容易部署的風(fēng)險評估框架

申請免費試用、咨詢電話：400-8352-114

不用說風(fēng)險評估本身，風(fēng)險評估框架的概念似乎就超出了中等規(guī)模公司的需求。但是，對于各種規(guī)模的公司來說，評估風(fēng)險的概念是IT安全的核心。而且對保護信息資產(chǎn)感興趣的任何中等規(guī)模的組織——在今天應(yīng)該是每家公司——都需要有某些形式的風(fēng)險評估，即使它只是一個成型的裸機框架，而且只適用于小小的人員班子?！　?/P>

好消息是，風(fēng)險評估框架是免費的。可以從網(wǎng)上很容易地下載、打印并按意愿研究。雖然它們顯得像神秘的文件，需要一批顧問來實施，但那未必是事實。有一些任何中等規(guī)模的公司都可以實施的最佳實踐，為其組織剝離甚至最復(fù)雜的框架成可用的、匹配組織規(guī)模的部分。

風(fēng)險評估的目標(biāo)是對您的IT基礎(chǔ)設(shè)施的各個部分的IT安全風(fēng)險排列優(yōu)先級。如果沒有對風(fēng)險排列優(yōu)先級，企業(yè)就不能有效地對控制最大風(fēng)險進行預(yù)算。結(jié)果是要么花費太多在過度的或不必要的控制上，要么在另一個極端，讓系統(tǒng)暴露在惡意攻擊下。并且對于資金短缺的中等規(guī)模的公司，預(yù)算就是一切，尤其當(dāng)談到安全系統(tǒng)時，不是太昂貴就是難于管理。

此外，通過對風(fēng)險排列優(yōu)先級，公司可以判定哪些系統(tǒng)處在濫用或受攻擊的低風(fēng)險，避免過多的安全行為；并可以判定哪些系統(tǒng)處在高風(fēng)險狀態(tài)，需要更大的保障。有幾個風(fēng)險評估框架，但行業(yè)基準(zhǔn)來自國家標(biāo)準(zhǔn)研究所（NIST）。

來自NIST的主要刊物，“專門出版物（SP）800-100，信息安全手冊：經(jīng)理人指南”（Special Publication 800-100, Information Security Handbook: A Guide for Managers），確定了在風(fēng)險評估過程中的四個步驟。下面是一個簡化的、大致基于SP 800-100并適用于中等規(guī)模公司的風(fēng)險評估進程。

要有自知

第一步是清點和分類所有IT資產(chǎn)。第二步是識別威脅，第三步是要識別對應(yīng)的安全漏洞。最后一步是實際的風(fēng)險分析，包括評估對IT資產(chǎn)的安全控制，確定破壞的可能性和影響，并最終指定風(fēng)險級別。評估完成后，匯編帶有推薦控制措施的報告。應(yīng)當(dāng)將風(fēng)險評估看作是一個定期審查和實施的循環(huán)過程，應(yīng)定期反復(fù)進行風(fēng)險評估。

IT資產(chǎn)清單定義了風(fēng)險評估的范圍。公司在實施安全控制以前，必須知道它已有什么資產(chǎn)以及現(xiàn)有的控制措施（如果有的話）。該清單應(yīng)包括所有硬件、軟件、數(shù)據(jù)、流程和到外部系統(tǒng)的接口的列表。

下一步是識別威脅。這些威脅包括物理威脅，諸如自然災(zāi)害或停電，但當(dāng)然它也應(yīng)包括IT安全威脅，例如對系統(tǒng)的惡意訪問或惡意攻擊。需要有創(chuàng)意?？紤]對你的系統(tǒng)最有可能的威脅，既包括來自你經(jīng)歷的威脅，也包括來自安全公告公布的攻擊名單，如在卡耐基梅?。–arnegie Mellon）的美國計算機緊急響應(yīng)小組（US - CERT）。

但威脅并不是孤立存在的。如果在系統(tǒng)中存在漏洞，它們就可能受到威脅，這是評估過程的第三步。在這里，NIST同樣提供了有價值的資源。它的國家漏洞數(shù)據(jù)庫（NVD）是當(dāng)前威脅的目錄和舊的威脅的歸檔。除了NVD以外，可以檢查硬件和軟件供應(yīng)商的網(wǎng)站以查找漏洞列表。諸如黑客公告板的其他來源也是發(fā)現(xiàn)漏洞的一個很好的參考。

漏洞也可從安全性測試和系統(tǒng)掃描中獲得，包括脆弱性和滲透測試。

收集到所有這些數(shù)據(jù)以后，最后一步是實際的風(fēng)險分析。這包括三個子階段：評估現(xiàn)有的安全控制措施、基于這些控制措施確定破壞的可能性和影響，以及確定風(fēng)險級別。破壞的可能性和影響均可以分為各高、中和低三個檔次?？梢詾槊恳粋€風(fēng)險級別給定一個風(fēng)險指數(shù)，如從1到10，然后形成一個3*3的矩陣，水平方向為影響，垂直方向為可能性。

隨后的風(fēng)險指數(shù)應(yīng)成為最終報告詳細闡述的一部分，如果有的話，應(yīng)該實施安全控制措施將風(fēng)險級別降到一個較低的水平，或降低到組織愿意容忍和接受的級別。也可以用風(fēng)險指數(shù)來證明安全措施的成本，特別是在風(fēng)險比較高時。例如，高風(fēng)險是潛在破壞的一面紅旗，需要立即采取安全控制措施。

雖然這個規(guī)模較小的風(fēng)險評估過程是基于NIST的，其他框架也有類似的方式，包括識別資產(chǎn)、威脅和脆弱性，然后基于收集的數(shù)據(jù)指定風(fēng)險。其他框架包括OCTAVE和COBIT。OCTAVE是來自CERT的業(yè)務(wù)關(guān)鍵威脅、資產(chǎn)和脆弱性評價；COBIT是來自信息系統(tǒng)審計與控制協(xié)會對信息和相關(guān)技術(shù)的控制目標(biāo)。

無論您選擇什么框架，對于中等規(guī)模的公司來說，風(fēng)險評估仍像是一個大項目。它可能用盡人員并耗費時間，這兩個方面都只需要在短期內(nèi)得到供應(yīng)。但是，在一個更小的公司，進行風(fēng)險評估并不是一個全職的工作?？梢杂赡澄籌T工作人員定期處理它們，例如每年或當(dāng)有大的系統(tǒng)變更時，如在收購或安裝新的、主要的IT系統(tǒng)期間。

在做風(fēng)險評估時，另一種節(jié)省時間的方法是限制范圍。例如，許多中等規(guī)模的公司并不在內(nèi)部做應(yīng)用開發(fā)。這就不需要審查。對于大多數(shù)中等規(guī)模的公司，應(yīng)堅持最關(guān)注的項目——訪問管理、網(wǎng)絡(luò)安全、物理安全和網(wǎng)站安全——你應(yīng)該審查“面包和黃油”。

對于任何信息安全計劃，風(fēng)險評估都是至關(guān)重要的。對于任何中等規(guī)模的公司來說，這些步驟應(yīng)有助于簡化風(fēng)險評估的過程。