滄海桑田，看風險評估在這十五年間的變化與演進

北京 中關村軟體園便利店一角。2018年4月3日。

15年前，如果你懂風險評估，那你是安全行業的大牛；10年前，如果你懂風險評估，那你在安全行業可以找個不錯的工作；15年後的今天，你說你懂風險評估，大部分可能會說「什麼年代了，聊這個太Low了吧」。

風險評估應該算是安全服務、安全諮詢，最為重要的一個組成部分，相信大部分人對它都有著難以割捨的情感。所以，今天就來聊一聊風險評估，那個曾經在安全行業里大紅大紫，現在卻沒多少人太Care的風險評估。

本文以時間順序，來總結一下風險評估發展的各個階段，以及它在各時期所發揮的作用。由於各階段時間上重疊，精確時間沒辦法一一考證，所以，時間只是作為一個階段發展大致參考。

階段一：安全服務中的「風險評估」

在03、04年前後，很多單位正處在安全建設的高峰期，基本上會一股腦兒的將主流的安全產品部署個遍。所以，當時風險評估的作用就是檢測安全建設中存在的問題，並根據評估結果提出合理的安全加固建議。

此時風險評估的內容，以技術漏洞評估為主，融合了一些安全管理的內容；評估方法多採用基於專家評價法的定性分析評價，即在綜合分析資產、威脅和弱點的基礎上，利用影響與可能性來計算風險。

此時期的風險評估，正處在剛剛興起的階段，是安全行業中的藍海。所以，此時的風險評估專業性、規範性好，評估內容全面、實用性強；缺點是比較依賴專業安服人員，沒多少人可以看懂安全評估方法論和報告。

階段二：等保測評中的「風險評估」

在07、08年前後，等級保護工作開始被提上日程，在信息系統定級工作完成後，按照等保要求需要進行安全測評。信息系統等保測評，在很大程度上影響了風險評估市場，畢竟信息系統已經在測評中做過評估了，為什麼還要重複再做一次呢？

等保測評中的風險評估，以等級保護要求合規評估為主，額外增加了安全掃描、配置檢查、滲透測試等內容。評估方法採用基於合規要求的定性分析評價，即在綜合現狀、風險、影響的基礎上，對每項評估條款給出滿足、不滿足、基本滿足的評價結果。

等保測評中風險評估，其形式和內容與安服過程中的評估並沒有太大差別，而且等保合規的壓力對安全問題的整改也起到一個很好的促進作用。但等保測評畢竟是針對三級及以上信息系統，對於大量存在的二級系統以及信息系統之外的企業治理與管理方面，就存在明顯的短板與不足。

階段三：信息安全管理體系建設中的「風險評估」

信息安全管理體系建設在時間上，基本與等級保護測評處在同一時期。信息安全管理體系建設中一個重要工作，就是實施資產識別與風險評估，而且整個體系的建設、運行、改進，也都是圍繞著風險評估進行的。

信息安全管理體系中的風險評估，強調以信息資產識別為出發點，分別評估資產、威脅、脆弱性後，對資產所面臨的風險進行系統的分析與評價。評估方法也從定性評估，過渡到了較為科學的半定量評估，即通過對資產、威脅、脆弱性分別賦值，然後根據綜合計算風險值的大小來評價風險。

信息安全管理體系建設中的風險評估，從評估方法論上來看無疑是非常嚴謹的，對風險評估在整體安全建設的生命周期中的定位也是非常準確的。但是，由於以信息資產為出發點的評估方法論（新版標準進行了改進），存在著實施工作量大、風險存在大量重合、體系偏重安全管理過程等問題，導致風險評估慢慢的流於形式。

階段五：互聯網眾測形式的「風險評估」

大約在13、14年前後，正是傳統安全服務、風險評估開始慢慢變的寡淡無味的時候，基於互聯網服務形式的安全眾測開始爆發，一時間眾測平台如雨後春筍般出現，很多安全白帽子感覺到屬於自己的顛覆傳統的時代終於來臨了。

安全眾測依託於互聯網平台，將安全評估項目分解為一個個具體任務，每個任務設置一定的獎勵金額，最終依據提交漏洞的時間以及發現漏洞的嚴重程度進行評估，來決定白帽子獲得的獎金數量。眾測一般在晚上實施，具有某種技術擂台的味道，而且單人獲得的獎金數量也是非常可觀的，這些對於愛好安全技術的年輕人具有很大的吸引力。

安全眾測天然具有實施成本低、實施效率高的優勢，而且評估系統安全漏洞的效果也很不錯。但這種模式存在的問題也是顯而易見的，最核心的問題便是無法對參與人員的背景、身份、行為等方面進行有效管理與約束。雖然一些比較開放的機構願意嘗試這種服務模式，但出於安全顧問職業審慎的態度，對這種具有鮮明特點、優缺點都無比明顯的服務形式，我並不是特別願意推薦給客戶。

階段六：下一代防禦體系中的「風險評估」

烏雲停擺標誌著安全眾測落下帷幕，這種服務模式短暫的絢爛奪目，似乎更像是風險評估服務的最後迴光返照。最終，曾經無比輝煌的風險評估，在完成自己全部使命後，光榮的退出了歷史舞台。

當然，風險評估的這種「退出」，並不是真正意義上的「消失」。它只是變得更加基礎，成為了安全體系的組成部分；它只是變成了一種思想，更需要融入安全的方方面面。就像電視劇「士兵突擊」中的鋼七連一樣，他的職能並沒有消失，只是不再需要單獨存在，變成了一種基礎必備的素質，融入進每個戰鬥單元。

在下一代安全防禦體系中，風險評估思想還是會得到比較廣泛的應用，但具體的方法肯定會有很大的變化與創新。比如，風險評估思想將會融入到下一代安全系統中，像下一代防火牆、威脅分析檢測、態勢感知系統將會融入風險分析能力；再比如，風險評估將會利用量化數據，利用大數據技術對各風險要素，分別進行實時評估分析，像大數據安全分析平台、安全運營平台等。

以上提到的創新已經不再是遙遠的未來，而是切切實實正在發生的改變。未來，隨著將來人工智慧的發展，風險分析也會變得更加具有場景化、人機交互也會更加方便，讓我們拭目以待！

最後打個廣告：

對企業安全運營體系建設整體解決方案，或對具體安全場景風險分析及檢測方面，有經驗、有興趣的小夥伴請在公共號後台給我留言，我們需要你！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！