安全管理实践（一）：风险管理

　2008-09-10 13:23:09　来源：WEB开发网　　　

核心提示：安全是一个广泛的主题，它涉及到许多不同的区域（物理设备、网络、系统平台、应用程序等），安全管理实践（一）：风险管理，每个区域都有其相关的风险、威胁及解决方法，当我们讨论信息安全的时候，在进行风险评估时，企业需要决定要保护的资产及要保护的程度，经常只关心黑客和操作系统的漏洞，尽管它们是安全的重要部分

安全是一个广泛的主题，它涉及到许多不同的区域（物理设备、网络、系统平台、应用程序等），每个区域都有其相关的风险、威胁及解决方法。当我们讨论信息安全的时候，经常只关心黑客和操作系统的漏洞。

尽管它们是安全的重要部分，但只是安全广义概念上的两个组件而已。

对于连网的企业组织来说风险与威胁是没有终止的。信息安全是一个动态发展的过程，不仅仅是纯粹的技术，仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统工程，要从观念上进行转变，规划、管理、技术等多种因素相结合使之成为一个可持续的动态发展的过程。

绝对的信息安全是不存在的，每个网络环境都有一定程度的漏洞和风险。这种程度是可以接受的。信息安全问题的解决只能通过一系列的规划和措施，把风险降低到可被接受的程度，同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和实施来适应新的安全需求。信息系统的安全往往取决于系统中最薄弱的环节 - 人。人是信息安全中最关键的因素，同时也应该清醒的认识到人也是信息安全中最薄弱的环节。

我们经常听到这样令人感兴趣的信息：病毒、蠕虫造成了严重的破坏，黑客获取了信用卡的信息，大型网站主页被黑等等。可能人们普遍的认识是企业没有安装安全产品（如：防火墙、入侵检测系统、防病毒系统等）。这些问题很大程度上是安全管理没有有效实施造成的。安全管理是企业信息安全的核心。安全管理包括风险管理、安全策略和安全教育。这三个组件是企业安全规划的基础。风险管理识别企业的资产，评估威胁这些资产的风险，评估假定这些风险成为现实时企业所承受的灾难和损失。通过降低风险（如：安装防护措施）、避免风险、转嫁风险（如：买保险）、接受风险（基于投入/产出比考虑）等多种风险管理方式得到的结果来协助管理部门根据企业的业务目标和业务发展特点来制定企业安全策略。

随着企业规模、业务发展、安全需求的不同，安全策略可能繁简不同。但是安全策略都应该简单明了、通俗易懂并直接反映主题，避免含糊不清的情况出现。信息安全策略是企业安全的最高方针，由高级管理部门支持，必须形成书面文档、广泛发布到企业所有员工手中，同时，要对所有相关人员进行安全策略的培训，对于有特殊责任人员要进行特殊的培训，使得安全策略能够真正在企业正常运营过程中得到贯彻、落实、实施。在安全规划中管理部门的支持是最重要的因素之一，仅仅是简单的点头同意是不够的。

安全管理通过适当的识别企业的信息资产，评估信息资产的价值，制定、实施安全策略、安全标准、安全方针、安全措施来保证企业信息资产的完整性、机密性、可用性。

一、风险管理

风险是指某种破坏或损失发生的可能性。风险管理是指识别、评估、降低风险到可以接受的程度并实施适当机制控制风险保持在此程度之内的过程。没有绝对安全的环境，每个环境都有一定程度的漏洞和风险。

1. 需要重视的风险

企业中潜在的风险有多种形式，不仅仅只与计算机相关。当考虑信息安全的时候，有几种风险必须重视，包括（但不局限于）：

物理破坏：火灾、水灾、电源损坏等　

人为错误：偶然的或不经意的行为造成破坏　

设备故障：系统及外围设备的故障

内、外部攻击：内部人员、外部黑客的有无目的的攻击

数据误用：共享机密数据，数据被窃

数据丢失：故意或非故意的以破坏方式丢失数据

程序错误：计算错误、输入错误、缓冲区溢出等

风险应当被识别、分类。真实的风险是很难估量的，但是对潜在风险进行估量是可取的。

2. 风险分析

对于一个企业来说，搞清楚信息系统现有以及潜在的风险，充分评估这些风险可能带来的威胁和影响，将是企业实施安全建设必须首先解决的问题，也是制定安全策略的基础与依据。在风险分析过程中，最开始考虑的有两方面的内容：一个是对企业资产的识别，另一个是对威胁的识别。对于每一个明确要保护的资产，都应该考虑到可能面临的威胁，以及威胁可能造成的影响。还要考虑的因素是在风险影响和防护措施花费之间的经济权衡。

要保护企业的信息系统安全，首先要知道企业中有哪些可识别的资产，哪些是最关键的、需要重点防护的，哪些是次要一些的但是也需要保护的，哪些是不需要专门关注的。从防御的角度来说，对于外来的威胁有时很难准确把握，但对"自己"，应该做到心中有数。当企业意识到资产的价值及可能面临的威胁时，才可以在保护这些资产的预算上作出明智的决定。如果信息没有任何价值，那么就没有意义保护这些无庸的信息。所以一个很重要的问题是企业应当评估如果不保护此信息的话损失有多大。

风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围，指定小组进行评估，并给予时间、资金的支持。风险小组应该由企业中不同部门的人员组成，可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。

2.1 确定资产

表1中列出了一些企业可能具有的信息资产。

资产类型	说明
硬件	包括服务器、工作站、路由器、交换机、防火墙、入侵检测系统、终端、打印机等整件设备，也包括主版、CPU、硬盘、显示器等散件设备
软件	包括源代码、应用程序、工具、分析测试软件、操作系统等
数据	包括软硬件运行中的中间数据、备份资料、系统状态、审计日志、数据库资料等
人员	包括用户、管理员、维护人员等
文档	包括软件程序、硬件设备、系统状态、本地管理过程的资料
消耗品	包括纸张、软盘、磁带等

表1 - 企业的信息资产

仅仅确定资产是不够的，对资产进行分类也是非常重要的。对有形资产（设备、应用软件等）及人（有形资产的用户或操作者、管理者）分别归类，同时在两者之间建立起对应关系。

有形资产可以通过资产的价值进行分类。如：机密级、内部访问级、共享级、未保密级。对于人员的分类类似于有形资产的分类。

2.2 确定威胁

由于网络本身的诸多特性，如共享性、开放性、复杂性等，网络信息系统自身的脆弱性，如操作系统的漏洞、网络协议的缺陷、通信线路的不稳定、人为因素等，给网络信息系统的安全带来威胁。

具体的威胁来源可以分为：

外部网络黑客攻击及非法访问

内部人员故意或无意的非授权访问或操作

"社会工程"带来的威胁，包括企业竞争对手或其他"间谍"行为

系统自身的脆弱性，包括系统结构设计上的缺陷、配置的疏忽等

软件漏洞，包括操作系统的安全漏洞、网络协议的设计缺陷、应用软件的设计漏洞、数据库系统的安全漏洞等

系统开放性带来的威胁，包括病毒、蠕虫等

技术故障带来的威胁

物理环境的威胁

可以看出，对威胁来源的定位综合了多种因素，最终还是人为因素起着决定性的作用。外部人员造成的威胁比较容易发现和控制，商业伙伴造成的威胁可以通过合同限制加以约束，但很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。所以在确定威胁的时候，不能只看到那些比较直接的容易分辨的外部威胁，来自内部的各种威胁也应该引起高度重视。

2.3 方法与途径

风险分析的方法与途径可以分为：定量分析和定性分析

1) 定量分析：试图从数字上对安全风险进行分析评估的方法。

定量分析过程有两个基本指标作为参考：事件发生的概率及事件造成的损失。具体的分析方式有两种：年预期损失（ALE，Annual Loss Expectancy），单一预期损失（SLE，Single Loss Expectancy）。

SLE表示某一资产在遭受风险后的预期损失，公式如下：

SLE = 资产价值 × 暴露系数（暴露系数：特定威胁引起资产损失的百分比）

ALE表示一年内资产遭受的预期损失，公式如下：

ALE = SLE × 年发生概率

表2表示了定量风险分析的结果：

资产	风险	资产价值	SLE	年发生概率	ALE
设备	火灾	560000	230000	0.25	57500
商业机密	被窃	43500	40000	0.75	30000
文件服务器	异常	11500	11500	0.5	5750
数据	病毒	8900	6500	0.8	5200