系统风险,总是被视而不见?
虽然,如前文所言的网络信息系统的一些固有缺陷和技术不足,使得攻击、泄密、破坏等等安全事件时有发生,给企业带来损失。
可惜的是,大多数企业的系统管理人员以及决策者,对于这样的安全风险甚少有意识,往往只能在事件发生后,捶胸顿足、哀声长叹。即使,有部分具有前瞻眼光的决策者,察觉到了风险的可怕,却也缺少一种科学的分析方法,对于核心业务流程的风险更缺乏严格的评估、量化和分析。
正因为如此,对于网络信息系统的风险评估是大势所趋。所谓风险评估,就是参照风险评估标准和管理规范,对资产、威胁、薄弱环节和已采取的防护措施等进行分析,判断安全事件发生的概率、可能造成的损失以及预防需要花费的成本,最终得到一个量化的数据报表,指导企业去合理地投入资源,有效地规避风险。
我们需要建立整体的风险评估体系,还能够应对各种风险,例如外部攻击、内网泄露、违规上网行为、应用业务压力风险等等。我们需要对它们进行系统的认识,进行整体的评估。只有如此,才能掌控全局。