简单风险评估帮助企业规避安全问题

ZDNet安全频道原创文章 转载请注明出处

即使一次简化的风险评估也可以帮助企业避免灾难。对于安全来说，风险评估是非常重要的，文章告诉企业如何自己进行简单的评估。

进行风险评估必须的准备

在采取任何预防性的安全行动之前的第一步工作应该是进行一次风险评估。在制定和颁布规则，以及选择和实施技术安全方案的时间，你应该确保自己始终对机密资源面临的风险有着合理的了解。

IT基础环境的每个部分都应该对面临的风险进行分摊，通过评估，企业应该可以对时间和资金进行高效的分配，实现安全和效率的完美统一。风险评估进行的过程是非常复杂的，当对各种IT资源的安全状况进行分析和处理的时间，操作导致间接的甚至第三层的变化都应该被考虑到。

对于大型企业来说，进行一次全面深入的风险评估，以调整精密度和准确度达到合理统一的话，需要大量专业知识的支持，这也就意味着整个过程相当耗费时间，并且代价也是相当昂贵的。幸运的是，在通常情况下，这种深入的风险评估并不是十分必要的。根据公司IT资源的不同规模和复杂程度，以及预算的安排情况，可以按照轻重缓急的情况，清楚方便地对项目进行逐步的评估，而不必一次就作完所有的事情。

每个公司都有自己独特的情况，因此，进行什么样的风险评估在很大程度上取决于公司的实际情况。如果你确定公司需要进行普通类型的风险评估的话，可以采取一种简化的方法来进行；即使你确定公司必须进行全面深入的风险评估的话，一次简化的评估操作也可以帮助了解实际的概况，为深入的评估提供帮助。

在简化评估的结果中，你不会发现任何准确的结果。你可能发现简化评估在工作的时间并不考虑细节的因素，而仅仅只是确定实际需要的评估类型。

简化评估

在评估某一特定风险的时间，最简化的风险评估可以选择和安全策略相关的两个主要因素。在进行评估操作的时间，应该为这两个因素指定参数值，并且根据风险的情况确定具体的水平。

一、操作的第一步是列出风险很大的因素。举例来说，对于保存客户信用卡信息的企业来说，未经允许就进入该数据库的活动就应该被当作单独的风险项目；可以对数据进行拦截的中间人类型攻击也可以算做另一个。在这一步，所有的风险应该根据两个主要危险因素的情况进行分解。

二、接下来的步骤是找出首要的危险因素；确认每个风险项目的出现概率。风险可能涉及的范围。举例来说，一个SQL数据库的注入漏洞就可以被用来获取保存在公司数据库中的信用卡数据信息。广义上说，这种概率可以分为三个基本的层次：高可能性、中可能性、低可能性。总体上来看：

*高可能性说明:风险很可能在明天或者接下来一个月左右的时间里出现。换句话说，高可能性这种情况是肯定会出现，只是不能确定什么时间出现。

*中可能性说明:风险在今后一年内可能会也可能不会实现，但尽管在不久的将来风险出现的机会很少，如果置之不理的话，经过足够长的时间，几乎可以肯定最终会出现。

*低可能性说明:风险确实存在，但有可能永远不会出现。
 
三、评估操作的第三步是确认次要危险因素；确认风险出现的话，会导致的后果,也就是说风险导致的损害会在企业的什么方面造成威胁。尽管从道德上来说，应该将他人的安全和自己的安全同样对待，但对于来自第三方的建议（例如客户委托你保存他们的信用卡号码），都应该进行考虑，以防止遇到法律方面的问题。一次复杂深入的评估可能涉及很多方面的问题，但在通常情况下，一次简化的评估就可以了。建议包含下面四个方面：

*灾难性破坏—可能导致摧毁或破坏公司之类后果的因素。

*重度破坏—这类因素可能导致公司股价暴跌，从长远来看可能影响公司的声誉，并导致一定数量的诉讼，尽管这可能不会削弱或摧毁公司，但可能导致裁员和重组等后果，让公司整体受到重创。

*中度破坏—这样的因素可能导致现金流受到影响，出现代价高昂的回收行动，并在市场上对公司声誉造成短期或中期的损害。

*轻度影响—这种影响可能干扰正常工作，降低效率，导致内部缺乏对安全的信心，并影响到系统和数据的可靠性，如果没有被及时解决的话，可能让季度审查报告很难看。

高程度的影响带来的后果比低程度的大得多。举例来说，如果出现了轻度影响的风险，可能在下次的员工评价中得到差评，重度破坏因素导致的后果可能有人失去工作，而灾难性破坏的后果可能导致出现法律诉讼，这一切都取决于公司的情况。

运用风险因素进行衡量

为了确定安全问题的优先次序，必须使用这两个因素综合进行衡量。表面上看起来，灾难性破坏应该是第一优先的项目，但低可能性的因素导致其在优先事项列表中的位置应该放在高可能性的重度破坏因素的后面。

结合这些因素，最终风险因素的排列顺序是：

一、极度危险级别

*灾难性破坏+高可能性

*灾难性破坏+中可能性

*重度破坏+高可能性

这些类型的风险应该立即被处理，并被当作公司当前的最高优先事项。在任何情况，处于何种原因，它们都不能被忽视。这些都是“放下当前一切事物必须马上处理的”风险。

二、重度危险等级

*灾难性破坏+低可能性

*重度破坏+中可能性

*重度破坏+低可能性

*中度破坏+高可能性

*中度破坏+中可能性

*轻度影响+高可能性

这些类型的风险处理不应该被延迟，但也不需要影响到其它业务的正常进行。它们可能优先于其它重要业务，但不应该比目前的当务之急更优先。

三、最低危险等级

*中度破坏+低可能性

*轻度影响+中可能性

*轻度影响+低可能性

最低危险等级的风险不必马上关心，更类似远期的事件，和当前的安全情况也没有什么大关系。所以，如果有必要的话，这类风险可以推迟一段时间（但肯定不是永远）处理。如果当前的列表中，没有极度和重度危险级别的风险要处理的话，你可以考虑在这段时间中安排对它们进行处理，如果你很忙的话，也可以委托更多的初级员工进行处理。

正如已经在前面提到的，每家公司都是独特的，确定的风险因素可能并不完全适合贵公司的需要。可以自己对因素的优先级别进行调整，但是，请确保理由是充分可靠的。调整一个项目中的因素应该考虑多方面的影响，以免导致不可控制的后果。

风险评估的重要性

总体来说，风险评估对于安全是一个不可或缺的组成部分，可以帮助企业在性能和效率之间取得平衡。对于需要对时间和预算进行分配的大型企业来说，简化的非正式评估可以帮助了解安全的概况，并对是否进行正式评估起着至关重要的作用。

相比之下，采取了杂乱无章的办法解决安全问题的优先次序可能会导致灾难的发生，特别是如果这个问题属上文所述的极端危险级类别而最终却被忽视的话。即使是这样一个简化的风险评估过程也可以保护企业遇到这样的风险，而即时躲避。