安全風(fēng)險(xiǎn)管理概述

傳統(tǒng)上，安全風(fēng)險(xiǎn)管理的方法有兩種：前瞻性方法和反應(yīng)性方法，各有優(yōu)點(diǎn)與缺點(diǎn)。確定某一風(fēng)險(xiǎn)的優(yōu)先級(jí)也有兩種不同的方法：定性安全風(fēng)險(xiǎn)管理和定量安全風(fēng)險(xiǎn)管理。

風(fēng)險(xiǎn)管理的方法

很多組織都通過(guò)響應(yīng)一個(gè)相對(duì)較小的安全事件而引入安全風(fēng)險(xiǎn)管理。但無(wú)論最初的事件是什么，隨著越來(lái)越多與安全有關(guān)的問(wèn)題出現(xiàn)并開(kāi)始影響業(yè)務(wù)，很多組織對(duì)響應(yīng)一個(gè)接一個(gè)的危機(jī)感到灰心喪氣。他們需要替代方法，一種能減少首次安全事件的方法。有效管理風(fēng)險(xiǎn)的組織發(fā)展了更為前瞻性的方法，但此方法也只是解決方案的一部分。

反應(yīng)性方法：當(dāng)一個(gè)安全事件發(fā)生時(shí)，很多IT專(zhuān)業(yè)人員感到惟一可行的就是遏制情形，指出發(fā)生了什么事情，并盡可能快地修復(fù)受影響的系統(tǒng)。反應(yīng)性方法可以是一種對(duì)已經(jīng)被利用并轉(zhuǎn)換為安全事件的安全風(fēng)險(xiǎn)的有效技術(shù)響應(yīng)，使反應(yīng)性方法具有一定程度的嚴(yán)密性，可幫助所有類(lèi)型的組織更好地利用他們的資源。
前瞻性方法：與反應(yīng)性方法相比，前瞻性安全風(fēng)險(xiǎn)管理有很多優(yōu)點(diǎn)。與等待壞事情發(fā)生然后再做出響應(yīng)不同，前瞻性方法首先最大程度地降低壞事情發(fā)生的可能性。

當(dāng)然，組織不應(yīng)完全放棄事件響應(yīng)。一個(gè)有效的前瞻性方法可幫助組織顯著減少將來(lái)發(fā)生安全事件的數(shù)量，但是似乎此類(lèi)問(wèn)題并不會(huì)完全消失。因此，組織應(yīng)繼續(xù)改善他們的事件響應(yīng)流程，同時(shí)制定長(zhǎng)期的前瞻性方法。

確定風(fēng)險(xiǎn)優(yōu)先級(jí)的方法

我們將風(fēng)險(xiǎn)管理定義為將整個(gè)企業(yè)內(nèi)的風(fēng)險(xiǎn)降低到可接受水平的整體流程，將評(píng)估風(fēng)險(xiǎn)定義為確定企業(yè)面臨的風(fēng)險(xiǎn)并確定其優(yōu)先級(jí)的流程。確定風(fēng)險(xiǎn)優(yōu)先級(jí)或評(píng)估風(fēng)險(xiǎn)主要有兩種方法：定量風(fēng)險(xiǎn)管理或定性風(fēng)險(xiǎn)管理。

定量風(fēng)險(xiǎn)評(píng)估：在定量風(fēng)險(xiǎn)評(píng)估中，目標(biāo)是試圖為在風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分計(jì)算客觀數(shù)字值。例如，用替換成本、生產(chǎn)率損失成本、品牌名譽(yù)成本以及其他直接和間接商業(yè)價(jià)值來(lái)估計(jì)各個(gè)企業(yè)資產(chǎn)的真實(shí)價(jià)值。計(jì)算資產(chǎn)暴露程度、控制成本以及在風(fēng)險(xiǎn)管理流程中確定的所有其他值時(shí)，盡量具有相同的客觀性。

定性風(fēng)險(xiǎn)評(píng)估：定性風(fēng)險(xiǎn)評(píng)估與定量風(fēng)險(xiǎn)評(píng)估的區(qū)別在于，在前一方法中不用向資產(chǎn)分配難以確定的財(cái)務(wù)價(jià)值、預(yù)期損失和控制成本，取而代之的是計(jì)算相對(duì)值。通常通過(guò)調(diào)查表和合作研討會(huì)的組合形式進(jìn)行風(fēng)險(xiǎn)分析，涉及來(lái)自組織內(nèi)各個(gè)部門(mén)的人員，例如信息安全專(zhuān)家、信息技術(shù)經(jīng)理和員工、企業(yè)資產(chǎn)所有者和用戶以及高級(jí)經(jīng)理。

Microsoft公司視消費(fèi)者的安全問(wèn)題為公司的頭等大事。Microsoft公司致力于整合軟件、服務(wù)和最佳實(shí)踐來(lái)保護(hù)消費(fèi)者的系統(tǒng)。得益于穩(wěn)固的系統(tǒng)，消費(fèi)者盡可放心享受科技與互聯(lián)網(wǎng)所帶來(lái)的最大效益。Microsoft公司在安全與網(wǎng)絡(luò)安全領(lǐng)域所作的貢獻(xiàn)主要集中于以下三個(gè)方面：1）技術(shù)投資：提高其產(chǎn)品的安全性，改進(jìn)升級(jí)流程，并提供加強(qiáng)安全保障的新特性與產(chǎn)品；2）產(chǎn)業(yè)合作：與合作伙伴、消費(fèi)者、政府和法律實(shí)施代理合作，為發(fā)展打擊計(jì)算機(jī)犯罪的相關(guān)政策和行動(dòng)提供支持；3）說(shuō)明性指導(dǎo)與教育：廣泛傳播即時(shí)信息來(lái)幫助消費(fèi)者提高他們的系統(tǒng)安全性，并且做好防范新威脅的準(zhǔn)備。Microsoft公司深知進(jìn)行安全保障是一段長(zhǎng)期的歷程，同時(shí)已經(jīng)邁出了幫助消費(fèi)者和公司進(jìn)行自我保護(hù)的第一步，嘗試了諸多全新安全創(chuàng)新，包括Windows XP Service Pack 2、Windows Server Service Pack 1、產(chǎn)品質(zhì)量改進(jìn)與升級(jí)預(yù)告、普遍適用的安全規(guī)范、與消費(fèi)者、合作伙伴和政府間的協(xié)作等等。

Microsoft 安全風(fēng)險(xiǎn)管理流程

Microsoft公司為主動(dòng)防御新興安全和網(wǎng)絡(luò)安全威脅所進(jìn)行的創(chuàng)新不僅強(qiáng)化了現(xiàn)有產(chǎn)品，更添加了全新特性使消費(fèi)者可以控制自己的防護(hù)和安全級(jí)別。這樣以來(lái)，他們盡可體驗(yàn)技術(shù)優(yōu)勢(shì)，放心使用因特網(wǎng)資源，因?yàn)樗麄兊南到y(tǒng)已經(jīng)受到保護(hù)。

Microsoft 安全風(fēng)險(xiǎn)管理流程是一種混合方法，綜合了兩種傳統(tǒng)方法的優(yōu)點(diǎn)。這種方法比傳統(tǒng)的定量方法更為快速。與傳統(tǒng)的定性方法相比，這種方法還提供了更加詳盡的結(jié)果，并且更易于向管理層證明。通過(guò)將定性方法的簡(jiǎn)單性和簡(jiǎn)明性與定量方法的一些嚴(yán)格性結(jié)合起來(lái)，微軟安全風(fēng)險(xiǎn)管理提供了一種有效可行的獨(dú)特流程。流程的目標(biāo)是使風(fēng)險(xiǎn)承擔(dān)者能夠了解評(píng)估中的每一步驟。此方法比傳統(tǒng)的定量風(fēng)險(xiǎn)管理大為簡(jiǎn)單，最大程度地減少風(fēng)險(xiǎn)分析和決策支持階段的結(jié)果面臨的阻力，更快達(dá)成一致意見(jiàn)并在整個(gè)流程中得到維護(hù)。

Microsoft 安全風(fēng)險(xiǎn)管理流程由四個(gè)階段構(gòu)成。 第一個(gè)階段是評(píng)估風(fēng)險(xiǎn)階段，綜合了定性和定量風(fēng)險(xiǎn)評(píng)估方法。用定性方法來(lái)快速類(lèi)選安全風(fēng)險(xiǎn)的整個(gè)列表，然后用定量方法更加詳細(xì)地檢查在此類(lèi)選過(guò)程中確定的最嚴(yán)重的風(fēng)險(xiǎn)。結(jié)果是一份相對(duì)較短的經(jīng)過(guò)詳細(xì)檢查的最重要風(fēng)險(xiǎn)列表。

此列表在下一階段“實(shí)施決策支持”中使用，在該階段中提議并評(píng)估潛在的控制解決方案，然后將最好的解決方案作為緩解頂級(jí)風(fēng)險(xiǎn)的推薦交給組織的安全籌劃指導(dǎo)委員會(huì)。在第三階段“實(shí)施控制”中，緩解方案所有者實(shí)際實(shí)施控制解決方案。第四階段“評(píng)定計(jì)劃有效性”用于驗(yàn)證控制措施實(shí)際提供預(yù)期的保護(hù)程度，并觀察環(huán)境變化，例如可能改變組織風(fēng)險(xiǎn)配置的新業(yè)務(wù)應(yīng)用程序或攻擊工具。