信息安全風險評估與安全預算

張銀行

隨著我國信息化建設(shè)進程不斷加速，各類企事業(yè)都在積極運用網(wǎng)絡(luò)帶來的便利，對各種信息系統(tǒng)的依賴性也在不斷增強，但是信息系統(tǒng)的脆弱性也日益暴露，如何通過有效的手段，保證有限的安全預算發(fā)揮出最大的效果，以保證信息安全，成為大家共同面臨的問題。

一、如何看待安全預算

安全預算是各類企事業(yè)單位為保護信息資產(chǎn)，保證自身可持續(xù)發(fā)展而投入的資金，是一種預防行為。安全預算多少合適，是不是投入得太多了？雖然安全問題越來越受到重視，但是網(wǎng)絡(luò)安全事件仍然是呈現(xiàn)遞增趨勢。從安全預算角度分析原因：一是預算不足；二是預算不到位。

在國外，安全投入占企業(yè)基礎(chǔ)建設(shè)投入的5%～20%，這人比例在中國的企事業(yè)中卻很少超過2%。從風險的角度看，就是要平衡成本與風險之間的關(guān)系，用一百萬美金保護三十萬的資產(chǎn)，顯然是不可接受的，但是如果資產(chǎn)的價值超過了一千萬美金，產(chǎn)生的效益就顯而易見，目前用一個量化的方法來計算信息化建設(shè)對于戰(zhàn)略發(fā)展的貢獻確實比較難。一年下來，并沒有發(fā)生重大的信息安全事件，年初的安全預算可能就會被質(zhì)疑投入太多了；如果發(fā)生了不可接受的安全事件，那就成了預算部門的責任。安全預算到底夠不夠？我們可以通過宏觀的情況來分析一下風險與成本的關(guān)系，每年全球因安全問題導致的網(wǎng)絡(luò)損失已經(jīng)可以用萬億美元的數(shù)量級來計算，我國也有數(shù)百億美元的經(jīng)濟損失，然而安全方面的投入?yún)s不超過幾十億美元。由此可以看出，我國整體信息化建設(shè)，安全預算不足。

一個單位在安全方面投入了很多，但是仍然發(fā)生“不可接受的”信息安全事故。信息安全理論中有名的木桶理論，很好的解釋了這種現(xiàn)象。如很多企業(yè)每年在安全產(chǎn)品上投入大量資金，但是卻不關(guān)注內(nèi)部人員的考察、安全產(chǎn)品有效性的審核等安全要素，缺乏系統(tǒng)的、科學的管理體系支持，都是導致這種結(jié)果產(chǎn)生的原因。

二、 科學制定安全預算

信息安全的預算如何制定？其實要解決的就是預算多少和怎么用的問題。說安全預算難做，一是因為信息安全涉及到很多方面的問題，例如：人員安全、物力安全、訪問控制、符合法律法規(guī)等等。二是很難依據(jù)某種科學的量化的輸入得出具體的預算費用。安全預算是否合理，應(yīng)該關(guān)注以下幾個方面：（1）是否“平衡”了成本與風險的關(guān)系；（2）是否真正用于降低或者消除信息安全風險，而不是引入了新的不可接受風險；（3）被關(guān)注的風險是否具有較高的優(yōu)先等級。

信息安全風險評估恰恰解決了以上問題，通過制定科學的風險評估方法、程序，對那些起到關(guān)鍵作用的信息和信息資產(chǎn)進行評估，得出面臨的風險，然后針對不同風險制定相應(yīng)的處理計劃，提出所需要的資源，從而利用風險評估輔助安全預算的制定。

三、 風險評估過程

目前國際和國內(nèi)都有一些比較成熟的風險評估標準及指南，通常包括下述幾個過程：（1） 確定評估的范圍、目的、評估組、評估方法等；（2）識別評估范圍內(nèi)的信息資產(chǎn)；（3）識別對于這些資產(chǎn)的威脅；（4）識別可能利用這些威脅的薄弱點；（5）識別信息資產(chǎn)的損失給單位帶來的影響；（6）識別威脅時間發(fā)生的可能性；（7）根據(jù)“影響”及“可能性”計算風險；（8）確定風險等級及可接受風險的等級。

風險評估過程中，應(yīng)該考慮那些應(yīng)該輸出的必要信息、表示方式等問題。例如，風險評估的方法，如果采用簡單的評估方法，其輸出的結(jié)果往往不夠細致，進而不能很好的輔助制定預算的決策過程。從整個評估的過程看，應(yīng)該考慮以下幾方面的問題：（1）科學選擇風險評估人員。風險評估過程中，通常需要來自業(yè)務(wù)部門和技術(shù)部門及管理層的人員共同組成風險評估小組。考慮到風險評估的結(jié)果需要為制定安全預算提供信息輸入，那么在整個風險評估的過程中，都應(yīng)該考慮到對制定預算起到關(guān)鍵作用的管理層人員的加入。（2）準確采取風險評估方法。風險評估通常采用定性和定量的分析方法。需要更多地考慮如何量化一些關(guān)鍵指標，作為風險評估過程中各個因素評價的判定準則。這樣的準則更有利于關(guān)注風險與控制成本之間的關(guān)系，也更利于各部門橫向溝通，及與管理層的縱向溝通。（3）查找導致風險的威脅及薄弱點。在進行風險評估時，應(yīng)該系統(tǒng)地考慮來自各個方面的威脅。目前，仍然有很多人對于風險評估的理解還停留在“技術(shù)關(guān)注”的層面，這樣的風險評估顯然是不夠的。（4）選擇適當?shù)目刂拼胧ａ槍︼L險評估所產(chǎn)生的不可接受風險，應(yīng)該采取一定的控制措施對風險進行處理。風險的處理方式通常包括：降低風險、轉(zhuǎn)移風險、避免風險、接受風險。同一風險的處理方式可能不同，同樣的處理方式所采取的控制措施也可能不同。所以就應(yīng)該考慮來自管理和技術(shù)兩方面的控制措施。而這樣的控制措施并非一定要將風險完全規(guī)避，而是要降低到一個可以接受的水平。另外控制措施的選擇也要考慮到成本的問題，任何單位不需要部署所有的安全產(chǎn)品，也沒有必要追求風險最小化。

通過風險評估，了解安全要求，認知安全風險，采取安全控制，有效地平衡安全預算與風險的關(guān)系，將安全預算發(fā)揮最大的經(jīng)濟效益，才能保證信息和信息資產(chǎn)的安全。