运筹帷幄:安全风险管理方法概述
来源:中国计算机报 更新时间:2012-04-13

 
 

传统上,安全风险管理的方法有两种:前瞻性方法和反应性方法,各有优点与缺点。确定某一风险的优先级也有两种不同的方法:定性安全风险管理和定量安全风险管理。

风险管理的方法

很多组织都被通过响应一个相对较小的安全事件引入安全风险管理。 但无论最初的事件是什么,随着越来越多与安全有关的问题出现并开始影响业务,很多组织对响应一个接一个的危机感到灰心丧气。他们需要替代方法,一种能减少首次安全事件的方法。有效管理风险的组织发展了更为前瞻性的方法,但此方法也只是解决方案的一部分。

反应性方法

当一个安全事件发生时,很多IT专业人员感到唯一可行的就是遏制情形,指出发生了什么事情,并尽可能快地修复受影响的系统。反应性方法可以是一种对已经被利用并转换为安全事件的安全风险的有效技术响应,使反应性方法具有一定程度的严密性可帮助所有类型的组织更好地利用他们的资源。

前瞻性方法

与反应性方法相比,前瞻性安全风险管理有很多优点。 与等待坏事情发生然后再做出响应不同,前瞻性方法首先最大程度地降低坏事情发生的可能性。

当然,组织不应完全放弃事件响应。 一个有效的前瞻性方法可帮助组织显著减少将来发生安全事件的数量,但是似乎此类问题并不会完全消失。因此,组织应继续改善他们的事件响应流程,同时制定长期的前瞻性方法。

确定风险优先级的方法

我们将风险管理定义为将整个企业内的风险降低到可接受水平的整体流程,将评估风险定义为确定企业面临的风险并确定其优先级的流程。确定风险优先级或评估风险主要有两种方法:定量风险管理或定性风险管理。

定量风险评估

在定量风险评估中,目标是试图为在风险评估与成本效益分析期间收集的各个组成部分计算客观数字值。例如,用替换成本、生产率损失成本、品牌名誉成本以及其他直接和间接商业价值来估计各个企业资产的真实价值。计算资产暴露程度、控制成本以及在风险管理流程中确定的所有其他值时,尽量具有相同的客观性。

定性风险评估

定性风险评估与定量风险评估的区别在于在前一方法中不用向资产分配难以确定的财务价值、预期损失和控制成本,取而代之的是计算相对值。通常通过调查表和合作研讨会的组合形式进行风险分析,涉及来自组织内各个部门的人员,例如信息安全专家、信息技术经理和员工、企业资产所有者和用户以及高级经理。  

Microsoft公司视消费者的安全问题为公司的头等大事。Microsoft公司致力于整合软件、服务和最佳实践来保护消费者的系统。得益于稳固的系统,消费者尽可放心享受科技与因特网所带来的最大效益。Microsoft公司在安全与网络安全领域所作的贡献主要集中于以下三个方面:1)技术投资:提高其产品的安全性,改进升级流程,并提供加强安全保障的新特性与产品;2)产业合作:与合作伙伴,消费者,政府和法律实施代理合作,为发展打击计算机犯罪的相关政策和行动提供支持;3)说明性指导与教育:广泛传播即时信息来帮助消费者提高他们的系统安全性,并且作好防范新威胁的准备。Microsoft公司深知进行安全保障是一段长期的历程,同时已经迈出了帮助消费者和公司进行自我保护的第一步,尝试了诸多全新安全创新,包括Windows XP Service Pack 2, Windows Server Service Pack 1,产品质量改进与升级预告,普遍适用的安全规范,与消费者、合作伙伴和政府间的协作,等。

Microsoft 安全风险管理流程

Microsoft公司为主动防御新兴安全和网络安全威胁所进行的创新不仅强化了现有产品,更添加了全新特性使消费者可以控制自己的防护和安全级别。这样以来,他们尽可体验技术优势,放心使用因特网资源,因为他们的系统已经受到保护。

Microsoft 安全风险管理流程是一种混合方法,综合了两种传统方法的优点。这种方法比传统的定量方法更为快速。与传统的定性方法相比,这种方法还提供了更加详尽的结果,并且更易于向管理层证明。通过将定性方法的简单性和简明性与定量方法的一些严格性结合起来,微软安全风险管理提供了一种有效可行的独特流程。流程的目标是使风险承担者能够了解评估中的每一步骤。此方法比传统的定量风险管理大为简单,最大程度地减少风险分析和决策支持阶段的结果面临的阻力,更快达成一致意见并在整个流程中得到维护。

Microsoft 安全风险管理流程由四个阶段构成(见左图)。 第一个阶段是评估风险阶段,综合了定性和定量风险评估方法。用定性方法来快速类选安全风险的整个列表,然后用定量方法更加详细地检查在此类选过程中确定的最严重的风险。结果是一份相对较短的经过详细检查的最重要风险列表。

此列表在下一阶段“实施决策支持”中使用,在该阶段中提议并评估潜在的控制解决方案,然后将最好的解决方案作为缓解顶级风险的推荐交给组织的安全筹划指导委员会。在第三阶段“实施控制”中,缓解方案所有者实际实施控制解决方案。第四阶段“评定计划有效性”用于验证控制措施实际提供预期的保护程度,并观察环境变化,例如可能改变组织风险配置的新业务应用程序或攻击工具。

因为 Microsoft 安全风险管理流程是持续进行的,周期以各个新的风险评估重新开始。 周期重新开始的频率因组织不同而异;很多组织发现每年一次就已足够,因为组织正前瞻性地监控新的漏洞、威胁和资产。

Microsoft 安全风险管理流程