風險評估和等保測評的差異化分析

隨著2017年《網絡安全法》的發布、施行，越來越多的企業領導開始關注自身企業的網絡安全建設情況，而《信息安全技術 網絡安全等級保護基本要求》V2.0的臨近發布，更加明確了企業網絡安全建設的方向。小威在近期與客戶進行技術交流時，客戶經常提及“風險評估”和“等保測評”，而有些客戶往往將兩者進行混淆。今天小威給大家總結下風險評估與等保測評的異同之處。
一、 風險評估和等保測評概述
風險評估：
2007年國家標準化管理委員會發布GB/T 20984-2007 《信息安全技術 信息安全風險評估規范》標準，該標準是作為信息安全風險評估的主要依據，在2011年國家標準化管理委員會在原標準的基礎上，又發布了第二版的用戶信息技術信息安全風險評估的標準，即ISO/IEC 27005:2011。GB/T 20984-2007和ISO/IEC 27005:2011推薦的信息安全風險評估的方法都可作為信息安全風險評估的方法。
風險評估包括風險識別、風險分析、風險評價這三個過程。其主要的作業活動包括①建立相關準則，②確定風險評估的范圍和邊界，③風險分析，④風險評價，⑤風險處理。具體詳見下圖：

圖 1 風險評估作業活動
等保測評
GB/T 28449-2012《信息安全技術 信息系統安全等級保護測評過程指南》是等級保護測評主要參考的依據，該標準是從等級保護測評的過程及其各項任務的角度描述測評的過程，包括測評準備、方案編制、現場評測、報告編制，具體內容包括確定測評范圍、識別測評資產對象、識別不符合項、風險分析及評價、提出整改意見。

圖 2 等保測評作業活動
從上述描述中，可以看出風險評估和等保測評在某些方面是存在共同點，但也有很多差異化。
二、 風險評估和等保測評差異分析
兩者實施的方法和準則不同
風險評估在實施前要建立風險評估方法、風險評價準則、影響評價準則和風險接受準則，而等保測評不需要建立測評方法和準則，因為GB/T 28449-2012中已經進行了詳細的規范，不需要再定義。并且等保測評中的風險分析及評價結果僅作為測評結論的輸入項，與最終的整改意見無關。
兩者的范圍和邊界定義不同
兩者在確定實施方位和邊界的方法、依據都不一樣，首先風險評估的評估范圍和邊界方面考慮的因素比較多，相對復雜。而等保測評中在定義邊界部分相對簡單，只是根據系統的情況判斷被測評系統的網絡邊界即可。

圖 3 范圍和邊界定義
兩者面對的對象不同
在GB/T 22239-2008中資產對象包括物理環境、主機環境、網絡環境、應用環境、數據安全、安全管理這六個部分，在即將發布的等級保護V2.0的基本要求中包括物理環境、通信網絡、計算環境、管理中心、安全管理這五個部分。在GB/T 28449-2012的“7.2.1測評對象確認”章節詳細描述了等保測評的對象包括機房、業務軟件、主機操作系統、數據庫系統、網絡設備、安全設備、管理類文檔等。而風險評估中資產的對象包括信息資產、硬件資產、軟件資產、服務資產、人員資產等。由此可見，兩者在對象上有明顯的差異。

圖 4風險評估和等保測評的資產對象
從上圖可以看出，風險評估中的資產明顯比等保測評的范圍要廣。在一些具體的項目上，風險評估項目中識別的資產高達500多。
兩者風險分析和評價方法不同
風險分析和評價方法很多，包括定性的，定量的。在等保測評的風險分析及評價中主要是依據《等級測評報告模板（試行）》（公信安【2009】1487號）文的要求進行對測評中發現的不符合項進行風險分析及評價。主體是以定性的方式進行評價，并以列表形式給出等級測評發現安全問題以及風險分析和評價情況。具體如下圖：

圖 5 等保測評安全問題及風險分析評價（示例）
依據等級保護的相關規范和標準,采用風險分析的方法分析信息系統等級測評結果中存在的安全問題(等級測評結果中部分符合項或不符合項的匯總結果)可能對信息系統安全造成的影響。
分析過程包括
1)判斷安全問題被威脅利用的可能性,可能性的取值范圍為高、中和低;
2)判斷安全問題被威脅利用后,對信息系統安全(業務信息安全和系統服務安全)造成的影響程度,影響程度取值范圍為高、中和低。
3)綜合1)和2)的結果對信息系統面臨的安全風險進行賦值,風險值的取值范圍為高、中和低。
4)結合信息系統的安全保護等級對風險分析結果進行評價,即對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益造成的風險
風險評估則未明確要求是采用定性的方式，還是定量的方式，在GB/T 20984-2007中也介紹了很多風險評價的方法，最終是建議組織或風險評估團隊根據實際情況使用定性或定量的方式，或兩者結合的方式。
兩者對結論要求不同
在風險評估中無論是GB/T 20984-2007還是ISO/IEC 27005:2011都對評估結論沒有要求，風險評估更側重于結果。而等保測評對于測評結論是有明確要求的，通過使用“符合”、“基本符合”、“不符合”來表述對測評結果是否符合或滿足等級保護基本要求。
兩者對結論的處理方式不同
風險評估中風險處理有四種選擇,即風險減緩、風險規避、風險保持、風險轉移。當企業對任何風險采取四種選擇中的任一選擇后,必須在風險處理計劃中實施。而等保測評則不同，等保測評需要根據測評的結果提出整改建議，并且是針對測評中不符合項提出的整改實施方案建議,采納與否由組織自己決定,也不需要制定整改計劃。但企業必須整改,使得信息系統無不符合項,全面滿足等級保護基本要求，否則根據《網絡安全法》要求，會對企業不整改的行為進行相應處罰。
報告編寫
現場實施完成,收集完成所有的資料后,就要編寫相關的報告,等保測評的報告有官方發布的模板，而風險評估的報告無模板或固定內容要求。
三、 實施建議
從上述描述中分析，可以看出二者本質上區別很大，所以實施中可相互借鑒，但不建議整合實施。風險評估和等保測評是兩類不同的活動，需要分開完成。建議先實施信息系統等保測評,然后實施風險評估,進行信息系統的安全風險評估時,可以借用實施等保測評中發現的安全問題。
威努特作為率先提出工業網絡安全“白環境”理念的安全廠商，迄今已服務電力、石油石化、軌道交通、智能制造、燃氣、水務、軍工、煙草、煤炭、化工、高校及科研機構等領域的五百余家客戶。在工業控制系統的安全建設和安全風險評估方面有著豐富的經驗，2018年更是獲得了ISCCC信息安全服務風險評估二級資質，這也是對威努特在風險評估實施方面取得成績的一種肯定。2019年，威努特將以2018年取得的成績作為起點，憑借自身專業的技術服務團隊為工業控制系統的網絡安全建設添磚加瓦。