风险评估框架(Risk Assessment framework; RAF)

风险评估框架是什么

　　风险评估框架是指一个用于优先考虑和分享有关信息技术（IT）基础设施安全风险的信息的策略。好的风险评估框架所组织和呈现的信息，技术和非技术人员都可以理解。它有三个重要组成部分：共享的词汇、连贯的评估方法和报告制度。

　　风险评估框架提供的共同观点可以帮助组织了解哪些系统受滥用或攻击的风险最低和哪些风险最高。风险评估框架提供的数据对积极主动地解决潜在威胁、规划预算和创造一种文化是很有用的，并且数据的价值也被理解和赞赏。

风险评估框架的构建

　　有一些风险评估框架是作为行业标准接受的：

　　国家标准协会的信息技术系统风险管理指南（NIST指南）。

　　计算机紧急事务响应小组的可操作的关键威胁、资产和薄弱点评估（OCTAVE）。

　　信息系统审计与控制协会的信息及相关技术控制目标（COBIT）。

　　要建立风险管理框架，一个组织可以使用或修改NIST指南、OCTAVE或COBIT或创建一个适合组织业务需求的室内框架。要构建框架就应该：

　　1、清查和分类所有IT资产。

　　资产包括硬件、软件、数据、流程和外部系统的接口。

　　2、识别威胁。

　　除了对系统的恶意访问或恶意攻击等威胁外，还要考虑自然灾害或停电。

　　3、确定相应的安全漏洞。

　　关于安全漏洞的数据可从安全性测试和系统扫描中获得。同时，也应考虑有关已知软件或供应商问题的零散信息。

　　4、优先潜在风险。

　　确定三个阶段的优先次序：评估现有的安全控制、确定违反这些控制的可能性和影响、分配风险等级。

　　5、记录风险和确定行动。

　　这是一个持续的过程，为问题报告预置计划。报告应该记录所有IT资产的风险程度，确定组织愿意容忍和接受的风险级别，并在每个实施和维护安全控制中确定程序。

风险评估框架的风险要素关系图

　　图中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。

　　图中的风险要素及属性之间存在着以下关系：

　　（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；

　　（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；

　　（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件；

　　（4）资产的脆弱性可能暴露资产的价值，资产具有的弱点越多则风险越大；

　　（5）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；

　　（6）风险的存在及对风险的认识导出安全需求；

　　（7）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；

　　（8）安全措施可抵御威胁，降低风险；

　　（9）残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险；

　　（10）残余风险应受到密切监视，它可能会在将来诱发新的安全事件。