高校中的信息安全風險

在業務連續性管理工作中，所謂知己知彼，即是要通過分析本單位的情況，識別出影響信息系統正常運行的關鍵點，確定業務連續性管理目標，采取針對性應對策略，從而保障系統的持續穩定運行。

對于教育行業單位而言，在業務影響性分析、風險評估等分析本單位信息系統情況的方法之中，往往風險評估的難度更大，而風險評估中識別風險的關鍵過程就是風險分析。教育行業單位在梳理信息系統中存在的安全風險點時，由于現在的教學管理、行政辦公、門戶網站、在線課堂等信息系統規模越發龐大，業務流程、功能模塊等各種資產間的關聯關系復雜，如我校現有十余套信息系統，數十臺服務器及網絡和存儲設備，使得對信息系統進行風險分析的困難性大大增加。因此，本文將結合我校研究風險分析的實踐經驗，探索對復雜信息系統進行風險分析的有效方法，為確立業務連續性管理工作目標奠定基礎。

在風險分析中，“自底向上”和“自頂向下”是兩種最為基本的分析方法。

自底向上的分析方法是從組成信息系統的資產粒度入手，分析資產價值、自身脆弱性和外部威脅，評估資產存在的風險，進而根據信息系統中各資產的關聯關系，逐步分析單個資產風險——局部風險——整體風險，從而完成對整個信息系統風險的分析。需要預先明確系統的相關信息。

自頂向下的分析方法是從系統頂層的事件現象入手，分析導致事件現象的各種可能組合方式，由總體至局部，逐層向下細化查找導致事件的原因。“故障樹”即是一種典型的自頂向下的風險分析方法，通過對可能造成系統故障的硬件、軟件、環境、人為因素進行分析，由總體至部分，采取樹形圖的形式，把系統的故障與組成系統部件的故障有機地結合在一起。

風險分析整體思路

隨著信息技術的發展，信息系統的規模和復雜性都不斷增加，單位內也會劃分不同職責的信息管理人員，具體承擔如網絡、操作系統、數據庫、應用系統等不同的專業性管理工作。對整個信息系統運行風險的了解，由這些不同職責員工的專業知識共同組成，想要全面了解信息系統的風險，就需按照“全員參與”的原則開展風險分析工作。而如何發動不同職責的員工參加，使其能從其職責所在的專業領域分析并提出風險，也是除如何運用上節所述兩種分析方法之外，在風險分析中面臨的另一問題。

在探索對復雜信息系統進行風險分析的過程中，我校根據現有系統內部關聯關系復雜的特點，以“自頂向下”的方法入手，結合信息管理職責劃分，構建類似故障樹的結構，頂層為應用系統的風險，樹的枝干分為不同類別的風險，包括中間件系統、數據庫系統、服務器系統、網絡系統、機房環境等。根據各類組件在信息系統中的作用和地位，梳理各類別風險間的邏輯關系，信息系統中的風險關系可如圖1所示。同時，在將整體風險劃分為較小范疇之后，在對各類別風險的分析中，采用以“自底向上”的方法為主，以幫助發現更多導致上層現象的原因，形成“自底向上”對“自頂向下”方法的補充。

圖1 信息系統整體風險關系圖

根據信息管理職責的劃分，各類別的運行風險由相應信息管理人員負責，如硬件管理員負責主機風險，軟件管理員負責應用風險，由于應用系統間往往存在數據交互和依賴關系，因此在分析應用風險時，還需特別注意梳理不同應用系統間的上下游關系。

在進一步調動相關信息管理人員進行風險分析工作，細化各層次、各應用系統風險間的關系時，就會涉及到梳理復雜邏輯關系的問題。同時，由于各層專業技能領域和關注重點的不同，也會導致不同崗位分析風險時存在不同視角，如主機層面的主板故障，在主機管理員看到的問題原因是主板故障，導致的后果是基于該主機的操作系統不可用；而應用管理員看到的原因只是操作系統不可用，后果是應用系統無法對外提供服務。因此，需要將不同崗位的分析結果有效關聯起來，才能形成較好的風險分析結果。

在探索解決這一難題的過程中，基于圖1所示的風險層次關系，筆者高校風險分析實踐的整體思路如下：

1.每層梳理本層所依賴的下層對象，可能是下層基礎設施或其他應用系統等，并提出對下層服務的要求。

2.每層分析本層存在的風險，包括以下兩類風

險:所依賴的下層對象暴露的風險、本層存在的風險。

3.每層積極應對本層風險及下層暴露的風險，相應管理人員在系統的規劃設計和建設運維各階段，采取轉移、減輕、規避、接受等風險應對措施。對于在本層無法屏蔽的風險，應向上層暴露，由上層統籌考慮應對解決。

4.對于下層暴露出的風險，上層應重視并判斷其對自身產生的影響，采取相應的風險應對措施。若作為頂層的應用層也無法解決的風險，即為信息系統對外暴露的風險，將需要從業務管理上考慮應對措施并在應急預案中體現。同時，上層將會對自身造成影響的下層風險歸納總結到對下層的服務要求中，促進梳理上下層邏輯關系工作的不斷細化和完善。

從全局來看，這是一個由點到面的過程，通過這一系列相對獨立的流程，將風險分析工作分解，調動全員參與。這種分析方式的優點在于每個人可以更專注于在自己的職責范圍開展風險分析，提高風險分析的專業性和覆蓋面。隨著分析深度逐步的開展，最終能夠將各職能崗位關聯起來，逐級展現盡可能全面的風險。

同時，在完成較為健全的風險分析工作后，借助自底向上方法的補充，從而構建更為完整的故障樹，在事件發生時能更快地由現象定位到原因，從而提高解決事件的效率，減少對業務的影響。

在實際工作中，這種方式也會存在一些問題，由于上下層間涉及工作崗位的劃分，如果某崗位上的人員無法準確描述所依賴的資源，如對所依賴的資源提出過高的要求，期望服務器永遠不故障、供電永遠不中斷等等，那么就可能導致風險分析無法細化，出現遺漏風險等問題。對于此類問題的解決，一方面可通過下層向上層暴露風險的過程進行補充，促進上層對下層依賴關系的梳理。另一方面，強化對所有相關信息管理人員的風險意識教育也是非常重要的一個環節，通過風險意識教育，讓相關管理人員認識到風險管理是其崗位職責的重要組成部分，避免出現因職責或工作界面不清晰導致上下層工作造成脫節，盡可能避免風險盲區的出現。

增強資產識別能力的實踐

信息系統中各對象間的邏輯關系梳理是風險分析中的關鍵難點之一，高校結合開展IT配置管理工作經驗，探索通過梳理配置單元間的邏輯關系，以提高風險分析中資產識別的深度和廣度。

按照風險分析的思路，進行自底向上的風險分析時，第一步工作都是識別資產，在各層次內的資產類型又有所不同，如應用層的資產表現為功能模塊、系統進程等，主機層的資產表現為服務器、虛擬機、操作系統等，而這些資產在配置管理的概念中，都可作為不同級別的配置項。按照配置管理的理念，梳理各配置項間的關系并將其存儲在配置管理數據庫中，是一項重要的基礎工作。

因此，風險分析可以借助于配置管理，根據配置管理數據庫中記錄的配置項信息及關聯關系，一方面在單位內部復用資源，提高工作效率；另一方面，也可以增進對配置項及關聯關系的了解，提高風險分析的準確性。

總結及展望

在開展風險分析實踐中，筆者高校嘗試結合使用“自頂向下”和“自底向上”兩種風險分析方法作為互補，并根據崗位職責劃分，調動相關信息管理人員共同參與到上下游的風險分析中。同時利用配置管理工具，促進資產識別能力的提高，以增強風險分析效率和準確性。

今后風險分析工作，借助于信息管理知識庫和配置管理庫，隨著管理數據的不斷積累，對信息系統風險分析的支持也將得到不斷增強，如信息系統運行過程中遇到的問題可與配置管理數據庫中的配置項進行關聯，在進行風險分析時，通過相關事件級別、數量和原因等詳細信息的記錄，將有助于量化分析信息系統所面臨的威脅、自身的脆弱性，進而更科學地量化評估安全風險。