網(wǎng)絡(luò)風(fēng)險(xiǎn)多種多樣：停電可以停掉整個(gè)網(wǎng)絡(luò)，黑客可以入侵服務(wù)器，惡意的內(nèi)部人士可以通過(guò)USB盤(pán)竊取敏感信息，這些只是些比較明顯的例子。潛在的風(fēng)險(xiǎn)太多了，以至于很難確定企業(yè)可以承受的風(fēng)險(xiǎn)，不能承受的風(fēng)險(xiǎn)，以及在降低到一個(gè)可接受的風(fēng)險(xiǎn)級(jí)別時(shí)企業(yè)可以應(yīng)付的風(fēng)險(xiǎn)。

要減少停電的風(fēng)險(xiǎn)，我們可以投資一套備用發(fā)電機(jī)，但是要想降低黑客成功攻入網(wǎng)絡(luò)的風(fēng)險(xiǎn)應(yīng)該怎么做了？這個(gè)風(fēng)險(xiǎn)永遠(yuǎn)也不可能完全排除，所以確定將其降低為可接受的風(fēng)險(xiǎn)級(jí)別所需花費(fèi)就很重要了。本指南將介紹如何通過(guò)企業(yè)安全風(fēng)險(xiǎn)分析來(lái)達(dá)到這個(gè)目的。

在企業(yè)中定義一個(gè)可接受的風(fēng)險(xiǎn)級(jí)別

可接受的風(fēng)險(xiǎn)級(jí)別應(yīng)該由管理層根據(jù)業(yè)務(wù)的法律和監(jiān)管遵從責(zé)任，以及它的風(fēng)險(xiǎn)類型和業(yè)務(wù)驅(qū)動(dòng)來(lái)決定。還應(yīng)該考慮風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的影響，例如業(yè)務(wù)收入損失、意外花銷(xiāo)，以及風(fēng)險(xiǎn)發(fā)生時(shí)所帶來(lái)的生產(chǎn)停滯。信息安全專業(yè)人士應(yīng)該作為風(fēng)險(xiǎn)和管理層之間的媒介，解釋潛在的安全風(fēng)險(xiǎn)對(duì)業(yè)務(wù)目標(biāo)的影響，以便他們?cè)陲L(fēng)險(xiǎn)和可接受的風(fēng)險(xiǎn)等級(jí)之間取得平衡。

例如，即時(shí)通訊可以給特定的業(yè)務(wù)帶來(lái)巨大的生產(chǎn)力，但是它也為病毒和惡意軟件敞開(kāi)了大門(mén)。定性和定量分析可以比較即時(shí)通訊的業(yè)務(wù)價(jià)值和病毒感染造成的成本以及降低病毒風(fēng)險(xiǎn)的企業(yè)即時(shí)通訊服務(wù)器的成本。

但是如果即時(shí)通信的風(fēng)險(xiǎn)迅速增長(zhǎng)該怎么辦？這個(gè)時(shí)候，使用即時(shí)通信的企業(yè)就需要重新評(píng)估繼續(xù)使用即時(shí)通信是否在它可以接受的風(fēng)險(xiǎn)等級(jí)之內(nèi)。如果不是，他們要決定是禁用它、增加額外的安全控制還是簡(jiǎn)單地做員工安全意識(shí)培訓(xùn)。每個(gè)企業(yè)都有自己的度量風(fēng)險(xiǎn)的方法和公式，但是評(píng)估特定風(fēng)險(xiǎn)的決策過(guò)程都應(yīng)該從安全風(fēng)險(xiǎn)評(píng)估開(kāi)始。

進(jìn)行一次安全風(fēng)險(xiǎn)分析

一個(gè)企業(yè)安全風(fēng)險(xiǎn)分析應(yīng)該包括以下幾步：

◆確定公司資產(chǎn)

◆給每個(gè)資產(chǎn)指定一個(gè)所有者，并按關(guān)鍵程度進(jìn)行分級(jí)

◆識(shí)別每個(gè)資產(chǎn)的潛在弱點(diǎn)以及相關(guān)的威脅

◆評(píng)估特定資產(chǎn)的風(fēng)險(xiǎn)　　

在這個(gè)基礎(chǔ)上，再找出降低風(fēng)險(xiǎn)的必要措施，并對(duì)這些措施進(jìn)行成本效益分析，以便高級(jí)管理層能夠決定如何處理每個(gè)風(fēng)險(xiǎn)。基于相關(guān)的成本和效益，他們有4個(gè)選擇：

1.接受風(fēng)險(xiǎn)。

2.避免風(fēng)險(xiǎn)。

3.通過(guò)實(shí)施建議的措施來(lái)減輕或者改變風(fēng)險(xiǎn)。

4.通過(guò)購(gòu)買(mǎi)保險(xiǎn)來(lái)轉(zhuǎn)移風(fēng)險(xiǎn)?！　?/P>

但是，要知道沒(méi)有什么措施能夠完全地消除風(fēng)險(xiǎn)。風(fēng)險(xiǎn)總是會(huì)有一些的；回到上面即時(shí)通信的例子，即使企業(yè)即時(shí)通信服務(wù)器有增強(qiáng)的安全性，它也不能完全消除惡意軟件感染或者數(shù)據(jù)泄露的風(fēng)險(xiǎn)。最終的目標(biāo)是使這個(gè)“殘余風(fēng)險(xiǎn)”在公司所能接受的風(fēng)險(xiǎn)等級(jí)內(nèi)。

風(fēng)險(xiǎn)和業(yè)務(wù)一樣總是在變化。例如，如果一個(gè)公司決定自己維護(hù)它的在線支付系統(tǒng)，這可能就提高了遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，所以就需要更強(qiáng)的防護(hù)，以及保護(hù)支付系統(tǒng)免受內(nèi)部威脅的安全規(guī)章來(lái)把風(fēng)險(xiǎn)降低到可接受的水平。它還會(huì)面臨額外的風(fēng)險(xiǎn)，即違反支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS），這就是為什么風(fēng)險(xiǎn)分析除了業(yè)務(wù)驅(qū)動(dòng)和目標(biāo)之外，還必須考慮法規(guī)和法規(guī)遵從的原因。

關(guān)于風(fēng)險(xiǎn)會(huì)如何變化的一個(gè)好例子，就是針對(duì)谷歌中國(guó)的“Aurora攻擊行動(dòng)”。這些攻擊帶來(lái)的風(fēng)險(xiǎn)使Goolge無(wú)法接受，該公司的反應(yīng)是避免這一風(fēng)險(xiǎn)再提高，即退出中國(guó)。盡管這是一個(gè)極端的例子，多數(shù)公司不太會(huì)受到這種程度的攻擊，但它還是很完美地詮釋了風(fēng)險(xiǎn)承受力能夠也應(yīng)該成為一個(gè)決定性因素，不只是在做IT安全和策略決定的時(shí)候要考慮到，在確定整個(gè)公司的策略的時(shí)候也應(yīng)該考慮到。

如你所見(jiàn)，確定一個(gè)可接受的風(fēng)險(xiǎn)不是一個(gè)一次性工作，它需要在業(yè)務(wù)活動(dòng)或者業(yè)務(wù)所在的環(huán)境發(fā)生劇變時(shí)再次進(jìn)行。不管這意味著更新規(guī)章和培訓(xùn)還是改進(jìn)安全控制和應(yīng)變計(jì)劃，都需要持續(xù)地監(jiān)控風(fēng)險(xiǎn)，以保證風(fēng)險(xiǎn)、安全和盈利能夠達(dá)到合理的平衡。

【編輯推薦】

1. 我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀與發(fā)展
2. 完全解密企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估