【IT168 专稿】今日，信息化得到了充分的发展，社会的运作也越来越依赖于信息技术和信息系统，信息资产也成为了每个企业的核心，网络信息系统在企业中的作用愈加重要。然而，众所周知的是，系统的一些固有缺陷和技术不足，使得攻击、泄密、破坏等等安全事件时有发生，给企业带来损失。
　　
　　可惜的是，大多数企业的系统管理人员以及决策者，对于这样的安全风险甚少有意识，往往只能在事件发生后，捶胸顿足、哀声长叹。即使，有部分具有前瞻眼光的决策者，察觉到了风险的可怕，却也缺少一种科学的分析方法，对于核心业务流程的风险更缺乏严格的评估、量化和分析。
　　
　　正因为如此，对于网络信息系统的风险评估是大势所趋。所谓风险评估，就是参照风险评估标准和管理规范，对资产、威胁、薄弱环节和已采取的防护措施等进行分析，判断安全事件发生的概率、可能造成的损失以及预防需要花费的成本，最终得到一个量化的数据报表，指导企业去合理地投入资源，有效地规避风险。
　　
　　最近，上海冰峰网络技术有限公司帮助几个行业的10多个大客户作了一次风险评估，采用动态的四步走方式，前后总计2个多月的时间，取得了良好的效果。
　　
第一步，深刻理解风险
　　风险是由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响，这是标准的解释，也是企业直观的认知。
　　但，我们应该知道，“认知”和“理解”之间有着很大的差距。认知停留于表面，理解才是深入。对于风险，仅仅做到认知是不够的，彻底的理解才能找到问题的关键。
　　比如，管理员都知道，数据库服务器、网关设备、核心交换机等等的宕机，会引起整个网络系统的瘫痪，给企业造成重大损失。于是，不少管理员实施了备份机制，防范于未然。但大多数企业，限于预算，是不会采取任何措施的。也因为他们存在侥幸心理，认为这种宕机机率是微乎其微的。
　　这就是依然停留在了认知阶段，知道什么是风险以及后果，也会采取一定的措施。可是，并没有深入的去理解，不了解风险发生的概率值，不明白事件带来损失的具体数量级，也就无从谈起采取合适成本的控制手段。
　　准确的说，理解风险，就是要对风险的方方面面都很清楚。风险是潜在的，也可能是显性的；风险会转移，也可能会消失；发现风险，并不一定要去控制或者去消除它，因为投入有时会远远超过潜在的损失，这就不值得去做了；小概率的风险，也必须要重视甚至大投入地去控制它，因为一旦发生安全事件带来的损失可能是致命的。
　　在实际的项目过程中，对于如何理解风险，冰峰网络的咨询顾问主要采用了培训的方式。针对一线的系统使用人员，强调风险意识以及对规章制度的遵守；对于管理人员，强调发现风险的意识和量化风险的能力；而对于决策者，更多的是告诉他们该如何控制预算和成本。