世事無(wú)絕對(duì),這個(gè)觀點(diǎn)沒(méi)人反對(duì);同樣風(fēng)險(xiǎn)理論告訴我們,安全無(wú)絕對(duì),一切安全活動(dòng)應(yīng)該建立在風(fēng)險(xiǎn)管理的基礎(chǔ)上,絕對(duì)的零風(fēng)險(xiǎn)是不存在的,要想實(shí)現(xiàn)零風(fēng)險(xiǎn)�����,也是不現(xiàn)實(shí)的;在計(jì)算機(jī)安全領(lǐng)域有一句格言:“真正安全的計(jì)算機(jī)是拔下網(wǎng)線���,斷掉電源,放置在地下倉(cāng)庫(kù)的保險(xiǎn)柜中����,并在倉(cāng)庫(kù)內(nèi)充滿毒氣,在倉(cāng)庫(kù)外安排士兵守衛(wèi)?�!憋@然�����,這樣的計(jì)算機(jī)是無(wú)法使用的�。計(jì)算機(jī)系統(tǒng)的安全性越高,風(fēng)險(xiǎn)越小�,其可用性越低,需要付出的成本也就越大����,一般來(lái)說(shuō),需要在安全和風(fēng)險(xiǎn)��,以及安全和成本投入之間做一種平衡��。
平衡的理論為安全提供了前進(jìn)的方向��,但是在前進(jìn)的道路中�����,需要具有可操作性的具體方法來(lái)指導(dǎo)��。
ALE批判
在信息安全風(fēng)險(xiǎn)管理中有個(gè)特別有名的公式,那就是ALE(Annual Lose Expectation),它表示某個(gè)特定的安全事件損失的價(jià)值與其年度發(fā)生頻率的乘積����。
代表性定義如下:ALE=SLE*ARO
其中,SLE是單一損失期望�,ARO是年度發(fā)生率。
ALE出現(xiàn)在各種各樣的教科書(shū)中��,像流行的CISSP的培訓(xùn)教材���,就連著名安全專家Bruce Schneier在其著作《secrets and lies: Digital Security in a Networked World》中對(duì)ALE也有所描述�����。ALE是定量風(fēng)險(xiǎn)評(píng)估中的核心概念,有了ALE��,從財(cái)務(wù)的角度對(duì)安全風(fēng)險(xiǎn)損失以及所選擇的控制措施進(jìn)行分析���,依照成本效應(yīng)原則,選擇安全對(duì)策,有理有據(jù),整個(gè)思路流暢,邏輯清晰。但是風(fēng)險(xiǎn)管理實(shí)踐當(dāng)中�����,ALE卻遭遇重重困難�,主要體現(xiàn)在以下幾個(gè)方面:
·局外人難以建模
·缺乏事件發(fā)生可能性和預(yù)測(cè)損失的數(shù)據(jù)
首先,ALE不是一個(gè)簡(jiǎn)單的數(shù)學(xué)可以說(shuō)明的問(wèn)題��。局外人制定的損失事件不能表現(xiàn)一個(gè)典型的損失事件的特性����。一般來(lái)說(shuō),安全事件具有低概率、高危險(xiǎn)性的時(shí)間���。這使得他們難以建模��。而非得要建模的話��,那只能妥協(xié)并作出不合理的假設(shè)����。
其次,ALE的實(shí)施者根本沒(méi)有能力以及具有合適的方法去估計(jì)可能性和損失。確實(shí)很難預(yù)知一個(gè)損失事件發(fā)生的可能性,這最可能的途徑之一是通過(guò)對(duì)歷史數(shù)據(jù)的分析,得出統(tǒng)計(jì)特性來(lái)預(yù)測(cè)將來(lái),但是�,在信息安全領(lǐng)域���,歷史數(shù)據(jù)的缺失是不爭(zhēng)的事實(shí)����。另外,預(yù)估損失事件對(duì)資產(chǎn)的影響也存在巨大挑戰(zhàn),這種挑戰(zhàn)來(lái)自兩個(gè)層次,第一層次是資產(chǎn)本身價(jià)值的估計(jì),第二層次是資產(chǎn)損失百分比�����。Bruce schneier把ALE說(shuō)成“有很多猜測(cè)的工作”���,說(shuō)白了,就是需要拍腦袋���。
再次,整個(gè)模型對(duì)假定中的微小變化非常敏感,因?yàn)橐豁?xiàng)資產(chǎn)或者資產(chǎn)組同時(shí)可能會(huì)遭受多個(gè)威脅的攻擊,而一個(gè)威脅可能會(huì)對(duì)多項(xiàng)資產(chǎn)或者資產(chǎn)組產(chǎn)生破壞,任意一個(gè)資產(chǎn)價(jià)值以及威脅發(fā)生可能性變化��,就會(huì)傳遞到整個(gè)模型���,產(chǎn)生的變化也就較大���。試想一下,在ALE上建立的風(fēng)險(xiǎn)管理模型����,猶如沙灘上的高樓大廈,這樣的大廈盡管能夠登高享受美麗海景�,但是你敢登嗎?!
需要數(shù)字說(shuō)話
難道我們只能望樓興嘆嗎?實(shí)踐中對(duì)信息安全的測(cè)量的要求是實(shí)實(shí)在在存在的,而且會(huì)越來(lái)越突出����。著名數(shù)學(xué)物理學(xué)家lord kelvin說(shuō)過(guò)“你不能改進(jìn)你不能測(cè)量的東西”��。信息安全經(jīng)理必要知道當(dāng)前的信息安全管理體系運(yùn)行如何:
·安全團(tuán)隊(duì)獲得了什么成果?
·安全團(tuán)隊(duì)是否為組織增加了價(jià)值?
·我怎樣才能表明我們有多少價(jià)值?
·我怎么能夠判斷部門(mén)的預(yù)算?
·我怎樣才能激發(fā)我的團(tuán)隊(duì)獲得更多的成績(jī)?
安全團(tuán)隊(duì)成員也有必要知道事情的進(jìn)展:
·我們當(dāng)前處在哪里?
·我能否具有成就感以激發(fā)更多工作熱情?
·我能否看清自己的職業(yè)發(fā)展?
·我能否在接下來(lái)的員工考核中預(yù)估自己的成績(jī)?
高層管理必要去判斷事情的成?����。?/FONT>
·哪種類型的保障能夠表明當(dāng)前的系統(tǒng)安全是充分的?
·我怎樣才能表明已經(jīng)履行了適度勤勉(due deligence)的責(zé)任?
·我們是否領(lǐng)先別人還是落后別人����,或者處在中游水平?
·我是否正在履行公司治理的責(zé)任?
·我從安全投資中獲得哪種類型的回報(bào)?
又一困境
前幾年�,安全產(chǎn)業(yè)平均以每年20%的水平在遞增,似乎近兩年這種增長(zhǎng)在放慢��。正如世界萬(wàn)物都逃脫不掉萬(wàn)有引力的吸引一樣�����,就得往地下掉���。其實(shí)���,這也說(shuō)明企業(yè)在安全方面的投入變得越來(lái)越理性���,越來(lái)越多的投資人在考慮�����,投入值得嗎?為什么要投入這么多?這個(gè)問(wèn)題無(wú)法回避����。這就是所謂的投資回報(bào)或者成本效益的問(wèn)題�。投資意味著當(dāng)前投入一些資源包括人力、財(cái)力和物力�����,是為了在以后的一段時(shí)間獲得收益;而回報(bào)就是收益本身��。而投資安全的本質(zhì)是增加更多的控制���。而好的安全則意味著什么事情都不會(huì)發(fā)生����,確實(shí)���,本該如此���,不應(yīng)有安全事件發(fā)生,因?yàn)榭刂拼胧┯行У昧?���。但是這似乎又是是最要要命的,你想想��,老板能容忍一幫清閑的家伙白拿銀子啊���。投資之后�����,似乎好的安全的回報(bào)還不如銀子打水漂�����,因?yàn)檫B個(gè)水漂都沒(méi)有���。
盡管如此���,安全也要前行��,它需要被推銷����、被理解���、被執(zhí)行。一些安全從業(yè)者試圖用類比保險(xiǎn)的方法向企業(yè)高層管理灌輸信息安全理念����。用安全來(lái)類比保險(xiǎn)�,其實(shí)是沒(méi)有認(rèn)識(shí)清楚安全和保險(xiǎn)的本質(zhì),保險(xiǎn)不是一種預(yù)防性的措施�����,比如人壽險(xiǎn)即對(duì)你的生活質(zhì)量沒(méi)有任何幫助����,也不會(huì)延長(zhǎng)你的生命�,對(duì)于保單本人沒(méi)有任何利益��。這種類比的方式把安全限于了沒(méi)有價(jià)值的困境�����,甚至還淪為背上業(yè)務(wù)絆腳石的惡名�。因?yàn)橛衼?lái)自業(yè)務(wù)部門(mén)的抱怨說(shuō)安全降低了他們的工作效率�,拿口令這個(gè)簡(jiǎn)單的例子來(lái)說(shuō),從簡(jiǎn)單的兩三位非得改為至少六位而且須有大小寫(xiě)加特殊字符等等��,這無(wú)疑加重了記憶的負(fù)擔(dān)�,忘記密碼也就成了常事,這能不影響工作么!?回想一下����,長(zhǎng)假后上班第一天�,公司里誰(shuí)最忙?系統(tǒng)管理員啊����。干嘛去了?去重置密碼啦!
掙扎探索
類比保險(xiǎn)這個(gè)矛盾的命題對(duì)安全是沒(méi)有任何益處的����。既然投入回報(bào)意味著實(shí)際的利益發(fā)生�����,而且需要去衡量到底有多少的回報(bào)����。不管你喜歡不喜歡����,如果你打算說(shuō)服高層管信息安全增加了組織的價(jià)值���,你必須能夠證明附加了哪些價(jià)值�,以及度量這些價(jià)值。那么這個(gè)時(shí)候與其去說(shuō)投入回報(bào)還不如說(shuō)價(jià)值回報(bào)��,因?yàn)橥顿Y回報(bào)的計(jì)算僅僅是一項(xiàng)投資的全部?jī)r(jià)值的一小部分�����,而且有時(shí)計(jì)算某項(xiàng)投資的回報(bào)時(shí),事實(shí)上會(huì)存在負(fù)的情況�����,但是收獲了一些無(wú)形的利益��,比如客戶的滿意度,獲得信息的便利性等;
信息安全上的投資管理問(wèn)題主要涉及兩個(gè)個(gè)方面�,第一方面是投入決策,第二方面是利益的實(shí)現(xiàn);稍做展開(kāi)�����,前者關(guān)注的是我們是否做了“正確的事情”���,也就是企業(yè)有限的資源是否投放在當(dāng)前優(yōu)先級(jí)最高�,風(fēng)險(xiǎn)最大的地方���,后者關(guān)注的是我們有沒(méi)有“把事情做正確”�,也即實(shí)施了控制措施之后,殘余風(fēng)險(xiǎn)是否降到了企業(yè)可以接受的水平�。而這兩個(gè)方面,包含了三個(gè)基本的要素�,那就是成本,價(jià)值和風(fēng)險(xiǎn)���。因此�����,我們需要一種框架�����、工具或技術(shù)��,在適當(dāng)顆粒水平的基礎(chǔ)上為價(jià)值����,成本和風(fēng)險(xiǎn)進(jìn)行廣泛的定量分析和比較���。
出路:決策框架
決策框架應(yīng)該包含價(jià)值、費(fèi)用和風(fēng)險(xiǎn)三個(gè)要素��。三要素綜合的結(jié)果是為風(fēng)險(xiǎn)管理決策提供良好保障���。
這個(gè)決策框架必須為定義一項(xiàng)風(fēng)險(xiǎn)消減的目標(biāo),分析可選擇的控制措施���、管理和評(píng)價(jià)當(dāng)前的性能提供指導(dǎo)�����。同時(shí)能夠?yàn)樵O(shè)計(jì)����、分析�����、選擇和投資項(xiàng)目以及管理、度量這些投資提供指導(dǎo)�����。必須要很好的理解這三個(gè)要素����,以計(jì)劃、論證����、實(shí)施、評(píng)估以及管理安全投資活動(dòng)�。下面我們從分解價(jià)值、成本和風(fēng)險(xiǎn)構(gòu)成來(lái)探討這個(gè)框架如何為風(fēng)險(xiǎn)管理服務(wù)����。
價(jià)值構(gòu)成從兩個(gè)方面來(lái)描述利益和排定其優(yōu)先級(jí)����。第一層次是要考慮一項(xiàng)議案(項(xiàng)目或活動(dòng))實(shí)現(xiàn)價(jià)值的能力�����,第二層次是要描述如何測(cè)量這些價(jià)值。企業(yè)投資價(jià)值需要進(jìn)行分解,分解的因素應(yīng)該不具有交叉性同時(shí)又是相關(guān)的���。不同的行業(yè)有不同的價(jià)值因素��,即使是同一行業(yè),不同企業(yè)也有所不同��。下表是企業(yè)價(jià)值構(gòu)成因素分解的例子:
從上表可以看出����,一般情況下��,這些價(jià)值因素在重要性方面不是等同的��,需要根據(jù)他們對(duì)企業(yè)的重要性等級(jí)判定其權(quán)重����。因此����,在開(kāi)發(fā)、管理或者評(píng)估一個(gè)項(xiàng)目(工程)時(shí)�����,決策者必須理解什么是重要的,也能夠決定重要性的等級(jí)�����。以下問(wèn)題是必須要回答的�����,也就是對(duì)他們來(lái)說(shuō),那種類型的價(jià)值是最重要的���,以及這種價(jià)值相對(duì)其他價(jià)值而言到底有多重要(權(quán)重)���。
要嚴(yán)格識(shí)別和定義價(jià)值度量標(biāo)準(zhǔn)����,周密計(jì)劃、和執(zhí)行價(jià)值測(cè)量���,因?yàn)槠鋰?yán)格性和計(jì)劃水平很大程度上決定了價(jià)值構(gòu)成能否提供為評(píng)估一個(gè)項(xiàng)目的價(jià)值提供準(zhǔn)確的框架��。那么如何去識(shí)別和定義這些度量標(biāo)準(zhǔn)呢?應(yīng)該從客戶的角度去考慮價(jià)值��,因?yàn)閬?lái)自客戶和股東的輸入反映了他們的需求����,創(chuàng)建和使用基于用戶的度量標(biāo)準(zhǔn)更能有效的滿足用戶需求,為他們實(shí)現(xiàn)更多的財(cái)務(wù)和非財(cái)務(wù)的價(jià)值�。在定義度量時(shí)應(yīng)該包含以下四個(gè)方面:
a) 簡(jiǎn)潔�、說(shuō)明性的名字-使用清晰的語(yǔ)言表達(dá)這個(gè)度量系統(tǒng)的廣度和關(guān)注度�。
b) 簡(jiǎn)短的描述-能夠提供足夠的信息����,使得任何讀者能夠準(zhǔn)確的理解度量的對(duì)象���。
c) 性能測(cè)量- 一個(gè)項(xiàng)目的有效性的測(cè)量可能需要多個(gè)度量系統(tǒng),這樣才有可能確保為提出的度量對(duì)象搜集足夠的信息���。如果你不能測(cè)量他�,那么大的度量系統(tǒng)是沒(méi)有用的�����。一般情況下,在設(shè)置性能目標(biāo)時(shí),應(yīng)該關(guān)注最終目標(biāo)���,也就是說(shuō),需要從長(zhǎng)期的角度去考慮這個(gè)項(xiàng)目需要完成的東西是否達(dá)到其最終目標(biāo)����。
d) 設(shè)置目標(biāo)并且建立標(biāo)準(zhǔn)化的刻度-為每個(gè)目標(biāo)以及價(jià)值的主觀評(píng)價(jià)建立一個(gè)標(biāo)準(zhǔn)化的刻度�����。標(biāo)準(zhǔn)化的刻度提供了一種方法,這種方法把價(jià)值的主觀和客觀度量整合到單一的決策度量系統(tǒng)中�����。相比較而言���,使用何種刻度不重要��,重要的是這個(gè)刻度能夠保持度量的一致���。評(píng)價(jià)目標(biāo)是否達(dá)到時(shí),避免使用類似在…增長(zhǎng)或者降低的詞匯��,要使用具體的可度量的詞語(yǔ)�����。
成本構(gòu)成與價(jià)值構(gòu)成有些類似,成本構(gòu)成是成本估算的基礎(chǔ)�, 它最重要的目標(biāo)是完成一個(gè)完備、廣泛的成本預(yù)估����,以減少遺漏或者重復(fù)計(jì)算的風(fēng)險(xiǎn)。準(zhǔn)確和完備的成本預(yù)算對(duì)項(xiàng)目的成功是至關(guān)重要的�。這個(gè)目標(biāo)達(dá)成是建立在對(duì)項(xiàng)目的徹底理解并且知道相關(guān)成本的估計(jì)的基礎(chǔ)上的�����。成本構(gòu)成可采取一個(gè)分層的架構(gòu)��,或者稱之為費(fèi)用樹(shù)�,估算時(shí)把費(fèi)用層層分解,分解之后����,復(fù)雜事物簡(jiǎn)單化,提高了估算的準(zhǔn)確度���。然后再層層匯總,最終得出項(xiàng)目整體成本�����。
在風(fēng)險(xiǎn)管理當(dāng)中��,風(fēng)險(xiǎn)是核心對(duì)象����,安全投資的目的就是要消減風(fēng)險(xiǎn)��,也是投資的出發(fā)點(diǎn)��。風(fēng)險(xiǎn)構(gòu)成關(guān)心兩個(gè)問(wèn)題��,一個(gè)是有哪些風(fēng)險(xiǎn)����,另一個(gè)是哪些風(fēng)險(xiǎn)是企業(yè)可以接受的��。因此��,風(fēng)險(xiǎn)構(gòu)成達(dá)到兩個(gè)目標(biāo)����,第一,為識(shí)別所有潛在的風(fēng)險(xiǎn)提供參考���。第二���,為判斷和確定企業(yè)的風(fēng)險(xiǎn)可接受水平����。對(duì)于第一個(gè)目標(biāo)來(lái)說(shuō)���,當(dāng)前介紹風(fēng)險(xiǎn)管理的國(guó)際標(biāo)準(zhǔn)����、國(guó)家標(biāo)準(zhǔn)以及其他的參考材料已經(jīng)是汗牛充棟��,里面有很多有用參考�����,這里就不必累贅��。第二目標(biāo)的達(dá)成���,價(jià)值和成本的準(zhǔn)確估計(jì)是關(guān)鍵基礎(chǔ)��。為什么這么說(shuō)呢?在定性的風(fēng)險(xiǎn)評(píng)估的方法當(dāng)中我們可以看到����,風(fēng)險(xiǎn)的可接受水平可以從以下幾個(gè)方面來(lái)判斷確定:
·該風(fēng)險(xiǎn)的發(fā)生將對(duì)業(yè)務(wù)產(chǎn)生的影響;
·處理該風(fēng)險(xiǎn)成本與風(fēng)險(xiǎn)發(fā)生后帶來(lái)的損失的比較;
·處理該風(fēng)險(xiǎn)的控制措施對(duì)業(yè)務(wù)運(yùn)作效率影響程度;
·處理該風(fēng)險(xiǎn)的控制措施在技術(shù)上能夠?qū)崿F(xiàn)難易度��。
一般情況下���,如果認(rèn)為風(fēng)險(xiǎn)發(fā)生將對(duì)業(yè)務(wù)產(chǎn)生較大影響��,符合成本效益原則�,措施實(shí)施之后沒(méi)有明顯降低工作效率以及在技術(shù)實(shí)現(xiàn)上可行的話,那么都認(rèn)為這種風(fēng)險(xiǎn)是不可以接受的���。仔細(xì)分析��,所有的這些因素都集中到兩點(diǎn)���,成本和價(jià)值的比較��。只要不能獲利�����,這種風(fēng)險(xiǎn)是可以接受的��。
單純的從經(jīng)濟(jì)的角度看投資回報(bào)必然使風(fēng)險(xiǎn)管理限于困境����,我們只有跳出投資回報(bào),把眼光放得更寬一些�,從價(jià)值回報(bào)的角度來(lái)看風(fēng)險(xiǎn)管理��,這為風(fēng)險(xiǎn)管理提供了新的出路���。過(guò)去在信息安全的實(shí)踐當(dāng)中���,我們過(guò)多的關(guān)注“把事情做正確”����,現(xiàn)在該是開(kāi)始關(guān)注“做正確的事情”的時(shí)候了�����。
