风险评估是指从风险管理角度，依据国家有关信息安全技术标准和准则，运用科学的方法和手段，对信息系统及处理、传输和存储信息的保密性、完整性及可用性等安全属性进行全面科学地分析；对网络与信息系统所面临的威胁及存在的脆弱性进行系统的评价；对安全事件一旦发生可能造成的危害程度进行评估，并提出有针对性地抵御威胁的防护对策和整改措施。风险评估是风险管理工作的基础，为组织提供更全面，更有效的风险信息。

《网络安全法》于2017年6月1日正式生效，其中第十七条和二十九条规定国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。有关行业组织建立健全本行业的网络安全保护规范和协作机制，加强对网络安全风险的分析评估，定期向会员进行风险警示，支持、协助会员应对网络安全风险。《网络安全法》中多次提到风险评估，这充分体现了风险评估在网络安全工作中的重要性。

1. 风险评估要素及识别

风险评估要素

中国软件评测中心认为，风险评估主要涉及资产、威胁、脆弱性和风险4个主要因素，资产是对组织具有价值的信息或资源，是安全策略保护的对象，如软硬件、人员、信息与数据等。威胁是指可能导致对系统或组织危害的不希望事故潜在起因。脆弱性是指可能被威胁所利用的资产或若干资产的薄弱环节。风险指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。

风险评估要素识别

（1）资产识别

保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。资产识别就是通过分析每个资产的保密性、完整性、可用性和重要性，并对其分别赋值分类和计算资产价值的过程。

（2）威胁识别

威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性和可用性等方面造成损害；也可能是偶发的、或蓄意的事件。威胁识别主要是识别关键资产直接或间接面临的威胁、威胁分类、威胁来源和计算最终威胁值得过程。

（3）脆弱性识别

脆弱性识别是通过工具或手工等方式，识别当前信息系统中存在的弱点，并根据赋值规则得到资产脆弱性值的过程。脆弱性识别时的数据来自于资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员等。脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。

（4）风险分析

风险分析是在完成了资产识别、威胁识别、脆弱性识别以及已有安全措施确认后进行风险值计算，对风险进行定级，提出相应的风险控制措施的过程。对面临的风险从模糊的感觉上升到更为科学、理性的认识。

2. 风险评估方法

常用的评估方法有层次分析法、德尔斐法、故障树法等。这些方法基本上都遵循了风险评估流程，只是在具体实施手段和风险计算方面有所不同。根据计算方法的不同，评估方法可分为定性风险评估、定量风险评估以及定性与定量相结合的评估。

定性评估方法

定性分析方法需要凭借评估者的知识、经验和直觉，或者业界的标准和实践，为风险的各个要素定级。定性分析法操作相对容易，但也可能因为评估者经验和直觉的偏差而使分析结果失准。定性方法较为粗糙，但在数据资料不够充分或分析者数学基础较为薄弱时适用。典型的定性分析方法有因素分析法、逻辑分析法、历史比较法、德尔菲法等。

定量评估方法

定量分析则对构成风险的各个要素和潜在损失水平赋予数值，通过对度量风险的所有要素进行赋值，建立综合评价的数学模型，从而完成风险的量化计算。定量分析方法准确，但前期建立系统风险模型较困难。定量方法比较复杂，在资料比较充分或者风险对信息资产的危害可能比较大时适用。常见的定量分析方法有时序序列分析法、Markov分析法、因子分析法、聚类分析法、决策树法、熵权系数法等

定性与定量相结合分析方法

定性与定量结合分析方法就是将风险要素的赋值和计算，根据需要分别采取定性和定量的方法完成。定性是定量的依据，定量是定性的具体化，二者结合起来灵活运用才能取得最佳效果。实际使用时也可多种风险评估方法综合使用，使评估效果更佳。

3. 风险评估流程

中国软件评测中心认为，信息安全风险评估的过程主要分为：风险评估准备、资产识别过程、威胁识别过程、脆弱性识别过程、已有安全措施确认过程和.风险分析过程六个阶段。

（1） 风险评估准备

该阶段的主要任务是制定评估工作计划，包括评估目标、评估范围、制定安全风险评估工作方案。根据评估工作需要，组件评估团队，明确各方责任。

（2） 资产识别过程

资产识别主要通过向被评估方发放资产调查表来完成。在识别资产时，以被评估方提供的资产清单为依据，对重要和关键资产进行标注，对评估范围内的资产详细分类。根据资产的表现形式，可将资产分为数据、软件、硬件、服务和人员等类型。

根据资产在保密性、完整性和可用性上的不同要求，对资产进行保密性赋值、完整性赋值、可用性赋值和资产重要程度赋值。

（3） 威胁识别过程

在威胁评估阶段评估人员结合当前常见的人为威胁、其可能动机、可利用的弱点、可能的攻击方法和造成的后果进行威胁源的识别。

威胁识别完成后还应该对威胁发生的可能性进行评估，列出为威胁清单，描述威胁属性，并对威胁出现的频率赋值。

（4） 脆弱性识别过程

脆弱性分为管理脆弱性和技术脆弱性。管理脆弱性主要通过发放管理脆弱性调查问卷、访谈以及手机分析现有的管理制度来完成；技术脆弱性主要借助专业的脆弱性检测工具和对评估范围内的各种软硬件安全配置进行检查来识别。

脆弱性识别完成之后，要对具体资产的脆弱性严重程度进行赋值，数值越大，脆弱性严重程度越高。

（5） 已有安全措施确认

安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。

（6） 风险分析过程

在完成了资产识别、威胁识别、脆弱性识别及已有安全措施确认后，将采用适当的方法与工具进行安全风险分析和计算。可以根据自身情况选择相应的风险计算方法计算出风险值，如矩阵法或相乘法等。

如果风险值在可接受的范围内，则改风险为可接受的风险；如果风险值在可接受的范围外，需要采取安全措施降低控制风险。

4. 风险评估工作总结

风险评估能为全面有效落实安全管理工作提供基础。中国软件评测中中心建议，根据评估出的安全隐患，加强安全管理，采取宣传教育、行政、技术及监督等措施和手段，推动各阶层员工做好每项安全工作。使企业每位员工都能真正重视安全工作。必要时通过专业的第三方安全评测机构对网络安全风险信息进行分析评估，预测事件发生的可能性、影响范围和危害程度，让风险评估为网络安全保驾护航，降低或避免风险发生的可能性。