信息安全风险评估基础与实战（基础）

目标：知流程 会计算 写报告

主要回答三个问题：

• 信息安全风险评估是什么
• 信息安全风险评估怎么做
• 行业参考实践或模板

一、简介

1.信息安全行业现状

这里所描述的行业现状并不是说国家重视或者行业的发展趋势，主要是指企业信息安全活动落地抓手。

企业信息安全活动的落地抓手是确保信息安全策略有效实施的关键措施，目前来看为两块：

1. 安全产品
   1. 防火墙
   2. IDS
   3. IPS
   4. 审计
   5. 防病毒
   6. 。。。
2. 服务
   1. 运维
   2. 咨询
   3. 风险评估

2.信息安全风险评估知识块

1. 风险评估通识
   1. 风险评估模型
   2. 相关专业术语
   3. 风险管理
   4. 标准及最佳实践
   5. 。。。
2. 风险评估流程
   1. 准备阶段
   2. 资产、威胁、脆弱性和识别
   3. 已有安全措施
   4. 计算风险
   5. 。。。
3. 计算专题
   1. 资产值计算
   2. 风险计算
   3. 相乘法
   4. 矩阵法
   5. 。。。
4. 风险评估报告
   1. 风险评估报告设计思路
   2. 编写方法
   3. 行业模板

3.文章目标

1. 具备基本素养
   1. 得有信息安全行业的基本直觉和感知
   2. 和别人沟通的谈资
   3. 风险评估专业性的能力
2. 实践知识文档
   1. 让你参考此文章从而搭建一个自己的知识框架
   2. 具备计算风险的能力
   3. 编写风险评估报告

二、信息安全风险评估通识

2.1什么是风险评估

2.1.1如何定义信息安全

三大属性：

• 机密性
• 完整性
• 可用性

为什么会说这三大属性，那首先要说一个概念：在风险评估的过程中，会有一个资产赋值，如果在资产赋值里面，使用加权法给资产赋值的时候，就必须考虑到CIA。

不同的企业，对于CIA的要求是不一样的：

• 军工类：机密性要求较高
• 工业制造类：可用性要求较高
• 银行金融类：完整性要求较高

目的：

企业投入信息安全的成本以发展为目的，不能为了做安全而做安全。

2.1.2信息安全风险评估发展

2.1.3如何理解风险评估

风险：悲剧里面挖出来的学问

风险评估：直观、明确感受风险

信息安全风险评估，是对信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来的风险的可能性评估

2.1.4风险评估与等保2.0

这里引述等保2.0（具体为：GB/T 22239 -2019《网络安全等级保护基本要求》）里面对于风险评估的一段论述：

8.1.9.2 安全方案设计

a）应根据安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施；

理解下：如果你的系统定级为3级，那么3级要求的基本安全措施是确定的。但是在这些的基础上，你需要根据自己单位的特性，去做补充。那么如何去知道自己单位的特性呢，就需要去做风险评估。

风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

2.1.5风险管理与风险评估的区别

1. 学术定义上：风险评估只是风险管理的一个子集

1. 在实践中：风险评估项目基本包含风险管理各个流程。从甲方的视角来看：评估完风险之后，如何处理风险才是最重要的。而乙方的视角看：评估风险一版来说收益不大，但是如果可以继续接手处理风险的事务，就能扩大收益范围。

2.2信息安全风险模型

2.2.1风险评估相关术语

• 资产：任何对企业拥有价值的东西（软件，硬件，信息等）
• 威胁：安全事件发生的潜在原因（例如：APT组织）
• 脆弱性：可被威胁利用的弱点（是资产的一个属性，存在资产就存在脆弱性）
• 风险：威胁利用弱点（脆弱性）带来损害的可能性
• 可能性：发生几率或频率
• 影响：带来的后果
• 安全措施：控制措施或对策（部署的安全设备，配置的ACL等）
• 残余风险：在实施安全措施之后仍然存在的风险（所以风险评估应该是周期性的）

2.2.2信息安全风险模型

方框：基本要素 椭圆：属性

模型分析：

1. 业务战略的开展是需要依赖资产来展开的，反过来说，业务战略对资产的依赖程度越高，就要求资产的风险越小。
2. 资产具有资产价值，资产价值是资产的一种属性，业务战略对资产的依赖越高，说明资产的价值越高。资产价值不取决于资产的实际价格，而是看资产承载了什么样的业务才决定了资产的资产价值。
3. 风险是由威胁引发，资产面临的威胁越大，会增加风险。
4. 资产的脆弱性会暴露资产的资产价值，资产具有的脆弱性越大，风险越大
5. 脆弱性就是没有被满足的安全需求而导致的
6. 安全需求的来源是风险的存在而导致的
7. 需要安全措施来满足安全需求
8. 残余风险为什么需要监控，是因为会导致其他安全事件的发生

2.2.3 资产 脆弱性 风险

资产：鸡蛋

脆弱性：缝

威胁：苍蝇

风险：有缝的鸡蛋被苍蝇叮（概率事件）

2.3风险评估的标准与分类

2.3.1信息安全风险评估参考标准

这里包括国内外标准以及最佳实践：

• 《信息安全风险评估规范》GB/T20984-2007
• 《信息安全风险评估实施指南》GB/T31509-2015
• 《信息安全风险管理指南》ISO/IEC 27005
• 《信息安全风险管理要求》ISO/IEC 31000
• 等级保护标准簇等
• 行业主管机关的要求和制度（需要去搜集所在行业的标准和要求）

2.3.2风险评估分类

2.3.2.1定性/定量

定性分析：

依据资产价值、威胁、脆弱性、控制措施，在过程中，综合前面几个因素计算出了风险，但是会忽略事件发生的概率

定量分析：

结合威胁事件发生的概率和可能造成的损失，这是一个量化分析，也就是说最后得到的结果是一个准确的钱的数字

2.3.2.2基于知识/模型

基于知识的评估：

依照经验、行业专家，评估风险可能会造成的损失

基于模型的评估：

合理抽象形成模型，数据分析（比如态势感知，就是走的这种方式），来综合评估风险

---

本文章是基于资产的定性的风险评估，那为什么要这样做呢？

在这之前，我们先来谈谈什么是定量。

定量评估：

ALE：Annual Risk Expectancy 年预期损失

例：

• 一个组织的网络设备资产价值为100000元，一场意外火灾使其损坏了价值的25%
• 那么，火灾的单一风险预期损失SLE=100000*25%=25000元
• 按照经验统计，这种火灾每5年发生一次，那么年发生次数ARO=1/5=0.2
• 因此，ALE=SLE*ARO=25000*0.2=5000元

假设防止火灾发生的代价是6000元的话，如果需要向领导汇报评估结果，有具体数据，有清晰对比结果，表面来看确实有利于领导决策（5000元的损失，用6000去解决，不划算）。但是，认真想想，这些数据，这些指标，这些概率，可行性有多大呢？这几个数据得出的结果有确切的意义吗？

实际来说，我们现在是不具备量化分析的基础，从结果来看，我们不能为了计算而计算。

定量方法在实际工作中可操作性较差,一般风险计算多采用定性计算。

定性评估计算过程：

• 将资产、威胁、脆弱性量化(等级化)赋值（注：这里的量化不是定量计算，而是等级化）
• 选用计算方法计算(相乘法或矩阵法)

定性评估实质：

• 反应面临风险的大小的准确排序
• 确定风险的性质(无关紧要、可接受、待观察、不可接受)
• 不是风险计算值本身的准确性

---

2.3.3风险评估的工作方式

2.3.3.1自评估

由发起方实施或委托服务商实施

周期性进行的自评估在流程上可以适当简化，重点放在变化后

发生重大变更后，应进行完整的评估

2.3.3.2检查评估

由上级管理部门或国家有关职能部门组织

可以实施完整的风险评估

也可在自评估的基础上，对关键环节抽样评估

以自评估为主，自评估和检查评估相互结合、互为补充

2.3.4企业风险评估的目的和意义

企业网络安全现状

• 网络系统安全风险永远存在，不断变化，不能消除
• 只有适度安全才是最合适
• 需要对信息系统定期检测(类似人健康体检)
• 风险评估适用于信息系统检测

风险评估的作用

• 准确了解当前信息系统及网络的安全现状
• 明确安全建设需求，合理规划安全投入
• 给领导在信息安全方面决策提供支撑和依据
• 提高员工安全意识，培养内部安全人才

三、信息安全风险评估流程

3.1风险评估全流程

3.1.1信息安全风险评估要点

风险评估基本是围绕业务系统的风险来展开的，也是从以下四个维度来评估：

1. 资产：对组织具有价值的信息或资源是安全策略保护的对象
2. 脆弱性：可能被威胁所利用的资产或若干资产的薄弱环节
3. 安全措施：保护资产、抵御威胁、减少脆弱性降低安全事件的影响，以及打击信息犯罪而实施的各种措施、制度和机制
4. 威胁：可能导致对系统或组织危害的不希望事故潜在的起因

3.1.2信息系统的生命周期

从业界实践来看，整个信息系统的生命周期，运行阶段占据了70%-80%的成本，包括时间和金钱，这是特别重要的一个阶段。

3.1.3信息安全风险评估全流程

这是《信息安全风险评估规范》GB/T20984-2007，第五页给出的一幅参考图

这是一家安全咨询公司的图，应该是这家公司的一个最佳实践

对比这两张图，整体来说应该是差不多的，基本都覆盖到了。最关键的就是第二张图里面的前期准备阶段，在整个风险评估流程里面占据的比例比较大。

这对大家其实也是一个特别好的启示，就是功夫在事外。

一个风险评估的项目，进程时间最多也就一周左右，不会时间拉的特别长，所以更多的时候是你的准备工作，也就是你的项目知识库，你的知识储备在项目中是特别重要的。

3.2前期准备

3.2.1有效性的保证

前面提到，信息安全风险评估项目基本都是战略层面的项目，会与评估企业的性质、业务战略、业务流程以及安全需求等等这些都有相关性。所以，在做正式的项目评估之前，应该有足够的准备工作（分为甲方的准备工作和乙方的准备工作）。

• 确定目标：通过项目本身甲乙双方想要达成的效果…
• 确定范围：划分项目边界:单一系统、整个网络、局域网、广域网...
• 组织团队：管理、技术、渗透、文档...
• 进行系统调研：拓扑结果、基线、管理制度等..…
• 确定评估依据和方法：标准、最佳实践、定性评估、定量评估….
• 获得最高管理者的支持：最高管理者、高管、中层、项目管理者......

下面分开来说

3.2.1.1确定目标

确定目标的第一步，就是知道我们要做的这个信息系统的风险评估处于信息系统生命周期的哪个阶段。

3.2.1.2确定范围

确定是全部资产，还是一个信息系统，还是哪个关键业务流程，这会影响项目的成果，项目的投资，项目的时间周期。

那如何来确定呢？

需要结合评估目标和企业的实际信息系统情况来确定边界，而边界的划分可以参考图中的4条。

3.2.1.3组建团队

团队的组件是甲乙双方都需要的

乙方团队组建

甲方团队组建

乙方的项目组长（负责人）直接对接甲方

3.2.1.4系统调研

主要分为管理部分和技术部分两块

3.2.1.5准备阶段成果

3.3资产识别与赋值

3.3.1资产识别步骤和方法

这是从上到下梳理的方式：

做信息梳理的方法以及对应的来源：

3.3.2资产识别七层模型

这个模型也是很多项目都会用到，尤其是那种特别大的项目，像一个公司整体的信息化的风险评估，经常会用到。

3.3.3资产识别

建立资产组

划分资产组的前提是：资产价值一定得相同

例如：领导笔记本和员工笔记本的资产价值不同

资产价值

相对价值（不是绝对价值，买了一台2万的服务器，不代表它的价值就是2万）

相对价值+绝对价值（财务价值）

3.3.4资产赋值

这里会与上面的三要素那块对应，也解释了信息安全风险评估为什么需要三要素。

3.3.5资产价值计算

首先来说下综合评定法，它是取资产三要素（C、I、A）里面的最大值，然后将其作为资产的赋值。

加权法强调的是一个权重，公式要求α、β、γ为权重，然后（α+β+Γ）=1，里面乘以的都是C、I、A的值作为指数，计算出来资产的价值。

在加权算术平均法中，权重 α、β、γ 分别代表资产在 机密性（C）、完整性（I） 和 可用性（A） 三个属性上的相对重要性。它们的意义和界定方法如下：

1. 权重的意义

• α（机密性权重）：表示资产在机密性方面的需求程度。如果资产泄露会导致严重后果（如客户数据泄露），α 应较高。
• β（完整性权重）：表示资产在完整性方面的需求程度。如果资产被篡改会带来重大影响（如财务数据被修改），β 应较高。
• γ（可用性权重）：表示资产在可用性方面的需求程度。如果资产不可用会严重影响业务（如核心系统宕机），γ 应较高。

权重的分配反映了资产在安全需求上的优先级，帮助确定哪些属性对资产的价值影响最大。

1. 权重的界定方法

权重的界定需要结合资产的具体特性和业务需求。以下是常见的界定方法：

（1）基于业务需求
方法：根据资产在业务中的重要性，分析其对机密性、完整性和可用性的依赖程度。

示例：

对于客户数据库，机密性（α）可能最重要，因为泄露会导致隐私问题。

对于财务系统，完整性（β）可能最重要，因为数据篡改会导致财务损失。

对于在线交易系统，可用性（γ）可能最重要，因为系统宕机会导致业务中断。

（2）基于风险评估
方法：通过风险评估，分析资产在机密性、完整性和可用性方面面临的威胁和潜在损失，确定权重。

示例：

如果资产面临的主要威胁是数据泄露，则 α 应较高。

如果资产面临的主要威胁是数据篡改，则 β 应较高。

如果资产面临的主要威胁是服务中断，则 γ 应较高。

（3）基于专家评估
方法：邀请信息安全专家，根据经验和行业标准，评估资产在 C、I、A 上的重要性，分配权重。

示例：

专家可能认为某资产的机密性最重要，分配 α = 0.5，β = 0.3，γ = 0.2。

（4）基于层次分析法（AHP）
方法：通过构建判断矩阵，量化 C、I、A 之间的相对重要性，计算权重。

示例：

如果机密性比完整性重要 2 倍，完整性比可用性重要 1.5 倍，则可以通过 AHP 计算出具体权重。

（5）基于历史数据
方法：根据历史事件或数据，分析资产在 C、I、A 方面受到的实际影响，确定权重。

示例：

如果历史数据显示某资产因可用性问题导致多次业务中断，则 γ 应较高。

（6）基于标准化方法
方法：参考国际标准（如 ISO/IEC 27005）或行业最佳实践，确定权重的默认值。

示例：

某些标准可能建议 α = 0.4，β = 0.3，γ = 0.3 作为默认权重。

1. 权重界定的注意事项

权重总和为 1：α + β + γ = 1，确保权重分配合理。

动态调整：随着业务需求或威胁环境的变化，权重可能需要调整。

多方参与：权重的界定应结合业务部门、IT 部门和安全团队的意见，确保全面性。

文档化：权重的确定过程应记录在案，便于审计和追溯。

1. 示例

假设某资产为 客户数据库，其权重界定如下：

机密性（α）：0.6（因为泄露会导致隐私问题和法律风险）。

完整性（β）：0.3（因为数据篡改会影响业务决策）。

可用性（γ）：0.1（因为短时间不可用对业务影响较小）。

则资产赋值公式为：
资产赋值=0.6×C+0.3×I+0.1×A

3.4脆弱性识别与赋值

3.4.1脆弱性识别-最重要的环节

• 威胁利用资产的脆弱性 才可能造成伤害
• 尽可能的消减资产的脆弱性，阻止或消减威胁造成的影乡

3.4.2脆弱性的特点

• 隐蔽性：有些脆弱性只有在一定条件和环境下才能显现
• 安全措施本事脆弱性：不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性

3.4.3脆弱性分类表

从《信息安全风险评估规范》GB/T20984-2007里面摘抄过来的

3.4.4脆弱性识别方法

3.4.5脆弱性赋值

3.5威胁识别与赋值

3.5.1威胁识别

1. 威胁来源

1. 1. 环境因素：断电、静电、自然灾害、意外事故...
   2. 人为因素：恶意人员故意破坏，非恶意人员缺乏责任心…

1. 威胁分类（《信息安全风险评估规范》GB/T20984-2007中给出了11个分类，这里列几个）

1. 1. 软硬件故障：硬件设备故障、应用软件及数据库故障…
   2. 管理不到位：安全管理不规范、或者管理混乱…
   3. 。。。
   4. 抵赖：不承认所做的操作和交易…

3.5.2威胁识别的方法

1. 安全事件记录：举例：信息系统的运行阶段，一般都会产出审计报告，里面都会去突出安全事件。
2. 第三方安全态势：给出的一些最新的安全事件态势

3.5.3威胁赋值

威胁我们主要考虑的是一个频率问题，就是这个威胁会有多大的概率会发生。

而频率的考虑主要从上面三种方式综合考虑。

3.5.4威胁赋值方法

下表同样是《信息安全风险评估规范》GB/T20984-2007中给出来的。

在实际的风险评估中，威胁频率的判断应在评估准备阶段根据历史统计或行业判断予以确定，需要在准备阶段得到评估方的认可。

威胁种类赋值列表：

3.6已有的安全措施

3.6.1已有安全措施确认

现在，你已经识别出来了客户的资产，威胁和脆弱性，因为现在我们大多数企业的信息安全建设都是有一定基础的，所以我们如何结合企业本身去做信息安全风险评估呢，就是把已经有的安全措施识别出来。下面是可以带来的价值：

1. 保留安全措施

1. 1. 有效的安全措施继续保留，避免不必要的工作和费用

1. 修正安全措施

1. 1. 对不适当的安全措施进行取消或修正，用更合适的措施替代

1. 安全性价比

1. 1. 通过保留安全措施及修正安全措施达到提升信息安全投入性价比

已有安全措施确认与脆弱性识别存在一定的联系

已有的安全措施确认：

3.7风险计划与处置建议

3.7.1风险分析模型

3.7.2风险计算方法

1. 相乘法：R=A*V*T

1. 矩阵法：构造一个二维矩阵形成安全事件的可能性与安全事件造成的损失之间的二维关系（参见20984附录A）

风险计算举例：

风险值R的相对性：

1. 结果的相对性：风险值R是相对概念

1. 1. 一个信息系统中多个子系统风险值大小的比较是相对的

假设我们计算出来一个系统里面的子系统的R有5、有4、有3，但是我们不能说R5就比R4大1，只能说R5的风险值在里面是最高的，应该优先解决。

1. 方法的相对性：不同风险计算方法的归一性

1. 1. 不同风险计算方法对同一对象风险值计算是相对一致的

有可能你是使用不同的计算方法，但是计算出来的风险值的排序应该是差不多的，不能说是相差很远。

3.7.3风险处置建议

3.7.4残余风险评估

在这之前，我们必须要明确一点，那就是：风险一定是动态的，不可能被消除

1. 有效性：

1. 1. 选择适当安全措施后为确保安全措施的有效性可进行再评估

1. 是否可接受

1. 1. 选择了适当的安全措施后残余风险的结果仍处于不可接受的风险范围内

四、风险评估计算专题

4.1风险评估流程实践（资产赋值）

风险评估既然需要资产赋值的话，那前提就是必须要有资产，那一般会涉及到哪些呢？在资产识别、威胁识别、脆弱性识别的过程中，就需要去建立自己的风险评估表格（很重要），后面写风险评估报告以及风险评估项目里面所涉及到的一些交付文档，都是根据这个表格出来的。

举例：

4.1.1资产赋值-综合评定法

根据信息系统所承载的业务对不同安全属性的依赖程度，选择资产保密性、完整性、可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果

综合评定法在计算公式和理解里面是很简单的，但是在实际工作中是不太常用的。

因为假设对三性赋值分别为：保密性（5）、完整性（2）、可用性（3），那得出的资产赋值结果是5；

如果三性赋值分别为：保密性（5）、完整性（5）、可用性（5），那得出的资产赋值结果也是5；

体现不了具体的东西。

4.1.2资产赋值-加权法

在实际项目中，更常用的是加权法。

根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果，其权重可根据组织的业务特点确定（最重要的是得确定权重是怎么来的以及如何赋值）

加权法计算过程：

权重的赋值是根据企业特殊的业务要求来进行的，上面的赋值只是举例。

4.2风险值计算（相乘法）

4.2.1相乘法原理

标准给出了风险计算原理，以下面的范式形式化加以说明

其中， A表示资产价值；T表示威胁发生频率；V表示脆弱性严重程度。

风险值的最终计算成果四舍五入取整后得到最终风险值

这里的相乘法也可以参考上文的3.7.1风险分析模型

从数据上来说，三个字母可以分别进行如下取值：

T：1-5；

V：1-5；

A：1-5；

那风险值就可以取：1-25

如果划分为5个等级，就如下表所示：

将风险值映射到五个等级的风险如表所示：

那么计算的过程就是：

1. 先计算出可能性（对结果取整）

1. 计算出资产的损失（对结果取整）

1. 将上面1、2得出的值相乘，算出风险值

1. 将风险值对照表格得出结论

4.3风险值计算（矩阵法）

4.3.1矩阵法原理

计算举例：

而对于表格里面的数字，具体来说，是有一套参考的：

这个是GB/T 20984-2007里面的一个参考标准，首先是计算可能性。

4.3.2矩阵法求解步骤

1. 确定安全事件可能性矩阵（这是刚刚20984里面的表格）

公式有点复杂

1. 安全事件可能性等级划分

1. 安全事件损失矩阵

计算公式如下：

1. 安全事件损失等级划分

1. 风险矩阵

1. 风险等级划分

五、风险评估报告编写

5.1风险评估报告及汇报PPT编写要点

5.1.1风险评估项目验收文档

风险评估报告分为两种：

1. 标准版

1. 1. 说明风险分析模型
   2. 阐明风险计算方法、风险评价方法
   3. 详细说明分析出的风险
   4. 风险的影响范围、影响程度、依据的法规和证据
   5. 风险评价结论

1. 高级版

1. 1. 要和评估方的中层的充分沟通、请教
   2. 把搜集来的意见尽可能体现在方案里
   3. 把咨询方案嵌入到公司的系统中运行

针对高级版的，再补充说明一些东西：如果只是输出一份标准的风险评估报告，只要按流程来，按模板来，实际上是很简单的，但是如果是要写一份高级的风险评估报告，是很难的。因为你需要结合你的功底，你的思想，需要你对安全的见解，需要你对安全服务的理解。

一份高级的风险评估报告，是可以嵌入到客户的实际业务环境和系统中去的，是可以在客户侧落地的。我们为什么要充分的和中层、高层沟通，最大的一个好处就是，能够在最后的项目验收会上，让领导觉得，你这份方案是包含有他的指导和见解的，所以会很尽力的去看这份报告。参与感和奉献感是人的基本需求。

在面对客户公司的咨询时，我们其实面对的并不是一个公司，而是一个由人构成的系统。如果你真的要出一个500强水准的报告，其实不管你的报告有多优秀，对于甲方公司来说，你就是一个外来人，会产生排外反应，这很正常。就是当你做了甲方之后，就会知道，一个外来的方案，外来的咨询，都会有一个排外反应。

那怎么让甲方的关键人物去认可，对乙方的方案落地是非常有利的。

5.1.1PPT汇报方法论

5.2风险评估报告编写实战

https://download.csdn.net/download/Just_like_this/90431836