張銀行

隨著我國(guó)信息化建設(shè)進(jìn)程不斷加速，各類企事業(yè)都在積極運(yùn)用網(wǎng)絡(luò)帶來(lái)的便利，對(duì)各種信息系統(tǒng)的依賴性也在不斷增強(qiáng)，但是信息系統(tǒng)的脆弱性也日益暴露，如何通過(guò)有效的手段，保證有限的安全預(yù)算發(fā)揮出最大的效果，以保證信息安全，成為大家共同面臨的問(wèn)題。

一、如何看待安全預(yù)算

安全預(yù)算是各類企事業(yè)單位為保護(hù)信息資產(chǎn)，保證自身可持續(xù)發(fā)展而投入的資金，是一種預(yù)防行為。安全預(yù)算多少合適，是不是投入得太多了？雖然安全問(wèn)題越來(lái)越受到重視，但是網(wǎng)絡(luò)安全事件仍然是呈現(xiàn)遞增趨勢(shì)。從安全預(yù)算角度分析原因：一是預(yù)算不足；二是預(yù)算不到位。

在國(guó)外，安全投入占企業(yè)基礎(chǔ)建設(shè)投入的5%～20%，這人比例在中國(guó)的企事業(yè)中卻很少超過(guò)2%。從風(fēng)險(xiǎn)的角度看，就是要平衡成本與風(fēng)險(xiǎn)之間的關(guān)系，用一百萬(wàn)美金保護(hù)三十萬(wàn)的資產(chǎn)，顯然是不可接受的，但是如果資產(chǎn)的價(jià)值超過(guò)了一千萬(wàn)美金，產(chǎn)生的效益就顯而易見，目前用一個(gè)量化的方法來(lái)計(jì)算信息化建設(shè)對(duì)于戰(zhàn)略發(fā)展的貢獻(xiàn)確實(shí)比較難。一年下來(lái)，并沒有發(fā)生重大的信息安全事件，年初的安全預(yù)算可能就會(huì)被質(zhì)疑投入太多了；如果發(fā)生了不可接受的安全事件，那就成了預(yù)算部門的責(zé)任。安全預(yù)算到底夠不夠？我們可以通過(guò)宏觀的情況來(lái)分析一下風(fēng)險(xiǎn)與成本的關(guān)系，每年全球因安全問(wèn)題導(dǎo)致的網(wǎng)絡(luò)損失已經(jīng)可以用萬(wàn)億美元的數(shù)量級(jí)來(lái)計(jì)算，我國(guó)也有數(shù)百億美元的經(jīng)濟(jì)損失，然而安全方面的投入?yún)s不超過(guò)幾十億美元。由此可以看出，我國(guó)整體信息化建設(shè)，安全預(yù)算不足。

一個(gè)單位在安全方面投入了很多，但是仍然發(fā)生“不可接受的”信息安全事故。信息安全理論中有名的木桶理論，很好的解釋了這種現(xiàn)象。如很多企業(yè)每年在安全產(chǎn)品上投入大量資金，但是卻不關(guān)注內(nèi)部人員的考察、安全產(chǎn)品有效性的審核等安全要素，缺乏系統(tǒng)的、科學(xué)的管理體系支持，都是導(dǎo)致這種結(jié)果產(chǎn)生的原因。

二、 科學(xué)制定安全預(yù)算

信息安全的預(yù)算如何制定？其實(shí)要解決的就是預(yù)算多少和怎么用的問(wèn)題。說(shuō)安全預(yù)算難做，一是因?yàn)樾畔踩婕暗胶芏喾矫娴膯?wèn)題，例如：人員安全、物力安全、訪問(wèn)控制、符合法律法規(guī)等等。二是很難依據(jù)某種科學(xué)的量化的輸入得出具體的預(yù)算費(fèi)用。安全預(yù)算是否合理，應(yīng)該關(guān)注以下幾個(gè)方面：（1）是否“平衡”了成本與風(fēng)險(xiǎn)的關(guān)系；（2）是否真正用于降低或者消除信息安全風(fēng)險(xiǎn)，而不是引入了新的不可接受風(fēng)險(xiǎn)；（3）被關(guān)注的風(fēng)險(xiǎn)是否具有較高的優(yōu)先等級(jí)。

信息安全風(fēng)險(xiǎn)評(píng)估恰恰解決了以上問(wèn)題，通過(guò)制定科學(xué)的風(fēng)險(xiǎn)評(píng)估方法、程序，對(duì)那些起到關(guān)鍵作用的信息和信息資產(chǎn)進(jìn)行評(píng)估，得出面臨的風(fēng)險(xiǎn)，然后針對(duì)不同風(fēng)險(xiǎn)制定相應(yīng)的處理計(jì)劃，提出所需要的資源，從而利用風(fēng)險(xiǎn)評(píng)估輔助安全預(yù)算的制定。

三、 風(fēng)險(xiǎn)評(píng)估過(guò)程

目前國(guó)際和國(guó)內(nèi)都有一些比較成熟的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)及指南，通常包括下述幾個(gè)過(guò)程：（1） 確定評(píng)估的范圍、目的、評(píng)估組、評(píng)估方法等；（2）識(shí)別評(píng)估范圍內(nèi)的信息資產(chǎn)；（3）識(shí)別對(duì)于這些資產(chǎn)的威脅；（4）識(shí)別可能利用這些威脅的薄弱點(diǎn)；（5）識(shí)別信息資產(chǎn)的損失給單位帶來(lái)的影響；（6）識(shí)別威脅時(shí)間發(fā)生的可能性；（7）根據(jù)“影響”及“可能性”計(jì)算風(fēng)險(xiǎn)；（8）確定風(fēng)險(xiǎn)等級(jí)及可接受風(fēng)險(xiǎn)的等級(jí)。

風(fēng)險(xiǎn)評(píng)估過(guò)程中，應(yīng)該考慮那些應(yīng)該輸出的必要信息、表示方式等問(wèn)題。例如，風(fēng)險(xiǎn)評(píng)估的方法，如果采用簡(jiǎn)單的評(píng)估方法，其輸出的結(jié)果往往不夠細(xì)致，進(jìn)而不能很好的輔助制定預(yù)算的決策過(guò)程。從整個(gè)評(píng)估的過(guò)程看，應(yīng)該考慮以下幾方面的問(wèn)題：（1）科學(xué)選擇風(fēng)險(xiǎn)評(píng)估人員。風(fēng)險(xiǎn)評(píng)估過(guò)程中，通常需要來(lái)自業(yè)務(wù)部門和技術(shù)部門及管理層的人員共同組成風(fēng)險(xiǎn)評(píng)估小組?？紤]到風(fēng)險(xiǎn)評(píng)估的結(jié)果需要為制定安全預(yù)算提供信息輸入，那么在整個(gè)風(fēng)險(xiǎn)評(píng)估的過(guò)程中，都應(yīng)該考慮到對(duì)制定預(yù)算起到關(guān)鍵作用的管理層人員的加入。（2）準(zhǔn)確采取風(fēng)險(xiǎn)評(píng)估方法。風(fēng)險(xiǎn)評(píng)估通常采用定性和定量的分析方法。需要更多地考慮如何量化一些關(guān)鍵指標(biāo)，作為風(fēng)險(xiǎn)評(píng)估過(guò)程中各個(gè)因素評(píng)價(jià)的判定準(zhǔn)則。這樣的準(zhǔn)則更有利于關(guān)注風(fēng)險(xiǎn)與控制成本之間的關(guān)系，也更利于各部門橫向溝通，及與管理層的縱向溝通。（3）查找導(dǎo)致風(fēng)險(xiǎn)的威脅及薄弱點(diǎn)。在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，應(yīng)該系統(tǒng)地考慮來(lái)自各個(gè)方面的威脅。目前，仍然有很多人對(duì)于風(fēng)險(xiǎn)評(píng)估的理解還停留在“技術(shù)關(guān)注”的層面，這樣的風(fēng)險(xiǎn)評(píng)估顯然是不夠的。（4）選擇適當(dāng)?shù)目刂拼胧?。針?duì)風(fēng)險(xiǎn)評(píng)估所產(chǎn)生的不可接受風(fēng)險(xiǎn)，應(yīng)該采取一定的控制措施對(duì)風(fēng)險(xiǎn)進(jìn)行處理。風(fēng)險(xiǎn)的處理方式通常包括：降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)。同一風(fēng)險(xiǎn)的處理方式可能不同，同樣的處理方式所采取的控制措施也可能不同。所以就應(yīng)該考慮來(lái)自管理和技術(shù)兩方面的控制措施。而這樣的控制措施并非一定要將風(fēng)險(xiǎn)完全規(guī)避，而是要降低到一個(gè)可以接受的水平。另外控制措施的選擇也要考慮到成本的問(wèn)題，任何單位不需要部署所有的安全產(chǎn)品，也沒有必要追求風(fēng)險(xiǎn)最小化。

通過(guò)風(fēng)險(xiǎn)評(píng)估，了解安全要求，認(rèn)知安全風(fēng)險(xiǎn)，采取安全控制，有效地平衡安全預(yù)算與風(fēng)險(xiǎn)的關(guān)系，將安全預(yù)算發(fā)揮最大的經(jīng)濟(jì)效益，才能保證信息和信息資產(chǎn)的安全。