淺析企業網絡安全防護風險管理體系的建立

李 明

（中國鐵道科學研究院 電子計算技術研究所, 北京 100081）

隨著信息化進程的深入和互聯網的快速發展，網絡安全風險問題日漸突出，如何控制由網絡安全問題給企業造成的風險和損失已成為企業亟待解決的問題。然而，大部分企業在大力推進技術設施建設的同時，卻往往缺乏對網絡安全管理的足夠重視。在整個網絡安全防護體系建設中，通過增強網絡安全管理能力、統籌部署安全等級保護、風險評估和災難備份等方面的工作，可以很好地提升網絡安全保障水平和企業應對突發事件的能力，更好地為企業發展提供有力的支撐。

1 網絡安全防護風險管理的意義

風險管理是指通過對風險的識別、評估、分析和監控，選擇最有效的方式，主動地、有目的地、有計劃地處理風險，以最小成本爭取獲得最大安全保證的管理方法。

安全生產是企業生存和發展的重要支撐，其中網絡安全防護是企業安全生產工作的必要組成部分。企業快速發展的同時，面臨了很多不同程度、甚至是不可預知的風險，這對網絡安全防護工作在為企業生存和發展保駕護航、提高抗擊風險的能力上提出了新的要求。因此，建立一套能夠在促進企業健康發展中起到實質作用的、完善的網絡安全防護風險管理體系，具有非常重要的意義。

2 網絡安全防護風險管理體系的構建

影響企業網絡安全防護風險管理體系建立的幾個重要因子，即風險識別、風險評估、風險規避和風險跟蹤，幾個因子之間相互關聯、相輔相成，是一個典型的動態變化過程。

首先通過風險識別，明確企業網絡安全風險的存在，找到主要的風險因素，為后面的風險評估和風險規避奠定基礎，在風險識別之后須進行風險評估，確定其對企業發展影響的嚴重性，以便下一步采取相應的措施，然后根據企業內外部風險的實際情況，采取相應的對策、措施或方法進行風險規避，使風險損失對企業生產經營活動的影響降到最小限度，最后應及時或定期進行跟蹤，辨識是否有新的風險因素產生，并針對發現的新問題和新風險，采取或者變更應對措施，通過不斷的循環，確保風險管理的充分性、適宜性和實效性。網絡安全防護風險管理體系如圖1。

圖1 網絡安全防護風險管理體系

2.1 風險識別

風險識別是風險管理體系建立的基礎性工作，它通過提供必要的信息使風險估計評價更具效果及效率。網絡安全防護工作主要包括以下幾方面：（1）網絡與信息安全管理機制，包括組織機構的設置和信息通報制度的建立等；（2）與網絡相關的各種設備設施，主要包括服務器、網絡設備、存儲設備、終端設備和各種操作系統及軟件等；（3）支撐網絡運行的基礎設備設施，主要包括機房電源、UPS、空調、防火設施以及溫度感應器、濕度感應器和視頻監控等監控設備；（4）網絡應急備份設備設施。

明確網絡安全防護主要內容后，需要對各項內容存在的安全隱患進行逐一識別并加以分析。其中，管理機制可能存在的安全問題有：組織機構的建立以及機構建立后的完善程度，信息通報制度的建立以及通報渠道通暢性，各種管理制度的落實及執行力等。網絡相關設備設施存在的主要安全問題有：自然災害（如火災、雷擊）、環境事故（如斷電、鼠患）、人為對硬件破壞、數據庫和操作系統等軟件的漏洞以及人為等原因造成的安全隱患。支撐網絡運行的基礎設備設施可能存在的安全問題主要是：機房電源、UPS、空調和防火設施配備是否齊全；由于地震、爆炸、大火等災害造成通信線路斷裂；網絡連接接口松動或網絡設備損壞等。網絡應急備份設備可能存在安全問題主要是：應急預案和應急支援隊伍的建立及完善程度；應急演練開展的情況；重要數據和系統是否進行備份和備份的及時性等。

2.2 風險評估

在對網絡安全保障工作中可能存在的風險和隱患進行識別后，通過對所收集的識別資料加以分析，進行風險估計。風險評估按照嚴重性、可能性和風險系數3個影響因素進行劃分。（1）風險嚴重性等級的劃分依據是進度延誤或者費用超支。延誤或超支指標按照每多5個百分點為1級劃分，共分為5個等級，分別用1～5數字表示。（2）風險可能性等級依據風險發生的概率進行劃分，共分為5個等級，也分別用1～5數字表示，概率<20%的為1級，發生概率每多出20%，即多一個等級。（3）風險系數通過對風險嚴重性和風險可能性的等級來確定，當風險嚴重性等級為5，可能性等級為5，那么它的風險系數是5×5=25，當風險嚴重性等級為1，可能性等級為1，那么它的風險系數是1×1=1，這樣風險系數共分為1～25等級。風險系數為1時，風險等級最低，屬于小風險，在一定程度上不會造成重大事故的發生，風險系數為25時，風險等級最高，屬于重大風險，一旦發生，會造成人員傷亡、財產損失、嚴重影響生產等后果，帶來不良的社會效應，需要引起高度的重視。風險評估表見表1。

2.3 風險規避

在對網絡安全防護工作存在的風險進行評估之后，網絡部門的管理者已經對網絡安全防護工作中存在的種種風險和嚴重程度有了一定的把握。這時需要找到風險發生的原因或者引起風險的觸發條件，并在此基礎上，從眾多的風險應對策略中，結合工作實際，選擇行之有效的方法和規避措施，把風險轉化為機會或將風險所造成的負面效應降低到最低的程度。

表1 風險評估表

比如，網絡安全管理機制的建立及完善是網絡安全防護的首要任務。首先，企業需要建立起完善的組織機構，包括領導小組和工作小組。領導小組的組成應該由企業的主要領導及各部門的主要負責人組成，一旦發生隱患和事故時，企業能夠做出快速響應；工作小組主要由企業的網絡管理員和各部門的相關技術人員組成，除了做好日常網絡與信息安全監督和管理工作，還要配合企業做好各項網絡安全的檢查工作。其次，企業需要建立并完善信息通報制度，并保障通報渠道的通暢性，發生事故時，利用通報渠道，可以迅速把發生事件及嚴重程度傳達到各級部門，使領導能夠迅速做出決策并把決策和方案傳遞到各部門，日常工作中，信息通報渠道也是相關人員學習和交流的平臺。

再比如，關于某企業下屬企業的網絡相關設備設施和支撐網絡運行的基礎設備設施，當網絡通道中斷時，引發中斷的原因可能有3點：網絡外部鏈路故障、企業內電話班或機房設備故障、下屬企業內部網絡鏈路故障。根據上述網絡通道中斷的3個觸發條件，需要采取的規避措施是：通過各系統的監控系統對網絡狀況進行實時監控，發現問題立刻與鐵通、電信通等相關單位聯系；敦促電話班、上級企業網絡中心檢查設備，并建立共同的應急機制；檢查企業內部網絡鏈路上的關鍵設備狀況；對關鍵線路上的關鍵設備進行備份；梳理并熟知應急預案等。

2.4 風險跟蹤

風險管理是一個動態變化的過程。網絡安全工作在開展的過程中，本身存在很多不確定的因素，有些甚至可能與分析的風險和預定的計劃存在沖突，尤其是針對某些復雜和龐大的生產系統的網絡安全防護工作，很多風險是難以預知的。因此，應及時或是定期地進行跟蹤，明確風險發生的時間、解決狀態、責任人，辨識是否有新的風險因素產生，各類風險的發生概率和嚴重程度是否有變化，風險規避的措施是否適宜，實施是否有效等。針對發現的新問題和新風險，及時采取或者變更應對措施，這樣才能確保風險管理的充分性、適宜性和實效性。

3 結束語

本文提出了一個基于風險識別、風險評估、風險規避和風險跟蹤的網絡安全防護管理體系。該體系具有動態可持續性，通過風險識別和評估，尋求具有針對性的規避措施，并不斷地進行風險跟蹤，可以極大地提高網絡安全防護的管理水平，預防、減輕甚至消除由于網絡安全而出現的隱患和風險的影響，為企業的安全生產奠定了重要基礎。同時，企業需要把風險管理作為日常網絡安全防護工作的一部分，將之常態化，并通過跟蹤風險發現新的影響因子及時配置到體系當中，在不斷循環的過程中優化完善體系的構成，以保障網絡安全防護工作在企業良性健康的發展中發揮更重要的作用。

[1]羅 毅. 網絡安全評估研究[J].重慶大學，2007（3）.

[2]郝靈偉.計算機網絡安全分析[J].電腦知識與技術，2010（27）.

[3]李素鵬. 建立全面風險管理思維[C]. 首屆中國紡織技術與經濟發展高層論壇論文集，2008.