信息安全風險評估與安全預算

張銀行

隨著我國信息化建設進程不斷加速，各類企事業都在積極運用網絡帶來的便利，對各種信息系統的依賴性也在不斷增強，但是信息系統的脆弱性也日益暴露，如何通過有效的手段，保證有限的安全預算發揮出最大的效果，以保證信息安全，成為大家共同面臨的問題。

一、如何看待安全預算

安全預算是各類企事業單位為保護信息資產，保證自身可持續發展而投入的資金，是一種預防行為。安全預算多少合適，是不是投入得太多了？雖然安全問題越來越受到重視，但是網絡安全事件仍然是呈現遞增趨勢。從安全預算角度分析原因：一是預算不足；二是預算不到位。

在國外，安全投入占企業基礎建設投入的5%～20%，這人比例在中國的企事業中卻很少超過2%。從風險的角度看，就是要平衡成本與風險之間的關系，用一百萬美金保護三十萬的資產，顯然是不可接受的，但是如果資產的價值超過了一千萬美金，產生的效益就顯而易見，目前用一個量化的方法來計算信息化建設對于戰略發展的貢獻確實比較難。一年下來，并沒有發生重大的信息安全事件，年初的安全預算可能就會被質疑投入太多了；如果發生了不可接受的安全事件，那就成了預算部門的責任。安全預算到底夠不夠？我們可以通過宏觀的情況來分析一下風險與成本的關系，每年全球因安全問題導致的網絡損失已經可以用萬億美元的數量級來計算，我國也有數百億美元的經濟損失，然而安全方面的投入卻不超過幾十億美元。由此可以看出，我國整體信息化建設，安全預算不足。

一個單位在安全方面投入了很多，但是仍然發生“不可接受的”信息安全事故。信息安全理論中有名的木桶理論，很好的解釋了這種現象。如很多企業每年在安全產品上投入大量資金，但是卻不關注內部人員的考察、安全產品有效性的審核等安全要素，缺乏系統的、科學的管理體系支持，都是導致這種結果產生的原因。

二、 科學制定安全預算

信息安全的預算如何制定？其實要解決的就是預算多少和怎么用的問題。說安全預算難做，一是因為信息安全涉及到很多方面的問題，例如：人員安全、物力安全、訪問控制、符合法律法規等等。二是很難依據某種科學的量化的輸入得出具體的預算費用。安全預算是否合理，應該關注以下幾個方面：（1）是否“平衡”了成本與風險的關系；（2）是否真正用于降低或者消除信息安全風險，而不是引入了新的不可接受風險；（3）被關注的風險是否具有較高的優先等級。

信息安全風險評估恰恰解決了以上問題，通過制定科學的風險評估方法、程序，對那些起到關鍵作用的信息和信息資產進行評估，得出面臨的風險，然后針對不同風險制定相應的處理計劃，提出所需要的資源，從而利用風險評估輔助安全預算的制定。

三、 風險評估過程

目前國際和國內都有一些比較成熟的風險評估標準及指南，通常包括下述幾個過程：（1） 確定評估的范圍、目的、評估組、評估方法等；（2）識別評估范圍內的信息資產；（3）識別對于這些資產的威脅；（4）識別可能利用這些威脅的薄弱點；（5）識別信息資產的損失給單位帶來的影響；（6）識別威脅時間發生的可能性；（7）根據“影響”及“可能性”計算風險；（8）確定風險等級及可接受風險的等級。

風險評估過程中，應該考慮那些應該輸出的必要信息、表示方式等問題。例如，風險評估的方法，如果采用簡單的評估方法，其輸出的結果往往不夠細致，進而不能很好的輔助制定預算的決策過程。從整個評估的過程看，應該考慮以下幾方面的問題：（1）科學選擇風險評估人員。風險評估過程中，通常需要來自業務部門和技術部門及管理層的人員共同組成風險評估小組。考慮到風險評估的結果需要為制定安全預算提供信息輸入，那么在整個風險評估的過程中，都應該考慮到對制定預算起到關鍵作用的管理層人員的加入。（2）準確采取風險評估方法。風險評估通常采用定性和定量的分析方法。需要更多地考慮如何量化一些關鍵指標，作為風險評估過程中各個因素評價的判定準則。這樣的準則更有利于關注風險與控制成本之間的關系，也更利于各部門橫向溝通，及與管理層的縱向溝通。（3）查找導致風險的威脅及薄弱點。在進行風險評估時，應該系統地考慮來自各個方面的威脅。目前，仍然有很多人對于風險評估的理解還停留在“技術關注”的層面，這樣的風險評估顯然是不夠的。（4）選擇適當的控制措施。針對風險評估所產生的不可接受風險，應該采取一定的控制措施對風險進行處理。風險的處理方式通常包括：降低風險、轉移風險、避免風險、接受風險。同一風險的處理方式可能不同，同樣的處理方式所采取的控制措施也可能不同。所以就應該考慮來自管理和技術兩方面的控制措施。而這樣的控制措施并非一定要將風險完全規避，而是要降低到一個可以接受的水平。另外控制措施的選擇也要考慮到成本的問題，任何單位不需要部署所有的安全產品，也沒有必要追求風險最小化。

通過風險評估，了解安全要求，認知安全風險，采取安全控制，有效地平衡安全預算與風險的關系，將安全預算發揮最大的經濟效益，才能保證信息和信息資產的安全。