企业局域网监控系统之风险管理

2018-08-10 18:01:17 关键词：

公司上网行为管理，就用超级眼局域监控软件：免费下载试用

大多数的人类行为都存在固有的危险性：就连漫步街头也会让你置身险境，比如被一颗来自天外的小行星集中或是滑到在一块香蕉皮上 。当然，前一种风险非常罕见。而后一种风险尽管可能性更大一些，但其后果也不会严重到哪里。此外对落脚之处小心留意，也可以防 止此类“香蕉皮事件”的发生。这两个例子说明，并非所有的风险都是相同的，而有些风险是可以被控制的。风险管理包括以下两项： 风险分析：发现存在哪些风险，以及这些风险可能导致的潜在损失。

风险控制：采取措施将潜在的损失控制在一个可以接受的程度内(即风险控制的成本与所减少的潜在损失之间要保有恰当的平衡)。

可以用好几种方式来进行风险分析：定性和定量风险分析。风险分析还可以由第三方来实施。比如现在国有企业或者事业单位每年都有 针对信息化环境的安全等级评测，此评测的实施方都是第三方公司来进行的。

风险分析依赖于一套特定的专业术语，如下所示：

脆弱性(vulnerability)：一个系统的缺陷(weakness)(通常非有意形成)。该缺陷可能存在于流程中(例如，未经批准擅自移动网络设 备);存在与产品中(例如，一个软件bug);存在于某些操作的工程实施中(例如，没有打开强加密选项(enablesecret))。

威胁(threat)：蓄意利用(系统的)脆弱性的个人、组织或蠕虫病毒等。

风险(risk)：一个威胁利用(系统的)缺陷发起攻击并造成损失的概率。

暴露(exposure)：一个威胁事实上已经利用(系统的)缺陷发起了攻击。

可以运用某些概率学计算来导出年度损失预期值(lossexpectancy)(例如，在一年的时间范围内估算的损失预期值)。该预期值需以美元( 或其他流通货币)度量。相对于一个类似于“公司形象损失”之类的风险来说，这一损失并不总是那么显而易见，但是，必须确定一个合 理的损失估算方法，以便于随后对降低风险所带来的收益进行评估。

风险分析事关发现所有潜在的缺陷并评估与之相关的损失。风险控制则是指处理这些风险从而减轻他们来的经济影响。风险可以进行一 下处理。

降低：通过控制手段(也称为对策(countermeasures)来消除缺陷或威胁，降低风险概率，或者预防风险。风险降低不可能100%成功，剩 余的风险被称为“留存风险”(residualrisk)。

转移：转移到另外一个组织。比如，投保一份火险来防范火灾带来的损失。

接受：当你在高速公路上驾车时，就要接受与之相关的风险——遭遇车祸。

忽略：即使风险分析显示风险存在，也不试图去控制它。这与接受风险是不同的，因为你升职都没有考虑过它。这显然是一种不明智的 行为。

通过技术控制手段来降低风险是我们接下来后续文章的核心所在。然而，务必牢记：通过流程或是行政手段等其他途径也可以降低风险 。例如，让全体员工签署一份企业业务行为准则合同，对行为规范进行巨细靡遗的罗列，或者对全体员工进行安全意识的培训。

当然，对策(countermeasure)的成本必须小于损失的预期值。