银行风险评估过程的介绍

银行业一般采用图7-5所示的风险评估的实施流程。

1.风险评估的准备

风险评估的准备是整个风险评估过程有效性的保证。银行实施风险评估是一种战略性的考虑，其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。

2.资产识别

资产是具有价值的信息或资源，是安全策略保护的对象。它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。机密性、完整性和可用性是评价资产的3个安全属性。信息安全风险评估中资产的价值不仅仅是以资产的账面价格来衡量，还由资产在这3个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性，以及已采取的安全措施都将对资产安全属性的达成程度产生影响。

图7-5 风险评估实施流程图

3.威胁识别

威胁是一种对银行及其资产构成潜在破坏的可能性因素，是客观存在的。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和无意两种。环境因素包括自然界中不可抗的因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害，也可能是偶发的或蓄意的事件。

4.脆弱性识别

脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别，弱点是资产本身存在的，如果没有相应的威胁发生，单纯的弱点本身不会对资产造成损害。而且如果系统足够强健，再严重的威胁也不会导致安全事件，并造成损失。即威胁总是要利用资产的弱点才可能造成危害。

资产的脆弱性具有隐蔽性，有些弱点只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。需要注意的是，不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个弱点。

脆弱性识别将针对每一项需要保护的资产，找出可能被威胁利用的弱点，并对脆弱性的严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域的专家和软硬件方面的专业等人员。

脆弱性识别所采用的方法主要有问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。

5.已有安全措施的确认(www.xing528.com)

银行应对已采取的安全措施的有效性进行确认，对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对于确认为不适当的安全措施，应核实是否应被取消，或者用更合适的安全措施替代。

安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性安全措施可以减少因安全事件发生对信息系统造成的影响，如业务持续性计划。

已有安全措施的确认与脆弱性识别存在一定的联系。一般来说，安全措施的使用将减少脆弱性，但安全措施的确认并不需要与脆弱性识别过程那样具体到每个资产、组件的弱点，而是一类具体措施的集合。比较明显的例子是防火墙的访问控制策略，不需要描述具体的端口控制策略、用户控制策略，只需要表明采用的访问控制措施。

6.风险分析

（1）计算安全事件发生的可能性 根据威胁出现频率及脆弱性状况，计算威胁利用脆弱性导致安全事件发生的可能性，即：

安全事件发生的可能性=L（威胁出现频率，脆弱性）=L（T，V）

在具体评估中，应综合攻击者技术能力（专业技术程度、攻击设备等）、脆弱性被利用的难易程度（可访问时间、设计和操作知识公开程度等）及资产吸引力等因素来判断安全事件发生的可能性。

（2）计算安全事件发生后的损失 根据资产重要程度及脆弱性严重程度，计算安全事件一旦发生后的损失，即：

安全事件的影响=F（资产重要程度，脆弱性严重程度）=F（Ia，Va）

部分安全事件的发生所造成的影响不仅仅是针对该资产本身，还可能影响业务的连续性。不同安全事件的发生对银行造成的影响也是不一样的，在计算某个安全事件的损失时，应将对银行的影响也考虑在内。

（3）计算风险值 根据计算出的安全事件发生的可能性及安全事件的损失，计算风险值，即： 风险值=R（安全事件发生的可能性，安全事件的损失）=R[L（T，V），F（Ia，Va）]

评估者可根据自身情况选择相应的风险计算方法计算风险值，如矩阵法或相乘法。通过构造经验函数，矩阵法可形成安全事件发生的可能性与安全事件的损失之间的二维关系；运用相乘法可以将安全事件发生的可能性与安全事件的损失相乘得到风险值。

7.风险评估文件记录

对于风险评估过程中形成的相关文件，还应规定其标识、储存、保护、检索、保存期限及处置所需的控制。相关文件是否需要及详略程度由管理过程来决定。