危机评估（Risk Assessment）是指在危机事件发生之后，对于危机事件给人们的生活、生命、财产等各个方面造成的影响和损失实行量化评估的工作。

（1）对危机本身的界定。包含危机发生的可能性；危机强度；危机持续时间；危机发生的区域及关键危机点。

（2）对危机作用方式的界定。包含危机对企业的影响是直接的还是间接的；是否会引发其他的相关危机；危机对企业的作用范围等。

（3）对危机后果的界定。在损失方面：如果危机发生，对企业会造成多大的损失？如果避免或减少危机，企业需要付出多大的代价？在冒危机的利益方面：如果企业冒了危机，可能获得多大的利益？如果避免或减少危机，企业得到的利益又是多少？

危机评估的紧要任务包含：

• 识别组织面临的各种危机
• 评估危机概率和可能带来的负面影响
• 确定组织承受危机的能力
• 确定危机消减和控制的优先等级
• 推荐危机消减对策

在危机评估历程中，有几个关键的问题需要考虑。

首先，要确定保护的对象（或者资产）是什么？它的直接和间接价值如何？

其次，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？

第三，资产中存在哪里弱点可能会被威胁所利用？利用的容易程度又如何？

第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？

最后，组织应该采取怎样的安全措施才能将危机带来的损失降低到最低程度？

解决以上问题的历程，就是危机评估的历程。

实行危机评估时，有几个对应关系必须考虑：

• 每项资产可能面临多种威胁
• 威胁源（威胁代理）可能不止一个
• 每种威胁可能利用一个或多个弱点

在危机经营管理的前期准备阶段，组织已经根据安全目标确定了自己的安全战略，其中就包含对危机评估战略的考虑。所谓危机评估战略，其实就是实行危机评估的途径，也就是规范危机评估应该延续的操作历程和方式。

危机评估的操作范围可以是整个组织，也可以是组织中的某一部门，或者独立的信息系统、特定系统组件和服务。影响危机评估进展的某些因素，包含评估时间、力度、展开幅度和深度，都应与组织的环境和安全要求相符合。组织应该针对区别的状况来选择恰当的危机评估途径。目前，实际工作中经常使用的危机评估途径包含基线评估、详细评估和组合评估三种。

如果组织的商业运作不是很复杂，并且组织对信息处理和网络的依赖程度不是很高，或者组织信息系统多采用普遍且标准化的模式，基线危机评估（Baseline Risk Assessment）就可以直接而简单地实现基本的安全水平，并且满足组织及其商业环境的所有要求。

采用基线危机评估，组织根据自己的实际状况（所在行业、业务环境与性质等），对信息系统实行安全基线检查（拿现有的安全措施与安全基线规范的措施实行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制危机。所谓的安全基线，是在诸多标准规范中规范的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线：

• 国际标准和国家标准，例如BS 7799-1、ISO 13335-4；
• 行业标准或推荐，例如德国联邦安全局IT 基线保护手册；
• 来自其他有类似商务目标和规模的组织的惯例。

当然，如果环境和商务目标较为典型，组织也可以自行建立基线。

基线评估的优点是需要的资源少，周期短，操作简单，对于环境相似且安全需求相当的诸多组织，基线评估显然是最经济有效的危机评估途径。当然，基线评估也有其难以避免的缺点，比如基线水平的高低难以设定，如果过高，可能导致资源浪费和限制过度，如果过低，可能难以达到充分的安全，此外，在经营管理安全相关的变化方面，基线评估比较困难。

基线评估的目标是建立一套满足信息安全基本目标的最小的对策集合，它可以在全组织范围内实行，如果有特殊需要，应该在此基础上，对特定系统实行更详细的评估。

详细危机评估要求对资产实行详细识别和评价，对可能引起危机的威胁和弱点水平实行评估，根据危机评估的结果来识别和选择安全措施。这种评估途径集中体现了危机经营管理的思想，即识别资产的危机并将危机降低到可接受的水平，以此证明经营管理者所采用的安全控制措施是恰当的。

详细评估的优点在于：

1、组织可以通过详细的危机评估而对信息安全危机有一个精确的认识，并且准确定义出组织目前的安全水平和安全需求；

2、详细评估的结果可用来经营管理安全变化。当然，详细的危机评估可能是非常耗费资源的历程，包含时间、精力和技术，因此，组织应该仔细设定待评估的信息系统范围，明确商务环境、操作和信息资产的边界。

基线危机评估耗费资源少、周期短、操作简单，但不够准确，适合一般环境的评估；详细危机评估准确而细致，但耗费资源较多，适合严格限定边界的较小范围内的评估。基于次实践当中，组织多是采用二者结合的组合评估方式。

为了决定选择哪种危机评估途径，组织首先对所有的系统实行一次初步的高级危机评估，着眼于信息系统的商务价值和可能面临的危机，识别出组织内具备高危机的或者对其商务运作极为关键的信息资产（或系统），这些资产或系统应该划入详细危机评估的范围，而其他系统则可以通过基线危机评估直接选择安全措施。

这种评估途径将基线和详细危机评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果，而且，组织的资源和资金能够应用到最能发挥作用的地方，具备高危机的信息系统能够被预先关注。当然，组合评估也有缺点：如果初步的高级危机评估不够准确，某些本来需要详细评估的系统也许会被忽略，最终导致结果失准。

在危机评估历程中，可以采用多种操作方式，包含基于知识（Knowledge-based）的解析方式、基于模型（Model-based）的解析方式、定性（Qualitative）解析和定量（Quantitative）解析，无论何种方式，共同的目标都是找出组织信息资产面临的危机及其影响，以及目前安全水平与组织安全需求之间的差距。

一、基于知识的解析方式

在基线危机评估时，组织可以采用基于知识的解析方式来找出目前的安全状况和基线安全标准之间的差距。

基于知识的解析方式又称作经验方式，它牵涉到对来自类似组织（包含规模、商务目标和市场等）的“最佳惯例”的重用，适合一般性的信息安全社团。采用基于知识的解析方式，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的危机所在和当前的安全措施，与特定的标准或最佳惯例实行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制危机的目的。

基于知识的解析方式，最重要的还在于评估信息的采集，信息源包含：

1.会议讨论；

2.对当前的信息安全策略和相关文档实行复查；

3.制作问卷，实行调查；

4.对相关人员实行访谈；

5.实行实地考察。

为了简化评估工作，组织可以采用一些辅助性的自动化工具，这些工具可以帮助组织拟订符合特定标准要求的问卷，然后对解答结果实行综合解析，在与特定标准比较之后给出最终的推荐报告。市场上可选的此类工具备多种，Cobra 就是典型的一种。

二、基于模型的解析方式

2001 年1 月，由希腊、德国、英国、挪威等国的多家商业企业和研究机构共同组织开发了一个名为CORAS 的项目，即Platform for Risk Analysis of Security Critical Systems。该项目的目的是开发一个基于面向对象建模特别是UML 技术的危机评估框架，它的评估对象是对安全要求很高的一般性的系统，特别是IT 系统的安全。CORAS 考虑到技术、人员以及所有与组织安全相关的方面，通过CORAS 危机评估，组织可以定义、获取并维护IT 系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。

与传统的定性和定量解析类似，CORAS 危机评估沿用了识别危机、解析危机、评价并处理危机这样的历程，但其度量危机的方式则完全区别，所有的解析历程都是基于面向对象的模型来实行的。CORAS 的优点在于：提高了对安全相关特性描述的精确性，改善了解析结果的质量；图形化的建模机制便于沟通，减少了理解上的偏差；加强了区别评估方式互操作的效率；等等。

三、定量解析

实行详细危机解析时，除了可以使用基于知识的评估方式外，最传统的还是定量和定性解析的方式。

定量解析方式的思想很明确：对构成危机的各个要素和潜在损失的水平赋予数值或货币金额，当度量危机的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值，危机评估的整个历程和结果就都可以被量化了。

简单说，定量解析就是试图从数字上对安全危机实行解析评估的一种方式。定量危机解析中有几个重要的概念：

暴露因子(Exposure Factor，EF)—— 特定威胁对特定资产造成损失的百分比，或者说损失的程度。

单一损失期望(Single Loss Expectancy，SLE)—— 或者称作SOC(Single OccuranceCosts)，即特定威胁可能造成的潜在损失总量。

年度发生率(Annualized Rate of Occurrence，ARO)—— 即威胁在一年内估计会发生的频率。

年度损失期望(Annualized Loss Expectancy，ALE)—— 或者称作EAC(EstimatedAnnual Cost)，表示特定资产在一年内遭受损失的预期值。

考察定量解析的历程，从中就能看到这几个概念之间的关系：

(1) 首先，识别资产并为资产赋值；

(2) 通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF(取值在0％~100%之间)；

(3) 计算特定威胁发生的频率，即ARO；

(4) 计算资产的SLE：

SLE = Asset Value × EF

(5) 计算资产的ALE：

ALE = SLE × ARO

这里举个例子：假定某企业投入500,000 美元建了一个网络运营中心，其最大的威胁是火灾，一旦火灾发生，网络运营中心的估计损失程度是45％。根据消防部门推断，该网络运营中心所在的地区每5 年会发生一次火灾，于是我们得出了ARO 为0.20 的结果。基于以上数据，该企业网络运营中心的ALE 将是45,000 美元。

我们可以看到，对定量解析来说，有两个指标是最为关键的，一个是事件发生的可能性(可以用ARO 表示)，另一个就是威胁事件可能引起的损失(用EF 来表示)。

理论上讲，通过定量解析可以对安全危机实行准确的分级，但这有个前提，那就是可供参考的数据指标是准确的，可事实上，在信息系统日益复杂多变的今天，定量解析所依据的数据的可靠性是很难保证的，再加上数据统计缺乏长期性，计算历程又极易出错，这就给解析的细化带来了很大困难，所以，目前的信息安全危机解析，采用定量解析或者纯定量解析方式的已经比较少了。

四、定性解析

定性解析方式是目前采用最为广泛的一种方式，它带有很强的主观性，往往需要凭借解析者的经验和直觉，或者业界的标准和惯例，为危机经营管理诸要素(资产价值，威胁的可能性，弱点被利用的容易度，现有控制措施的效力等)的大小或高低程度定性分级，例如“高”、“中”、“低”三级。

定性解析的操作方式可以多种多样，包含小组讨论(例如Delphi 方式)、检查列表(Checklist)、问卷(Questionnaire)、人员访谈(Interview)、调查(Survey)等。定性解析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使解析结果失准。与定量解析相比较，定性解析的准确性稍好但精确性不够，定量解析则相反；定性解析没有定量解析那样繁多的计算负担，但却要求解析者具备一定的经验和能力；定量解析依赖大量的统计数据，而定性解析没有这方面的要求；定性解析较为主观，定量解析基于客观；此外，定量解析的结果很直观，容易理解，而定性解析的结果则很难有统一的解释。组织可以根据具体的状况来选择定性或定量的解析方式。