全專業(yè)人士所熟知，以風險驅(qū)動的方法去管理信息安全已經(jīng)被大部分人所共知和接受，這幾年國內(nèi)等級保護的如火如荼的開展，風險評估工作是水漲船高，加之國內(nèi)信息安全咨詢和服務廠商和機構(gòu)不遺余力的推動，風險評估實踐也在不斷的深入。當前的風險評估的方法主要參照兩個標準，一個是國際標準《ISO13335信息安全風險管理指南》和國內(nèi)標準《GB/T 20984-2007信息安全風險評估規(guī)范》，其本質(zhì)上就是以信息資產(chǎn)為對象的定性的風險評估?；痉椒ㄊ亲R別并評價組織/企業(yè)內(nèi)部所要關注的信息系統(tǒng)、數(shù)據(jù)、人員、服務等保護對象，在參照當前流行的國際國內(nèi)標準如ISO27002,COBIT，信息系統(tǒng)等級保護，識別出這些保護對象面臨的威脅以及自身所存在的能被威脅利用的弱點，最后從可能性和影響程度這兩個方面來評價信息資產(chǎn)的風險，綜合后得到企業(yè)所面臨的信息安全風險。這是大多數(shù)組織在做風險評估時使用的方法。當然也有少數(shù)的組織/企業(yè)開始在資產(chǎn)風險評估的基礎上，在實踐中摸索和開發(fā)出類似與流程風險評估等方法，補充完善了資產(chǎn)風險評估。

2.風險評估的突出問題

信息安全領域的風險評估甚至風險管理的方法是借鑒了銀行業(yè)成熟的風險管理方法，銀行業(yè)業(yè)務風險管理的方法已經(jīng)發(fā)展到相當成熟的地步，并且銀行業(yè)也有非常豐富的基礎數(shù)據(jù)支撐著風險分析方法的運用。但是，風險評估作為信息安全領域的新生事物，或者說舶來之物，盡管信息安全本身在國內(nèi)開展也不過是10來年，風險評估作為先進思想也存在著類似“馬列主義要與中國的實際國情結(jié)合走中國特色社會主義道路”的問題。風險評估的定量評估方法缺少必要的土壤，沒有基礎的、統(tǒng)計數(shù)據(jù)做支撐，定量風險評估寸步難移;而定性的風險評估其方法的本質(zhì)是定性，所謂定性，則意味著估計、大概，不準確，其本質(zhì)的缺陷給實踐帶來無窮的問題，重要問題之一就是投資回報問題，由于不能從財務的角度去評價一個/組風險所帶來的可能損失，因此，也就沒有辦法得到投資回報率，盡管這是個問題，但是實踐當中，一般大的企業(yè)都會有個基本的年度預算，IT/安全占企業(yè)年度預算的百分之多少，然后就是反正就這么些錢，按照風險從高到低或者再結(jié)合其他比如企業(yè)現(xiàn)有管理和技術水平，項目實施的難易度等情況綜合考慮得到風險處理優(yōu)先級，從高到低依次排序，錢到哪花完，風險處理今年就處理到哪。這方法到也比較具有實際價值，操作起來也容易，預算多的企業(yè)也不怕錢花不完，預算少的企業(yè)也有其對付辦法，你領導就給這么些錢，哪些不能處理的風險反正我已經(jīng)告訴你啦，要是萬一出了事情你也怪不得我，沒有出事情，等明年有錢了再接著處理。

這也不算難的，最難最突出的是那些不僅僅做個一次風險評估的企業(yè)，出問題了，幾次風險評估的結(jié)果不具有可比性，有時甚至還出現(xiàn)矛盾的地方，比方說，某個部門去年是某個崗位的上一任做的，今年是另一位做的，評估結(jié)果不能反映去年到今年做的工作改善了企業(yè)所面臨的信息安全風險狀況，甚至細致到某個風險上;更有甚者，比如上次對于某個重要系統(tǒng)，由于沒有必要的操作規(guī)程而導致誤操作而影響系統(tǒng)安全的風險，采取、規(guī)范了操作流程并且培訓了相關操作人員等控制措施，按理說這個風險已經(jīng)是得到必要的控制，風險降低了，但是偏偏評估的結(jié)果不降反升了。這個問題，歸納為一句就是：風險評估如何得到一個一致的、可比較的、可重復的評估結(jié)果。

3.對策

針對定性風險評估這個突出問題，在解決這個問題之前，我們先有必要清晰的界定這個問題。有人可能會問，我們企業(yè)在風險評估結(jié)果中，某項風險為100的風險是不是意味著很大呢？或者問我們企業(yè)風險評估結(jié)果某項風險值為30的風險是不是比其他企業(yè)同類型風險其風險值為100的風險小呢？答案是：都不是。定性風險評估的風險值僅僅是個相對值，其數(shù)值本身的大小不具有意義，其值只在整個風險參照體系中才具有相對 (高/低)價值。企業(yè)與企業(yè)之間的安全風險對比，只有在使用同一風險評估方法 (包括風險計算方法一致，定性尺度一致)，最好是相同行業(yè)并且業(yè)務相似的情況下，才具有橫向可比性。在同一企業(yè)內(nèi)部，風險評估結(jié)果要在不同部門橫向比較，在同一部門縱向比較，那么，則也必須在同一風險評估方法 (包括風險計算方法一致，定性尺度一致)下才具有可比性。

定性風險評估其實踐操作中，主要依靠評估者的個人經(jīng)驗和判斷，具有很強的主觀特性，那我們的問題就變成了：在同一風險評估方法下，如何盡可能的剔除評估者的主觀干擾，使得風險評估的結(jié)果更接近于風險的真實狀況 (盡管這種風險真實狀況無法知曉，但是一定存在)？

解決這個問題出路之一就是結(jié)構(gòu)化。當前所有的咨詢/安全服務公司在幫助企業(yè)做風險評估，或者企業(yè)參照國際國內(nèi)標準自己建立的一套風險評估體系自己進行風險與控制自評估時，一般的操作流程是先做現(xiàn)狀調(diào)研，根據(jù)現(xiàn)狀調(diào)研的結(jié)果來做風險評估?？梢哉f，風險評估是現(xiàn)狀調(diào)研成果的另一種表現(xiàn)形式，更科學，更直觀。那么，現(xiàn)狀調(diào)研的結(jié)果作為風險評估的重要輸入，通過結(jié)構(gòu)化現(xiàn)狀調(diào)研的結(jié)果，即風險與風險應對措施建立結(jié)構(gòu)化的聯(lián)系，這樣在評價某個風險大小，每次都對控制該風險對應的所有應對措施做出分析和評價。

看以下例子：

在風險評估方法上，針對把由于資產(chǎn)責任不明而導致操作人員在誤操作時泄密某服務器上絕密文件的這個具體風險與“資產(chǎn)所有者關系”、“文件化的操作程序”以及“信息安全意識、教育和培訓”三項“應對”措施建立結(jié)構(gòu)化的聯(lián)系。第一次做風險評估時，由于企業(yè)現(xiàn)有控制只有絕密文件的所有者指定了該文件的保護要求這一項控制措施，使得該項風險的弱點值較小，風險評估的結(jié)果為16。

做完第一風險評估之后，后來指定了規(guī)范的操作程序并對人員進行了必要的安全與操作技能培訓，操作人員已經(jīng)完全熟悉操作規(guī)范。第二次做風險評估時，同樣評價這項風險，風險評估的結(jié)果就為4了。

通過以上這個簡單的例子，我們就可以看到，當一旦建立風險與風險應對措施這么一個結(jié)構(gòu)化的關系時，在評價風險的大小時，通過對風險控制的科學分解，使得主觀判斷的負面影響在評估過程中降低。在實踐中，還可以做到更精細些，比如對同一控制措施的控制力度再做劃分，比如剛才那個例子中，“文件化的操作程序”這個操作流程的成熟度的角度來進一步評判控制措施的強度和有效性。當然，同時也需要考慮同類風險之間的關聯(lián)關系以及控制措施之間的關聯(lián)關系。

4.結(jié)束語

以上對定性的風險評估的方法在實踐操作的層面做了有益的探討，這種探討是源自我們的實踐總結(jié)，也在具體的項目中收到良好的效果。總之，我們需要在標準的資產(chǎn)風險評估方法上做必要的加法，同時，我們還要考慮定性評估方法的優(yōu)點恰恰是簡單易操作而得以廣泛運用，在我們做加法的同時，還需要做減法，在保障一致的、可比較和可重復的評估結(jié)果時，還需要還原于其簡單、易操作的本質(zhì)，這樣才能保持該方法的科學性和生命力。這道理恰恰正如大都市里的“我們”為了應對緊張的工作競爭和生活壓力而在城市里更好的立足，要不斷給自己做加法(不停的學習充電)，同時也要不斷給自己做減法(放松、減壓、善待自己)一樣，大家說，不是嗎？!