张银行

随着我国信息化建设进程不断加速，各类企事业都在积极运用网络带来的便利，对各种信息系统的依赖性也在不断增强，但是信息系统的脆弱性也日益暴露，如何通过有效的手段，保证有限的安全预算发挥出最大的效果，以保证信息安全，成为大家共同面临的问题。

一、如何看待安全预算

安全预算是各类企事业单位为保护信息资产，保证自身可持续发展而投入的资金，是一种预防行为。安全预算多少合适，是不是投入得太多了？虽然安全问题越来越受到重视，但是网络安全事件仍然是呈现递增趋势。从安全预算角度分析原因：一是预算不足；二是预算不到位。

在国外，安全投入占企业基础建设投入的5%～20%，这人比例在中国的企事业中却很少超过2%。从风险的角度看，就是要平衡成本与风险之间的关系，用一百万美金保护三十万的资产，显然是不可接受的，但是如果资产的价值超过了一千万美金，产生的效益就显而易见，目前用一个量化的方法来计算信息化建设对于战略发展的贡献确实比较难。一年下来，并没有发生重大的信息安全事件，年初的安全预算可能就会被质疑投入太多了；如果发生了不可接受的安全事件，那就成了预算部门的责任。安全预算到底够不够？我们可以通过宏观的情况来分析一下风险与成本的关系，每年全球因安全问题导致的网络损失已经可以用万亿美元的数量级来计算，我国也有数百亿美元的经济损失，然而安全方面的投入却不超过几十亿美元。由此可以看出，我国整体信息化建设，安全预算不足。

一个单位在安全方面投入了很多，但是仍然发生“不可接受的”信息安全事故。信息安全理论中有名的木桶理论，很好的解释了这种现象。如很多企业每年在安全产品上投入大量资金，但是却不关注内部人员的考察、安全产品有效性的审核等安全要素，缺乏系统的、科学的管理体系支持，都是导致这种结果产生的原因。

二、 科学制定安全预算

信息安全的预算如何制定？其实要解决的就是预算多少和怎么用的问题。说安全预算难做，一是因为信息安全涉及到很多方面的问题，例如：人员安全、物力安全、访问控制、符合法律法规等等。二是很难依据某种科学的量化的输入得出具体的预算费用。安全预算是否合理，应该关注以下几个方面：（1）是否“平衡”了成本与风险的关系；（2）是否真正用于降低或者消除信息安全风险，而不是引入了新的不可接受风险；（3）被关注的风险是否具有较高的优先等级。

信息安全风险评估恰恰解决了以上问题，通过制定科学的风险评估方法、程序，对那些起到关键作用的信息和信息资产进行评估，得出面临的风险，然后针对不同风险制定相应的处理计划，提出所需要的资源，从而利用风险评估辅助安全预算的制定。

三、 风险评估过程

目前国际和国内都有一些比较成熟的风险评估标准及指南，通常包括下述几个过程：（1） 确定评估的范围、目的、评估组、评估方法等；（2）识别评估范围内的信息资产；（3）识别对于这些资产的威胁；（4）识别可能利用这些威胁的薄弱点；（5）识别信息资产的损失给单位带来的影响；（6）识别威胁时间发生的可能性；（7）根据“影响”及“可能性”计算风险；（8）确定风险等级及可接受风险的等级。

风险评估过程中，应该考虑那些应该输出的必要信息、表示方式等问题。例如，风险评估的方法，如果采用简单的评估方法，其输出的结果往往不够细致，进而不能很好的辅助制定预算的决策过程。从整个评估的过程看，应该考虑以下几方面的问题：（1）科学选择风险评估人员。风险评估过程中，通常需要来自业务部门和技术部门及管理层的人员共同组成风险评估小组。考虑到风险评估的结果需要为制定安全预算提供信息输入，那么在整个风险评估的过程中，都应该考虑到对制定预算起到关键作用的管理层人员的加入。（2）准确采取风险评估方法。风险评估通常采用定性和定量的分析方法。需要更多地考虑如何量化一些关键指标，作为风险评估过程中各个因素评价的判定准则。这样的准则更有利于关注风险与控制成本之间的关系，也更利于各部门横向沟通，及与管理层的纵向沟通。（3）查找導致风险的威胁及薄弱点。在进行风险评估时，应该系统地考虑来自各个方面的威胁。目前，仍然有很多人对于风险评估的理解还停留在“技术关注”的层面，这样的风险评估显然是不够的。（4）选择适当的控制措施。针对风险评估所产生的不可接受风险，应该采取一定的控制措施对风险进行处理。风险的处理方式通常包括：降低风险、转移风险、避免风险、接受风险。同一风险的处理方式可能不同，同样的处理方式所采取的控制措施也可能不同。所以就应该考虑来自管理和技术两方面的控制措施。而这样的控制措施并非一定要将风险完全规避，而是要降低到一个可以接受的水平。另外控制措施的选择也要考虑到成本的问题，任何单位不需要部署所有的安全产品，也没有必要追求风险最小化。

通过风险评估，了解安全要求，认知安全风险，采取安全控制，有效地平衡安全预算与风险的关系，将安全预算发挥最大的经济效益，才能保证信息和信息资产的安全。