風險管理
大多數的人類行爲都存在固有的危險性:就選漫步街頭也會讓你置身險境,比如被一顆來自天外的小行星集中或是滑到在一塊香蕉皮上。當然,前一種風險非常罕見。而後一種風險儘管可能性更大一些,但其後果也不會嚴重到哪裏。此外對落腳之處小心留意,也可以以便面此類“香蕉皮事件”。這兩個例子說說,並非所有的風險都是相同的,而有些風險是可以被控制的。風險管理包括以下兩項:
風險分析:發現存在哪些風險,以及這些風險可能導致的潛在損失。
風險控制:採取措施將潛在的損失控制在一個科接受的程度內(即風險控制的成本與所減少的潛在損失之間要保有恰當的平衡)。
風險分析
可以用好幾種方式來進行風險分析:定性和定量風險分析。風險分析還可以由第三方來實施。比如現在國有企業或者事業單位每年都有針對信息化環境的安全等級評測,此評測的實施方都是第三方公司來進行的。
風險分析依賴於一套特定的專業術語,如下所示:
脆弱性(vulnerability):一個系統的缺陷(weakness)(通常非有意形成)。該缺陷可能存在於流程中(例如,未經批准擅自移動網絡設備);存在與產品中(例如,一個軟件bug);存在於某些操作的工程實施中(例如,沒有打開強加密選項(enable secret))。
威脅(threat):蓄意利用(系統的)脆弱性的個人、組織或蠕蟲病毒等。
風險(risk):一個威脅利用(系統的)缺陷發起***並造成損失的概率。
暴露(exposure):一個威脅事實上已經利用(系統的)缺陷發起了***。
可以運用某些概率學計算來導出年度損失預期值(loss expectancy)(例如,在一年的時間範圍內估算的損失預期值)。該預期值需以美元(或其他流通貨幣)度量。相對於一個類似於“公司形象損失”之類的風險來說,這一損失並不總是那麼顯而易見,但是,必須確定一個合理的損失估算方法,以便於隨後對降低風險所帶來的收益進行評估。
風險控制
風險分析事關發現所有潛在的缺陷並評估與之相關的損失。風險控制則是指處理這些風險從而減輕他們來的經濟影響。風險可以進行一下處理。
降低:通過控制手段(也稱爲對策(countermeasures))來消除缺陷或威脅,降低風險概率,或者預防風險。風險降低不可能100%成功,剩餘的風險被稱爲“留存風險”(residual risk)。
轉移:轉移到另外一個組織。比如,投保一份火險來防範火災帶來的損失。
接受:當你在高速公路上駕車時,就要接受與之相關的風險——遭遇車禍。
忽略:即使風險分析顯示風險存在,也不試圖去控制它。這與接受風險是不同的,因爲你升職都沒有考慮過它。這顯然是一種不明智的行爲。
通過技術控制手段來降低風險是我們接下來後續文章的核心所在。然而,務必牢記:通過流程或是行政手段等其他途徑也可以降低風險。例如,讓全體員工簽署一份企業業務行爲準則合同,對行爲規範進行鉅細靡遺地羅列,或者對全體員工進行安全意識的培訓。
當然,對策(countermeasure)的成本必須小於損失的預期值。
(更多精彩文章歡迎到我的網站:87技術網 http://www.qu87.com)