淺析企業(yè)網(wǎng)絡(luò)安全防護(hù)風(fēng)險(xiǎn)管理體系的建立

李 明

（中國(guó)鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所, 北京 100081）

隨著信息化進(jìn)程的深入和互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問(wèn)題日漸突出，如何控制由網(wǎng)絡(luò)安全問(wèn)題給企業(yè)造成的風(fēng)險(xiǎn)和損失已成為企業(yè)亟待解決的問(wèn)題。然而，大部分企業(yè)在大力推進(jìn)技術(shù)設(shè)施建設(shè)的同時(shí)，卻往往缺乏對(duì)網(wǎng)絡(luò)安全管理的足夠重視。在整個(gè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)中，通過(guò)增強(qiáng)網(wǎng)絡(luò)安全管理能力、統(tǒng)籌部署安全等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估和災(zāi)難備份等方面的工作，可以很好地提升網(wǎng)絡(luò)安全保障水平和企業(yè)應(yīng)對(duì)突發(fā)事件的能力，更好地為企業(yè)發(fā)展提供有力的支撐。

1 網(wǎng)絡(luò)安全防護(hù)風(fēng)險(xiǎn)管理的意義

風(fēng)險(xiǎn)管理是指通過(guò)對(duì)風(fēng)險(xiǎn)的識(shí)別、評(píng)估、分析和監(jiān)控，選擇最有效的方式，主動(dòng)地、有目的地、有計(jì)劃地處理風(fēng)險(xiǎn)，以最小成本爭(zhēng)取獲得最大安全保證的管理方法。

安全生產(chǎn)是企業(yè)生存和發(fā)展的重要支撐，其中網(wǎng)絡(luò)安全防護(hù)是企業(yè)安全生產(chǎn)工作的必要組成部分。企業(yè)快速發(fā)展的同時(shí)，面臨了很多不同程度、甚至是不可預(yù)知的風(fēng)險(xiǎn)，這對(duì)網(wǎng)絡(luò)安全防護(hù)工作在為企業(yè)生存和發(fā)展保駕護(hù)航、提高抗擊風(fēng)險(xiǎn)的能力上提出了新的要求。因此，建立一套能夠在促進(jìn)企業(yè)健康發(fā)展中起到實(shí)質(zhì)作用的、完善的網(wǎng)絡(luò)安全防護(hù)風(fēng)險(xiǎn)管理體系，具有非常重要的意義。

2 網(wǎng)絡(luò)安全防護(hù)風(fēng)險(xiǎn)管理體系的構(gòu)建

影響企業(yè)網(wǎng)絡(luò)安全防護(hù)風(fēng)險(xiǎn)管理體系建立的幾個(gè)重要因子，即風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)規(guī)避和風(fēng)險(xiǎn)跟蹤，幾個(gè)因子之間相互關(guān)聯(lián)、相輔相成，是一個(gè)典型的動(dòng)態(tài)變化過(guò)程。

首先通過(guò)風(fēng)險(xiǎn)識(shí)別，明確企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的存在，找到主要的風(fēng)險(xiǎn)因素，為后面的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)規(guī)避奠定基礎(chǔ)，在風(fēng)險(xiǎn)識(shí)別之后須進(jìn)行風(fēng)險(xiǎn)評(píng)估，確定其對(duì)企業(yè)發(fā)展影響的嚴(yán)重性，以便下一步采取相應(yīng)的措施，然后根據(jù)企業(yè)內(nèi)外部風(fēng)險(xiǎn)的實(shí)際情況，采取相應(yīng)的對(duì)策、措施或方法進(jìn)行風(fēng)險(xiǎn)規(guī)避，使風(fēng)險(xiǎn)損失對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)的影響降到最小限度，最后應(yīng)及時(shí)或定期進(jìn)行跟蹤，辨識(shí)是否有新的風(fēng)險(xiǎn)因素產(chǎn)生，并針對(duì)發(fā)現(xiàn)的新問(wèn)題和新風(fēng)險(xiǎn)，采取或者變更應(yīng)對(duì)措施，通過(guò)不斷的循環(huán)，確保風(fēng)險(xiǎn)管理的充分性、適宜性和實(shí)效性。網(wǎng)絡(luò)安全防護(hù)風(fēng)險(xiǎn)管理體系如圖1。

圖1 網(wǎng)絡(luò)安全防護(hù)風(fēng)險(xiǎn)管理體系

2.1 風(fēng)險(xiǎn)識(shí)別

風(fēng)險(xiǎn)識(shí)別是風(fēng)險(xiǎn)管理體系建立的基礎(chǔ)性工作，它通過(guò)提供必要的信息使風(fēng)險(xiǎn)估計(jì)評(píng)價(jià)更具效果及效率。網(wǎng)絡(luò)安全防護(hù)工作主要包括以下幾方面：（1）網(wǎng)絡(luò)與信息安全管理機(jī)制，包括組織機(jī)構(gòu)的設(shè)置和信息通報(bào)制度的建立等；（2）與網(wǎng)絡(luò)相關(guān)的各種設(shè)備設(shè)施，主要包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備、終端設(shè)備和各種操作系統(tǒng)及軟件等；（3）支撐網(wǎng)絡(luò)運(yùn)行的基礎(chǔ)設(shè)備設(shè)施，主要包括機(jī)房電源、UPS、空調(diào)、防火設(shè)施以及溫度感應(yīng)器、濕度感應(yīng)器和視頻監(jiān)控等監(jiān)控設(shè)備；（4）網(wǎng)絡(luò)應(yīng)急備份設(shè)備設(shè)施。

明確網(wǎng)絡(luò)安全防護(hù)主要內(nèi)容后，需要對(duì)各項(xiàng)內(nèi)容存在的安全隱患進(jìn)行逐一識(shí)別并加以分析。其中，管理機(jī)制可能存在的安全問(wèn)題有：組織機(jī)構(gòu)的建立以及機(jī)構(gòu)建立后的完善程度，信息通報(bào)制度的建立以及通報(bào)渠道通暢性，各種管理制度的落實(shí)及執(zhí)行力等。網(wǎng)絡(luò)相關(guān)設(shè)備設(shè)施存在的主要安全問(wèn)題有：自然災(zāi)害（如火災(zāi)、雷擊）、環(huán)境事故（如斷電、鼠患）、人為對(duì)硬件破壞、數(shù)據(jù)庫(kù)和操作系統(tǒng)等軟件的漏洞以及人為等原因造成的安全隱患。支撐網(wǎng)絡(luò)運(yùn)行的基礎(chǔ)設(shè)備設(shè)施可能存在的安全問(wèn)題主要是：機(jī)房電源、UPS、空調(diào)和防火設(shè)施配備是否齊全；由于地震、爆炸、大火等災(zāi)害造成通信線路斷裂；網(wǎng)絡(luò)連接接口松動(dòng)或網(wǎng)絡(luò)設(shè)備損壞等。網(wǎng)絡(luò)應(yīng)急備份設(shè)備可能存在安全問(wèn)題主要是：應(yīng)急預(yù)案和應(yīng)急支援隊(duì)伍的建立及完善程度；應(yīng)急演練開(kāi)展的情況；重要數(shù)據(jù)和系統(tǒng)是否進(jìn)行備份和備份的及時(shí)性等。

2.2 風(fēng)險(xiǎn)評(píng)估

在對(duì)網(wǎng)絡(luò)安全保障工作中可能存在的風(fēng)險(xiǎn)和隱患進(jìn)行識(shí)別后，通過(guò)對(duì)所收集的識(shí)別資料加以分析，進(jìn)行風(fēng)險(xiǎn)估計(jì)。風(fēng)險(xiǎn)評(píng)估按照嚴(yán)重性、可能性和風(fēng)險(xiǎn)系數(shù)3個(gè)影響因素進(jìn)行劃分。（1）風(fēng)險(xiǎn)嚴(yán)重性等級(jí)的劃分依據(jù)是進(jìn)度延誤或者費(fèi)用超支。延誤或超支指標(biāo)按照每多5個(gè)百分點(diǎn)為1級(jí)劃分，共分為5個(gè)等級(jí)，分別用1～5數(shù)字表示。（2）風(fēng)險(xiǎn)可能性等級(jí)依據(jù)風(fēng)險(xiǎn)發(fā)生的概率進(jìn)行劃分，共分為5個(gè)等級(jí)，也分別用1～5數(shù)字表示，概率<20%的為1級(jí)，發(fā)生概率每多出20%，即多一個(gè)等級(jí)。（3）風(fēng)險(xiǎn)系數(shù)通過(guò)對(duì)風(fēng)險(xiǎn)嚴(yán)重性和風(fēng)險(xiǎn)可能性的等級(jí)來(lái)確定，當(dāng)風(fēng)險(xiǎn)嚴(yán)重性等級(jí)為5，可能性等級(jí)為5，那么它的風(fēng)險(xiǎn)系數(shù)是5×5=25，當(dāng)風(fēng)險(xiǎn)嚴(yán)重性等級(jí)為1，可能性等級(jí)為1，那么它的風(fēng)險(xiǎn)系數(shù)是1×1=1，這樣風(fēng)險(xiǎn)系數(shù)共分為1～25等級(jí)。風(fēng)險(xiǎn)系數(shù)為1時(shí)，風(fēng)險(xiǎn)等級(jí)最低，屬于小風(fēng)險(xiǎn)，在一定程度上不會(huì)造成重大事故的發(fā)生，風(fēng)險(xiǎn)系數(shù)為25時(shí)，風(fēng)險(xiǎn)等級(jí)最高，屬于重大風(fēng)險(xiǎn)，一旦發(fā)生，會(huì)造成人員傷亡、財(cái)產(chǎn)損失、嚴(yán)重影響生產(chǎn)等后果，帶來(lái)不良的社會(huì)效應(yīng)，需要引起高度的重視。風(fēng)險(xiǎn)評(píng)估表見(jiàn)表1。

2.3 風(fēng)險(xiǎn)規(guī)避

在對(duì)網(wǎng)絡(luò)安全防護(hù)工作存在的風(fēng)險(xiǎn)進(jìn)行評(píng)估之后，網(wǎng)絡(luò)部門(mén)的管理者已經(jīng)對(duì)網(wǎng)絡(luò)安全防護(hù)工作中存在的種種風(fēng)險(xiǎn)和嚴(yán)重程度有了一定的把握。這時(shí)需要找到風(fēng)險(xiǎn)發(fā)生的原因或者引起風(fēng)險(xiǎn)的觸發(fā)條件，并在此基礎(chǔ)上，從眾多的風(fēng)險(xiǎn)應(yīng)對(duì)策略中，結(jié)合工作實(shí)際，選擇行之有效的方法和規(guī)避措施，把風(fēng)險(xiǎn)轉(zhuǎn)化為機(jī)會(huì)或?qū)L(fēng)險(xiǎn)所造成的負(fù)面效應(yīng)降低到最低的程度。

表1 風(fēng)險(xiǎn)評(píng)估表

比如，網(wǎng)絡(luò)安全管理機(jī)制的建立及完善是網(wǎng)絡(luò)安全防護(hù)的首要任務(wù)。首先，企業(yè)需要建立起完善的組織機(jī)構(gòu)，包括領(lǐng)導(dǎo)小組和工作小組。領(lǐng)導(dǎo)小組的組成應(yīng)該由企業(yè)的主要領(lǐng)導(dǎo)及各部門(mén)的主要負(fù)責(zé)人組成，一旦發(fā)生隱患和事故時(shí)，企業(yè)能夠做出快速響應(yīng)；工作小組主要由企業(yè)的網(wǎng)絡(luò)管理員和各部門(mén)的相關(guān)技術(shù)人員組成，除了做好日常網(wǎng)絡(luò)與信息安全監(jiān)督和管理工作，還要配合企業(yè)做好各項(xiàng)網(wǎng)絡(luò)安全的檢查工作。其次，企業(yè)需要建立并完善信息通報(bào)制度，并保障通報(bào)渠道的通暢性，發(fā)生事故時(shí)，利用通報(bào)渠道，可以迅速把發(fā)生事件及嚴(yán)重程度傳達(dá)到各級(jí)部門(mén)，使領(lǐng)導(dǎo)能夠迅速做出決策并把決策和方案?jìng)鬟f到各部門(mén)，日常工作中，信息通報(bào)渠道也是相關(guān)人員學(xué)習(xí)和交流的平臺(tái)。

再比如，關(guān)于某企業(yè)下屬企業(yè)的網(wǎng)絡(luò)相關(guān)設(shè)備設(shè)施和支撐網(wǎng)絡(luò)運(yùn)行的基礎(chǔ)設(shè)備設(shè)施，當(dāng)網(wǎng)絡(luò)通道中斷時(shí)，引發(fā)中斷的原因可能有3點(diǎn)：網(wǎng)絡(luò)外部鏈路故障、企業(yè)內(nèi)電話班或機(jī)房設(shè)備故障、下屬企業(yè)內(nèi)部網(wǎng)絡(luò)鏈路故障。根據(jù)上述網(wǎng)絡(luò)通道中斷的3個(gè)觸發(fā)條件，需要采取的規(guī)避措施是：通過(guò)各系統(tǒng)的監(jiān)控系統(tǒng)對(duì)網(wǎng)絡(luò)狀況進(jìn)行實(shí)時(shí)監(jiān)控，發(fā)現(xiàn)問(wèn)題立刻與鐵通、電信通等相關(guān)單位聯(lián)系；敦促電話班、上級(jí)企業(yè)網(wǎng)絡(luò)中心檢查設(shè)備，并建立共同的應(yīng)急機(jī)制；檢查企業(yè)內(nèi)部網(wǎng)絡(luò)鏈路上的關(guān)鍵設(shè)備狀況；對(duì)關(guān)鍵線路上的關(guān)鍵設(shè)備進(jìn)行備份；梳理并熟知應(yīng)急預(yù)案等。

2.4 風(fēng)險(xiǎn)跟蹤

風(fēng)險(xiǎn)管理是一個(gè)動(dòng)態(tài)變化的過(guò)程。網(wǎng)絡(luò)安全工作在開(kāi)展的過(guò)程中，本身存在很多不確定的因素，有些甚至可能與分析的風(fēng)險(xiǎn)和預(yù)定的計(jì)劃存在沖突，尤其是針對(duì)某些復(fù)雜和龐大的生產(chǎn)系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)工作，很多風(fēng)險(xiǎn)是難以預(yù)知的。因此，應(yīng)及時(shí)或是定期地進(jìn)行跟蹤，明確風(fēng)險(xiǎn)發(fā)生的時(shí)間、解決狀態(tài)、責(zé)任人，辨識(shí)是否有新的風(fēng)險(xiǎn)因素產(chǎn)生，各類(lèi)風(fēng)險(xiǎn)的發(fā)生概率和嚴(yán)重程度是否有變化，風(fēng)險(xiǎn)規(guī)避的措施是否適宜，實(shí)施是否有效等。針對(duì)發(fā)現(xiàn)的新問(wèn)題和新風(fēng)險(xiǎn)，及時(shí)采取或者變更應(yīng)對(duì)措施，這樣才能確保風(fēng)險(xiǎn)管理的充分性、適宜性和實(shí)效性。

3 結(jié)束語(yǔ)

本文提出了一個(gè)基于風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)規(guī)避和風(fēng)險(xiǎn)跟蹤的網(wǎng)絡(luò)安全防護(hù)管理體系。該體系具有動(dòng)態(tài)可持續(xù)性，通過(guò)風(fēng)險(xiǎn)識(shí)別和評(píng)估，尋求具有針對(duì)性的規(guī)避措施，并不斷地進(jìn)行風(fēng)險(xiǎn)跟蹤，可以極大地提高網(wǎng)絡(luò)安全防護(hù)的管理水平，預(yù)防、減輕甚至消除由于網(wǎng)絡(luò)安全而出現(xiàn)的隱患和風(fēng)險(xiǎn)的影響，為企業(yè)的安全生產(chǎn)奠定了重要基礎(chǔ)。同時(shí)，企業(yè)需要把風(fēng)險(xiǎn)管理作為日常網(wǎng)絡(luò)安全防護(hù)工作的一部分，將之常態(tài)化，并通過(guò)跟蹤風(fēng)險(xiǎn)發(fā)現(xiàn)新的影響因子及時(shí)配置到體系當(dāng)中，在不斷循環(huán)的過(guò)程中優(yōu)化完善體系的構(gòu)成，以保障網(wǎng)絡(luò)安全防護(hù)工作在企業(yè)良性健康的發(fā)展中發(fā)揮更重要的作用。

[1]羅 毅. 網(wǎng)絡(luò)安全評(píng)估研究[J].重慶大學(xué)，2007（3）.

[2]郝靈偉.計(jì)算機(jī)網(wǎng)絡(luò)安全分析[J].電腦知識(shí)與技術(shù)，2010（27）.

[3]李素鵬. 建立全面風(fēng)險(xiǎn)管理思維[C]. 首屆中國(guó)紡織技術(shù)與經(jīng)濟(jì)發(fā)展高層論壇論文集，2008.