0引言
  風(fēng)險是以一定的發(fā)生概率的潛在危機(jī)形式存在的可能性，而不是已經(jīng)存在的客觀結(jié)果或既定事實。風(fēng)險管理是通過對風(fēng)險的識別、衡量和控制，以最小的成本將風(fēng)險導(dǎo)致的各種損失結(jié)果減少到最小的管理方法。
信息系統(tǒng)項目過程中存在各類風(fēng)險，這些風(fēng)險有著自身的特點，對項目的影響也隨項目的不同階段而不同。其中信息安全風(fēng)險是指系統(tǒng)本身的脆弱性在來自環(huán)境的威脅下而產(chǎn)生的風(fēng)險，這些風(fēng)險會對項目造成延期、降低質(zhì)量、成本上升等后果。
對信息安全風(fēng)險的評估是進(jìn)行有效風(fēng)險管理的基礎(chǔ)，是對后續(xù)風(fēng)險計劃和風(fēng)險控制過程的有力支撐，進(jìn)而確保完成項目的投資、工期、質(zhì)量總目標(biāo)。如果應(yīng)用項目風(fēng)險識別過程或工具對信息安全風(fēng)險進(jìn)行評估，會遇到難以量化風(fēng)險的難題。
而成熟的信息安全評估過程由于不是面向項目、適用于大型組織以及持續(xù)時間長等原因無法應(yīng)用到項目管理中。本文通過對信息安全風(fēng)險評估在項目風(fēng)險評估管理過程中的應(yīng)用這一問題的研究，結(jié)合筆者的工作實踐努力去尋找一個適合在項目中運(yùn)用的評估方法。
目前，信息系統(tǒng)項目的安全風(fēng)險評估方面，國內(nèi)尚未有系統(tǒng)的理論研究成果，也無統(tǒng)一的模型和流程。希望筆者所做的工作能為信息系統(tǒng)項目信息安全風(fēng)險管理的理論研究和實踐工作提供一定的參考。
l 信息系統(tǒng)項目風(fēng)險管理
  在這里，項目所面對的信息系統(tǒng)并不局限于計算機(jī)軟硬件設(shè)備構(gòu)成的系統(tǒng)、網(wǎng)絡(luò)、平臺或環(huán)境，它還包括人和信息在內(nèi)的廣義的大系統(tǒng)。信息系統(tǒng)項目，無論其規(guī)模大小，必然會為被實施方(用戶)在管理、業(yè)務(wù)經(jīng)營等多方面帶來變革，這就使項目必然具有高風(fēng)險性的特點。
特別是當(dāng)項目在人和計算機(jī)網(wǎng)絡(luò)空間里展開時，所面臨的威脅和風(fēng)險呈現(xiàn)出多樣性。近年來，企業(yè)信息化項目的廣泛實施，一方面為眾多的企業(yè)帶來了管理、經(jīng)營方面的革新，而另一方面，夭折、中斷、失敗的項目也不在少數(shù)。
因此，如何在項目管理中有效地管理風(fēng)險、控制風(fēng)險，已經(jīng)成為了項目成功的必要條件。根據(jù)PMI項目管理手冊的定義:項目風(fēng)險是一種不確定的事件或狀況，一旦發(fā)生，會對至少一個項目目標(biāo)如時間、費(fèi)用、范圍或質(zhì)量目標(biāo)產(chǎn)生積極或者消極影響。
風(fēng)險的起因可能是一種或多種，風(fēng)險一旦發(fā)生，會產(chǎn)生一項或多項影響。風(fēng)險管理包括項目風(fēng)險管理規(guī)劃、風(fēng)險識別、分析、應(yīng)對和監(jiān)控的過程。項目風(fēng)險管理的目標(biāo)在于增加積極事件的概率和影響，降低項目消極事件的概率和影響。
其中風(fēng)險識別和風(fēng)險量化常被視做一個程序，稱為風(fēng)險評估。
2 項目的信息安全風(fēng)險
  信息系統(tǒng)項目的信息安全風(fēng)險指信息系統(tǒng)在項目的生命周期中其安全屬性面臨的危害發(fā)生的可能性，指的是由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致信息安全事件發(fā)生的可能性及其造成的影響。
具體來說是信息系統(tǒng)在存儲、傳輸和處理信息時，信息的安全屬性如保密性、完整性、可用性及其他屬性(真實性、可核查性、防抵賴性等)受到的挑戰(zhàn)。
(1)保密性:保證機(jī)密信息不被竊聽，或竊聽者不能了解信息的真實含義。
(2)完整性:保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶篡改。
(3)可用性:保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^。信息安全風(fēng)險可以用信息安全事件發(fā)生的可能性及其造成的影響或危害這兩個指標(biāo)來衡量。
危害不僅取決于災(zāi)害性事故的發(fā)生頻率，而且與事故造成的后果大小有關(guān)。目前對系統(tǒng)某一事件的風(fēng)險R通常用時間發(fā)生的概率尸和事件產(chǎn)生的后果幅值C這兩個指標(biāo)來表示。這一對指標(biāo)并不代表簡單的數(shù)學(xué)運(yùn)算、一個矢量或標(biāo)量，而是表示某一事件的發(fā)生概率與產(chǎn)生的預(yù)期后果的對應(yīng)關(guān)系。
(3)確定風(fēng)險和評級:為已確定的風(fēng)險評級。風(fēng)險評估的輸出結(jié)果是一份確定了優(yōu)先級的風(fēng)險列表，該列表向后續(xù)的風(fēng)險應(yīng)對和監(jiān)控過程提供輸入資料來源。
評估過程由一系列循序漸進(jìn)的討論會組成，其核心是自主原則，指的是由組織內(nèi)部的人員來管理和指導(dǎo)組織的信息安全評估工作。
3項目的風(fēng)險評估過程
3.1評估規(guī)劃
(1)建立評估團(tuán)隊。評估風(fēng)險在整個過程中需要跨部門的合作，要求不同的風(fēng)險承擔(dān)者負(fù)責(zé)相應(yīng)的任務(wù)。評估團(tuán)隊的成員不但需要來自不同部門，而且需要團(tuán)隊成員中存在一定的級別差異。目的在于分析和評估風(fēng)險對于組織的任務(wù)和業(yè)務(wù)目標(biāo)的影響。
這就需要來自管理層、業(yè)務(wù)部門和技術(shù)部門的成員。他們可以不需要非常豐富的仃知識，但必須對自己的業(yè)務(wù)非常了解。
(2)建立風(fēng)險量化標(biāo)準(zhǔn)。建立風(fēng)險量化標(biāo)準(zhǔn)是確立來自組織內(nèi)部對于項目和信息系統(tǒng)的安全需求，這種需求將成為評估風(fēng)險給組織的任務(wù)和商業(yè)目標(biāo)帶來的影響的驅(qū)動因素。這些驅(qū)動因素體會體現(xiàn)在一系列風(fēng)險量化標(biāo)準(zhǔn)里而作為評估規(guī)劃的重要成果。
風(fēng)險量化標(biāo)準(zhǔn)是一系列定量的量化方法。它參考了那些對已經(jīng)發(fā)生了的風(fēng)險的影響進(jìn)行評價的結(jié)果，繼而成為整個風(fēng)險評估的基礎(chǔ)。使用一致的量化標(biāo)準(zhǔn)能確保在多個信息資產(chǎn)和操作部門之間同樣一致地執(zhí)行制訂的風(fēng)險應(yīng)對計劃。
除了評估在某特定區(qū)域內(nèi)的影響程度，組織還必須識別出哪些區(qū)域?qū)τ谒娜蝿?wù)和商業(yè)目標(biāo)最為重要。譬如，一些組織會更重視有可能給他們與客戶的關(guān)系帶來影響的風(fēng)險，而相比之下對影響相關(guān)法規(guī)符合性的風(fēng)險就不如前者重要。
所以對有可能被風(fēng)險影響的區(qū)域設(shè)定優(yōu)先級也是在評估規(guī)劃里必須執(zhí)行的。當(dāng)項目風(fēng)險管理中的風(fēng)險管理規(guī)劃完成后，產(chǎn)生了項目的風(fēng)險管理計劃。接著就可以啟動風(fēng)險評估過程。評估過程即通過一個正式的流程來確定項目中組織面臨的風(fēng)險并確定其優(yōu)先級。
并且將評估風(fēng)險階段細(xì)分為以下三個步驟:
(l)評估規(guī)劃:為成功的風(fēng)險評估建立基礎(chǔ)。
(2)數(shù)據(jù)收集和處理:通過研討會討論收集到的風(fēng)
3.2數(shù)據(jù)收集和處理
(l)建立信息資產(chǎn)配置文件。評估過程關(guān)注的是組織的信息資產(chǎn)，所以在這一步開始建立資產(chǎn)配置文件。一個配置文件代表了一個信息資產(chǎn)，它描述了資產(chǎn)區(qū)別于其他資產(chǎn)的特征、品質(zhì)、特性和對它的賦值。
這個創(chuàng)建配置文件的過程確保了每一個資產(chǎn)都有清晰而且一致的描述來明確它的邊界，并且充分定義了有關(guān)安全的需求。每一個資產(chǎn)的配置文件生成一張表單，它將成為后續(xù)步驟中定義威脅和風(fēng)險的基礎(chǔ)。
(2)識別信息資產(chǎn)容器。信息資產(chǎn)被存儲、傳輸和處理的地點稱之為容器。信息資產(chǎn)不僅會存在于組織邊界范圍內(nèi)，它也時常存在于不受組織直接控制的容器內(nèi)。任何對于容器的風(fēng)險會被存在于其中的信息資產(chǎn)繼承下來。
譬如，許多組織向服務(wù)提供商外包它們部分的IT基礎(chǔ)設(shè)施，服務(wù)提供商管理和維護(hù)著含有這個組織信息資產(chǎn)的容器。如果服務(wù)提供商不了解它們管理的容器內(nèi)所存儲、傳輸和處理的信息資產(chǎn)來自組織的安全需求，那些用來保護(hù)信息資產(chǎn)的控制手段則有可能會不足，導(dǎo)致將資產(chǎn)暴露在風(fēng)險面前。
這個問題在有些情況下會變得更顯著，譬如服務(wù)提供商在不通知資產(chǎn)所有者的情況下將服務(wù)(如數(shù)據(jù)存儲業(yè)務(wù))簽署給另外的服務(wù)商。因此，為了獲取完整的信息資產(chǎn)風(fēng)險配置文件，組織必須識別出所有信息資產(chǎn)被存儲、傳輸和處理的地點即信息資產(chǎn)容器，
而不論這些容器是在組織的直接控制或間接控制之下。識別出所有內(nèi)部的和外部的信息資產(chǎn)容器，然后將信息資產(chǎn)關(guān)聯(lián)到它所在的容器中并列表輸出。
(3)識別關(guān)注區(qū)域。開始通過頭腦風(fēng)暴來識別風(fēng)險，頭腦風(fēng)暴的目的是找出任何可能威脅組織信息資產(chǎn)的條件或情況。這些被識別出來的現(xiàn)實世界中的場景就被視做是關(guān)注區(qū)域，它們可以代表威脅以及相對應(yīng)的不良后果。
針對關(guān)注區(qū)域的討論可以幫助人們找出那些只對某一組織來說是威脅的風(fēng)險。必須注意的是，識別關(guān)注區(qū)域的目的不是去完成一個完整的對信息資產(chǎn)可能的威脅場景列表，而是快速地記錄那些在頭腦風(fēng)暴中最先跳出的可能威脅組織信息資產(chǎn)的條件和情況。
(4)識別威脅場景。識別出來的關(guān)注區(qū)域在這里被展開。展開的關(guān)注區(qū)域包含每一個威脅的具體內(nèi)容，稱之為威脅場景。但是這些從關(guān)注區(qū)域發(fā)展而來的威脅的集合還不足以為一個組織的信息資產(chǎn)所可能面臨的威脅提供一個周全的考慮。因此必須通過進(jìn)一步分析威脅場景來考慮更廣范圍的附加風(fēng)險。
主要的信息安全威脅有8種。
①竊取:非法用戶通過數(shù)據(jù)竊聽的手段獲得敏感信息;
②截取:非法用戶首先獲得信息，再將此信息發(fā)送給真正的接收者;
③偽黔頂具薰理燕難造:將偽造的信息發(fā)送給接收者;
④篡改:非法用戶對合法用戶之間的通訊信息進(jìn)行修改，再發(fā)送給接收者;
⑤拒絕服務(wù)攻擊:攻擊服務(wù)系統(tǒng)，造成系統(tǒng)癱瘓，阻止合法用戶獲得服務(wù);
⑥行為否認(rèn):合法用戶否認(rèn)已經(jīng)發(fā)生的行為;
⑦非授權(quán)訪問:未經(jīng)系統(tǒng)授權(quán)而使用網(wǎng)絡(luò)或計算機(jī)資源;
⑧傳播病毒:通過網(wǎng)絡(luò)傳播計算機(jī)病毒，其破壞性非常高，而且用戶很難防范。
3.3確定風(fēng)險和評級
(1)識別風(fēng)險。當(dāng)識別了威脅后，接下來是對那些已經(jīng)識別的威脅分析相應(yīng)的后果，以完成風(fēng)險識別。一個威脅對于一個組織可能會有多種潛在的影響。譬如，一個組織的電子商務(wù)系統(tǒng)的中斷會影響到它在客戶中的聲譽(yù)及其金融地位。所以通過這個步驟來確保識別出風(fēng)險的不同后果。
(2)分析風(fēng)險。最后用定量的方法來評價風(fēng)險對組織的影響程度。即通過考慮風(fēng)險的結(jié)果對組織的影響程度得出相對風(fēng)險影響值。隨著影響區(qū)域的重要程度不同、風(fēng)險的可能性和發(fā)生概率的不同，計算出來的風(fēng)險值也不同。
也就是說，如果對一個組織來說聲譽(yù)最重要，那么對這個組織的聲譽(yù)有影響的風(fēng)險將會得到比較高的數(shù)值，而影響其他領(lǐng)域的風(fēng)險的數(shù)值相對比較低。組織通過對這些影響做優(yōu)先排序，從而確保風(fēng)險也被優(yōu)先排序。至此，項目中的信息安全風(fēng)險被識別、排序和輸出，最后為下一步風(fēng)險管理過程輸人信息。
4結(jié)語
  將信息安全評估應(yīng)用到IT項目風(fēng)險管理中擴(kuò)大了風(fēng)險管理的內(nèi)涵，它使項目管理者能更好地管理信息安全風(fēng)險。同時也帶來了許多新的課題，譬如，如何組織管理層和業(yè)務(wù)部門參與制訂信息安全風(fēng)險計劃，如何監(jiān)控項目中的信息安全風(fēng)險以及如何讓信息安全風(fēng)險管理與項目整體管理結(jié)合得更好。