简单易用的风险评估框架

日期: 2010-11-07 作者:Joel Dubin翻译:木易 来源:TechTarget中国 英文

抛开风险评估本身,对其建立框架似乎也超出了中型企业的需求。但是对于任何规模的企业来说,风险评估是IT安全方面的核心内容。任何一个想进行信息资产(所有现代企业都拥有)保护的中型企业都需要某种形式的风险评估,即使仅仅是一个针对小部分员工而提炼出来的粗略框架。   令人高兴的是很多风险评估框架以免费形式存在,可以从网上自由下载、打印和学习,尽管其中有部分会比较晦涩难懂,需要一个顾问团队来提供咨询协助。

对于那些相当复杂的框架,也有一些很好的案例能够帮助中型企业将其简化提炼,使之最终适合于自身的情况。   对于IT安全方面,风险评估的目的是明示出IT基础设施所面临的各种风险重大程度。如果没有风险评估的步……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

抛开风险评估本身,对其建立框架似乎也超出了中型企业的需求。但是对于任何规模的企业来说,风险评估是IT安全方面的核心内容。任何一个想进行信息资产(所有现代企业都拥有)保护的中型企业都需要某种形式的风险评估,即使仅仅是一个针对小部分员工而提炼出来的粗略框架。

  令人高兴的是很多风险评估框架以免费形式存在,可以从网上自由下载、打印和学习,尽管其中有部分会比较晦涩难懂,需要一个顾问团队来提供咨询协助。对于那些相当复杂的框架,也有一些很好的案例能够帮助中型企业将其简化提炼,使之最终适合于自身的情况。

  对于IT安全方面,风险评估的目的是明示出IT基础设施所面临的各种风险重大程度。如果没有风险评估的步骤,企业无法将预算落实到对自身威胁最大的领域内,最终导致过度和非必须的安全控制投入,也可能出现另一种极端情况即投入不足,使系统暴露在恶意攻击之下。对于资金紧张的中型企业而言,最根本的问题在于预算,尤其是面对看上去不仅昂贵而且难以维护的安全系统时。

  另外,通过这种风险排序,企业可以了解系统中的哪些部分面临的风险较低,以此避免过度的安全措施,同时也能定位那些处于高风险中从而需要更大防护力度的部分。关于风险评估框架有多种类型,但是由美国国家标准和技术研究所(NIST)开发的框架是业界的标准。

  NIST在其权威出版物《Special Publication 800-100, Information Security Handbook: A Guide for Managers》中指出了风险评估流程的四个步骤,下面就是基于其提炼出来的适用于中型企业的一个风险评估简化流程。

  对自身的审查分析

  第一步是对所有IT资产列出详细清单并加以归类。第二步和第三步分别是威胁及相应漏洞的识别。最后一步是实际的风险分析,包括评估IT资产的安全控制措施、判定入侵的机率和可能后果、最终划定风险级别等。在评估完成时,应该形成一份关于所采取措施的建议草案。风险评估应该是一种工作常态,由定期的核查与相应举措构成的周期性工作。

  IT资产清单的创建工作决定了风险评估的涵盖范围。在施加相应的安全控制之前,企业必须了解其拥有的资产和已存在的防护机制。清单应该包含硬件、软件、数据、流程、与外部系统交互的接口。

  而后就是识别威胁的工作。威胁的含义包括物理威胁(比如自然灾害或者供电故障)和IT安全威胁(比如对系统的非法入侵和恶意攻击)。这部分工作需要积极开阔思路,结合自身以往的经历以及如美国计算机应急响应组(US-CERT,位于卡耐基美隆大学)等发布的安全公告,对系统面临的威胁进行全方位的总结。

  所有威胁都不是孤立存在的,每个威胁都意味着相应的系统漏洞,所以风险评估的第三步就是系统漏洞的识别。这部分工作同样可以从NIST获得帮助,其建立的国家漏洞数据库(NVD)对当前和以往的所有威胁进行了归类。除了NVD之外,企业可以从软硬件厂商的网站上获得漏洞清单,此外如黑客公告栏(hacking bulletin boards)等也是很好的参考源。

  通过进行安全测试和系统扫描也可以查找安全漏洞,比如隐患和渗透测试(penetration testing)。

  在所有的相关数据收集完成之后,最后就是进行实际的风险分析。这一步包括三个子步骤:评估当前的安全控制措施、基于当前措施评估安全事故的发生机率和可能后果、划定风险级别。对于机率和可能后果可以用高中低三档来进行划分。对于风险级别则用打分的方式来界定,比如从1到10,这样就可以用一个3x3的矩阵来表示评估结果(横向是后果,纵向是机率,每个矩阵元素就是得出的风险级别)。

  最后的报告中应该包含对风险的打分,如果可能的话还应该有相应的安全控制措施(通过这些措施的实施来降低或消除风险级别,至少使风险降到企业可以容忍的程度)。评分的作用还在于为安全方面的投入提供合理的解释,尤其是对于那些高风险的漏洞的应对。比如高风险漏洞就是对潜在损害的警示,需要立刻采取安全控制措施。

  虽然这种经过精简的风险评估流程来源于NIST,其他的框架在资产清单、威胁和漏洞识别、风险评级等方面也有相似的机制。其他可用的框架包括有CERT的《可操作的关键威胁、资产和弱点评估》(OCTAVE)和信息系统审计与监督协会(ISACA)的《信息和相关技术的控制目标》(COBIT)。

  无论采用哪种框架,风险评估对于中型企业来说都是一个大项目,需要大量的人力和时间投入。对于一个规模较小的企业来说,风险评估无需成为一种全职工作,可以由一个IT团队的成员在日常工作中兼顾,以一年一度的形式进行,或者当系统有重大变化(比如收购或者新IT系统安装)时参与其中。

  可以通过限制风险评估的范围的方法来减少工作量。比如许多中型企业并不自行开发应用系统,所以就少了一个需要审查的方面。应该将主要资源投入到中型企业最关心的那些方面去,比如对访问控制、网络安全、物理安全和web站点安全等的审核。

  风险评估对于任何信息安全相关的方面来说都是极其关键的,上述介绍的步骤可以帮助中型企业简化评估流程。

作者

Joel Dubin
Joel Dubin

相关推荐

  • 2016年预测:安全成IT焦点

    根据TechTarget对248位受访者(CIO、CTO、CISO、IT副总裁和总监)进行的2015年度薪酬和职业调查,安全将成为CIO以及IT高层管理人员在2016年的重点关注领域。

  • 如何找出企业内部的“暗数据”?

    本文将探讨什么是“暗数据”以及如何应对“暗数据”,正如作者所言:我们对数据的挖掘还处在一个非常初级的阶段,可将其称之为“黎明前的黑暗”阶段。

  • 2015年IT优先级:安全第一,移动不再优先

    根据TechTarget的IT薪酬和职业发展调查,IT高管们表示,2015年将会是属于安全性,云计算和商务智能/大数据项目的一年。移动化技术则不再是首要项目了。

  • 一个真实灾难恢复现场是什么样子的?

    如今随便在网上搜索一下,关于“灾难恢复”的信息数不胜数,各种方法和技巧成为IT从业者们每天都在寻找的资料,本文将为读者们展现出一个真实而又残酷的灾难恢复现场情景。本文的叙述者Harvey Koeppel是一位IT行业的老兵,当时他作为一家全球都有分支机构的银行CIO,当他被派往东亚地区工作的时候,灾难发生了…….