今日，信息化得到了充分的发展，社会的运作也越来越依赖于信息技术和信息系统，信息资产也成为了每个企业的核心，网络信息系统在企业中的作用愈加重要。然而，众所周知的是，系统的一些固有缺陷和技术不足，使得攻击、泄密、破坏等等安全事件时有发生，给企业带来损失。　　
　　可惜的是，大多数企业的系统管理人员以及决策者，对于这样的安全风险甚少有意识，往往只能在事件发生后，捶胸顿足、哀声长叹。即使，有部分具有前瞻眼光的决策者，察觉到了风险的可怕，却也缺少一种科学的分析方法，对于核心业务流程的风险更缺乏严格的评估、量化和分析。　　
　　正因为如此，对于网络信息系统的风险评估是大势所趋。所谓风险评估，就是参照风险评估标准和管理规范，对资产、威胁、薄弱环节和已采取的防护措施等进行分析，判断安全事件发生的概率、可能造成的损失以及预防需要花费的成本，最终得到一个量化的数据报表，指导企业去合理地投入资源，有效地规避风险。　　
　　最近，上海冰峰网络技术有限公司帮助几个行业的10多个大客户作了一次风险评估，采用动态的四步走方式，前后总计2个多月的时间，取得了良好的效果。
    第一步，深刻理解风险
　　风险是由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响，这是标准的解释，也是企业直观的认知。
　　但，我们应该知道，“认知”和“理解”之间有着很大的差距。认知停留于表面，理解才是深入。对于风险，仅仅做到认知是不够的，彻底的理解才能找到问题的关键。
　　比如，管理员都知道，数据库服务器、网关设备、核心交换机等等的宕机，会引起整个网络系统的瘫痪，给企业造成重大损失。于是，不少管理员实施了备份机制，防范于未然。但大多数企业，限于预算，是不会采取任何措施的。也因为他们存在侥幸心理，认为这种宕机机率是微乎其微的。
　　这就是依然停留在了认知阶段，知道什么是风险以及后果，也会采取一定的措施。可是，并没有深入的去理解，不了解风险发生的概率值，不明白事件带来损失的具体数量级，也就无从谈起采取合适成本的控制手段。
　　准确的说，理解风险，就是要对风险的方方面面都很清楚。风险是潜在的，也可能是显性的；风险会转移，也可能会消失；发现风险，并不一定要去控制或者去消除它，因为投入有时会远远超过潜在的损失，这就不值得去做了；小概率的风险，也必须要重视甚至大投入地去控制它，因为一旦发生安全事件带来的损失可能是致命的。
　　在实际的项目过程中，对于如何理解风险，冰峰网络的咨询顾问主要采用了培训的方式。针对一线的系统使用人员，强调风险意识以及对规章制度的遵守；对于管理人员，强调发现风险的意识和量化风险的能力；而对于决策者，更多的是告诉他们该如何控制预算和成本。
    第二步，识别分析风险
　　识别分析风险，使用最多的还是定量和定性分析的方法。
　　定量分析，是一种量化的分析方法，它对构成风险的各个要素和潜在损失赋值，要素包括资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等。当这些风险相关特性都被赋值了，风险评估的整个过程和结果也就被量化了。事实上，定量分析就是试图从数字上对安全风险进行分析评估的一种方法。
　　如冰峰咨询顾问在项目中发现，某公司的网络系统的一个重大威胁是断电。一旦断电发生，业务损失程度估算是10%。根据以往经验，每月意外或有意的断电总体时间会在0.5个小时左右，其中发生在上班时间的概率是80%（ARO，年度发生率）。该公司全年业务总额为6000万人民币。基于以上数据，我们可以估算出的ALE（年度损失期望）。
　　即ALE={6000/(235*8)}*(0.5*12)*80%*10%=1.53万，其中，235为每年实际工作天数，8为每天工作时间，12指一年总共有的月份。
　　可以看出，因为断电引起的损失每年会在1.5万左右。而假设一个UPS系统的使用寿命是5年，那么为了避免损失，至少可以拿出5*1.5=7.5万的费用投资。一般而言，这样的投入可以建立一个很好的后备电源系统，不但能符合该公司的需求，也能为其规避风险。
　　通过定量分析可以对安全风险进行准确的分级，但必须是有非常准确的可供参考的数据为前提的。这样的数据是需要长期的统计，所以定量分析所依据的数据的可靠性是很难保证的，这就带来了一定困难。因此，最普遍的做法是定量和定性的配合。
　　定性分析与定量分析的区别在于，不再向资产分配难以确定的财务价值、预期损失和控制成本，取而代之的是计算相对值，如“高”、“中”、“低”等。通过调查表和合作研讨会的组合形式进行风险分析，涉及来自企业内各个部门的人员。操作方法可以多种多样，包括小组讨论、调查问卷、检查列表、人员访谈等。
　　评估人员通常准备好控制措施方案，参与到各个环境，以便各部门考虑成本，最后结果统一分析。定性分析带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例。
　　如，某公司的业务不断扩展，分支机构越来越多。原先使用拨号方式接入公司内部网络系统，是他们主要的方式。这种方式，数据被窃密的可能性处于“低”的相对值，然而对于其业务而言，一旦失密的后果是整体的崩溃，损失会在数千万。那么，此种情况下，投入一个合适的VPN设备值得的。因为，前期该公司已经购入了冰峰的VPN，考虑到引入其他厂商的产品可能存在的风险，他们是乐意在以后的项目中继续和冰峰网络合作。
　　总的来说，分析风险，就是要评估人员凭项目经验，结合两种不同的分析方法，非常精确给出详细的报告。
    第三步，控制防范风险
　　在进行风险分析并计算出大致成本，同时对投入产出已经有了明确的认识后，控制防范风险就是最重要的行动。相对而言，这一步是比较轻松的了。前面的分析得已经明确的计算出了损失和成本，到此只是需要决策者的支持和决心。
　　控制风险，最重要的就是选择合适的供应商，选择合适自己的解决方案。
　　另外，不可否认的是，新的系统的引入，会带来新的风险，这是无法避免的。在控制防范过程中，一定要注意分析评估新系统的风险，同样的也是使用定量和定性结合的方式。
　　第三步中的评估，是要参照前一步中一些相关数据，有时我们甚至会改变前一步分析时的一些赋值。这样做往往引起全局分析结果的变化，我们常会无奈的发现，原先成本可以接受的措施，已经变得不值得投入。或者，一些措施带来的风险更重于引入该措施之前。
　　于是，不得不在两份或多份报告中选择，找到一个最优化的结果。这也证明，风险是不可能完全规避的，明确的目标就是控制风险在一个可接受的范围内。
    第四步，持续管理风险
　　持续管理风险，是一个企业面向未来的策略。风险的存在是会随着时间的推移、环境的变化而不断变化，持续管理就是要紧随这种变化。与其他的项目不同，网络信息系统的风险，自从网络部属于企业那天起，就伴随着企业的一生。除非企业不再使用网络，否则风险一直存在且变化万千。
　　建立持续管理策略，就是在企业网络信息系统中，不间断地进行评估。持续管理的步骤是一种基于PDCA循环的系统化问题解决方法，即计划（Plan）、实施（Do）、检查（Check）、改进（Action）这样四个进程。通常，按阶段进行，观察每个阶段的整体情况。　　
    结语
　　作为网络信息安全的重要组成，风险评估的重要性毋容置疑，只有准确地进行了评估，才能对症下药、有的放矢。在评估过程中，这种四步走的方式，体现了一种动态。这也从另一方面证明了，信息安全是长期的、艰难的，企业必须要有打“持久战”的准备。
　　那对企业而言，必须寻找那种值得信任的长期合作伙伴来帮助他们。在这方面，冰峰网络一直在努力做的更好。相信未来，会有越来越多的企业接受这种动态评估的概念。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。