企业局域网安全之风险管理
作者:安企神软件 | 日期:0
公司上网行为管理,就用安企神软件
文章简介:大多数的人类行为都存在固有的危险性:就选漫步街头也会让你置身险境,比如被一颗来自天外的小行星集中或是滑到在一块香蕉皮上。当然,前一种风险非常罕见。而后一种风险尽管可能性更大一些,但其后果也不会严重到哪...
大多数的人类行为都存在固有的危险性:就选漫步街头也会让你置身险境,比如被一颗来自天外的小行星集中或是滑到在一块香蕉皮上。当然,前一种风险非常罕见。而后一种风险尽管可能性更大一些,但其后果也不会严重到哪里。此外对落脚之处小心留意,也可以以便面此类“香蕉皮事件”。这两个例子说说,并非所有的风险都是相同的,而有些风险是可以被控制的。风险管理包括以下两项:
风险分析:发现存在哪些风险,以及这些风险可能导致的潜在损失。
风险控制:采取措施将潜在的损失控制在一个科接受的程度内(即风险控制的成本与所减少的潜在损失之间要保有恰当的平衡)。
可以用好几种方式来进行风险分析:定性和定量风险分析。风险分析还可以由第三方来实施。比如现在国有企业或者事业单位每年都有针对信息化环境的安全等级评测,此评测的实施方都是第三方公司来进行的。
风险分析依赖于一套特定的专业术语,如下所示:
脆弱性(vulnerability):一个系统的缺陷(weakness)(通常非有意形成)。该缺陷可能存在于流程中(例如,未经批准擅自移动网络设备);存在与产品中(例如,一个软件bug);存在于某些操作的工程实施中(例如,没有打开强加密选项(enablesecret))。
威胁(threat):蓄意利用(系统的)脆弱性的个人、组织或蠕虫病毒等。
风险(risk):一个威胁利用(系统的)缺陷发起攻击并造成损失的概率。
暴露(exposure):一个威胁事实上已经利用(系统的)缺陷发起了攻击。
可以运用某些概率学计算来导出年度损失预期值(lossexpectancy)(例如,在一年的时间范围内估算的损失预期值)。该预期值需以美元(或其他流通货币)度量。相对于一个类似于“公司形象损失”之类的风险来说,这一损失并不总是那么显而易见,但是,必须确定一个合理的损失估算方法,以便于随后对降低风险所带来的收益进行评估。
风险分析事关发现所有潜在的缺陷并评估与之相关的损失。风险控制则是指处理这些风险从而减轻他们来的经济影响。风险可以进行一下处理。
降低:通过控制手段(也称为对策(countermeasures))来消除缺陷或威胁,降低风险概率,或者预防风险。风险降低不可能100%成功,剩余的风险被称为“留存风险”(residualrisk)。
转移:转移到另外一个组织。比如,投保一份火险来防范火灾带来的损失。
接受:当你在高速公路上驾车时,就要接受与之相关的风险——遭遇车祸。
忽略:即使风险分析显示风险存在,也不试图去控制它。这与接受风险是不同的,因为你升职都没有考虑过它。这显然是一种不明智的行为。
通过技术控制手段来降低风险是我们接下来后续文章的核心所在。然而,务必牢记:通过流程或是行政手段等其他途径也可以降低风险。例如,让全体员工签署一份企业业务行为准则合同,对行为规范进行巨细靡遗地罗列,或者对全体员工进行安全意识的培训。
当然,对策(countermeasure)的成本必须小于损失的预期值。