【IT168 专稿】今日,信息化得到了充分的发展,社会的运作也越来越依赖于信息技术和信息系统,信息资产也成为了每个企业的核心,网络信息系统在企业中的作用愈加重要。然而,众所周知的是,系统的一些固有缺陷和技术不足,使得攻击、泄密、破坏等等安全事件时有发生,给企业带来损失。
可惜的是,大多数企业的系统管理人员以及决策者,对于这样的安全风险甚少有意识,往往只能在事件发生后,捶胸顿足、哀声长叹。即使,有部分具有前瞻眼光的决策者,察觉到了风险的可怕,却也缺少一种科学的分析方法,对于核心业务流程的风险更缺乏严格的评估、量化和分析。
正因为如此,对于网络信息系统的风险评估是大势所趋。所谓风险评估,就是参照风险评估标准和管理规范,对资产、威胁、薄弱环节和已采取的防护措施等进行分析,判断安全事件发生的概率、可能造成的损失以及预防需要花费的成本,最终得到一个量化的数据报表,指导企业去合理地投入资源,有效地规避风险。
最近,上海冰峰网络技术有限公司帮助几个行业的10多个大客户作了一次风险评估,采用动态的四步走方式,前后总计2个多月的时间,取得了良好的效果。
第一步,深刻理解风险
风险是由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响,这是标准的解释,也是企业直观的认知。
但,我们应该知道,“认知”和“理解”之间有着很大的差距。认知停留于表面,理解才是深入。对于风险,仅仅做到认知是不够的,彻底的理解才能找到问题的关键。
比如,管理员都知道,数据库服务器、网关设备、核心交换机等等的宕机,会引起整个网络系统的瘫痪,给企业造成重大损失。于是,不少管理员实施了备份机制,防范于未然。但大多数企业,限于预算,是不会采取任何措施的。也因为他们存在侥幸心理,认为这种宕机机率是微乎其微的。
这就是依然停留在了认知阶段,知道什么是风险以及后果,也会采取一定的措施。可是,并没有深入的去理解,不了解风险发生的概率值,不明白事件带来损失的具体数量级,也就无从谈起采取合适成本的控制手段。
准确的说,理解风险,就是要对风险的方方面面都很清楚。风险是潜在的,也可能是显性的;风险会转移,也可能会消失;发现风险,并不一定要去控制或者去消除它,因为投入有时会远远超过潜在的损失,这就不值得去做了;小概率的风险,也必须要重视甚至大投入地去控制它,因为一旦发生安全事件带来的损失可能是致命的。
在实际的项目过程中,对于如何理解风险,冰峰网络的咨询顾问主要采用了培训的方式。针对一线的系统使用人员,强调风险意识以及对规章制度的遵守;对于管理人员,强调发现风险的意识和量化风险的能力;而对于决策者,更多的是告诉他们该如何控制预算和成本。
第二步,识别分析风险
识别分析风险,使用最多的还是定量和定性分析的方法。
定量分析,是一种量化的分析方法,它对构成风险的各个要素和潜在损失赋值,要素包括资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等。当这些风险相关特性都被赋值了,风险评估的整个过程和结果也就被量化了。事实上,定量分析就是试图从数字上对安全风险进行分析评估的一种方法。
如冰峰咨询顾问在项目中发现,某公司的网络系统的一个重大威胁是断电。一旦断电发生,业务损失程度估算是10%。根据以往经验,每月意外或有意的断电总体时间会在0.5个小时左右,其中发生在上班时间的概率是80%(ARO,年度发生率)。该公司全年业务总额为6000万人民币。基于以上数据,我们可以估算出的ALE(年度损失期望)。
即ALE={6000/(235*8)}*(0.5*12)*80%*10%=1.53万,其中,235为每年实际工作天数,8为每天工作时间,12指一年总共有的月份。
可以看出,因为断电引起的损失每年会在1.5万左右。而假设一个UPS系统的使用寿命是5年,那么为了避免损失,至少可以拿出5*1.5=7.5万的费用投资。一般而言,这样的投入可以建立一个很好的后备电源系统,不但能符合该公司的需求,也能为其规避风险。
通过定量分析可以对安全风险进行准确的分级,但必须是有非常准确的可供参考的数据为前提的。这样的数据是需要长期的统计,所以定量分析所依据的数据的可靠性是很难保证的,这就带来了一定困难。因此,最普遍的做法是定量和定性的配合。
定性分析与定量分析的区别在于,不再向资产分配难以确定的财务价值、预期损失和控制成本,取而代之的是计算相对值,如“高”、“中”、“低”等。通过调查表和合作研讨会的组合形式进行风险分析,涉及来自企业内各个部门的人员。操作方法可以多种多样,包括小组讨论、调查问卷、检查列表、人员访谈等。
评估人员通常准备好控制措施方案,参与到各个环境,以便各部门考虑成本,最后结果统一分析。定性分析带有很强的主观性,往往需要凭借分析者的经验和直觉,或者业界的标准和惯例。
如,某公司的业务不断扩展,分支机构越来越多。原先使用拨号方式接入公司内部网络系统,是他们主要的方式。这种方式,数据被窃密的可能性处于“低”的相对值,然而对于其业务而言,一旦失密的后果是整体的崩溃,损失会在数千万。那么,此种情况下,投入一个合适的VPN设备值得的。因为,前期该公司已经购入了冰峰的VPN,考虑到引入其他厂商的产品可能存在的风险,他们是乐意在以后的项目中继续和冰峰网络合作。
总的来说,分析风险,就是要评估人员凭项目经验,结合两种不同的分析方法,非常精确给出详细的报告。
第三步,控制防范风险
在进行风险分析并计算出大致成本,同时对投入产出已经有了明确的认识后,控制防范风险就是最重要的行动。相对而言,这一步是比较轻松的了。前面的分析得已经明确的计算出了损失和成本,到此只是需要决策者的支持和决心。
控制风险,最重要的就是选择合适的供应商,选择合适自己的解决方案。
另外,不可否认的是,新的系统的引入,会带来新的风险,这是无法避免的。在控制防范过程中,一定要注意分析评估新系统的风险,同样的也是使用定量和定性结合的方式。
第三步中的评估,是要参照前一步中一些相关数据,有时我们甚至会改变前一步分析时的一些赋值。这样做往往引起全局分析结果的变化,我们常会无奈的发现,原先成本可以接受的措施,已经变得不值得投入。或者,一些措施带来的风险更重于引入该措施之前。
于是,不得不在两份或多份报告中选择,找到一个最优化的结果。这也证明,风险是不可能完全规避的,明确的目标就是控制风险在一个可接受的范围内。
第四步,持续管理风险
持续管理风险,是一个企业面向未来的策略。风险的存在是会随着时间的推移、环境的变化而不断变化,持续管理就是要紧随这种变化。与其他的项目不同,网络信息系统的风险,自从网络部属于企业那天起,就伴随着企业的一生。除非企业不再使用网络,否则风险一直存在且变化万千。
建立持续管理策略,就是在企业网络信息系统中,不间断地进行评估。持续管理的步骤是一种基于PDCA循环的系统化问题解决方法,即计划(Plan)、实施(Do)、检查(Check)、改进(Action)这样四个进程。通常,按阶段进行,观察每个阶段的整体情况。
结语
作为网络信息安全的重要组成,风险评估的重要性毋容置疑,只有准确地进行了评估,才能对症下药、有的放矢。在评估过程中,这种四步走的方式,体现了一种动态。这也从另一方面证明了,信息安全是长期的、艰难的,企业必须要有打“持久战”的准备。
那对企业而言,必须寻找那种值得信任的长期合作伙伴来帮助他们。在这方面,冰峰网络一直在努力做的更好。相信未来,会有越来越多的企业接受这种动态评估的概念。