风险管理的价值角度初探.pdfVIP

风险管理的价值角度初探 风险管理的价值角度初探 本文编者：北京谷安天下科技有限公司 网 址： 地 址：北京市海淀区中关村南大街2 号数码大厦A 座806 电 话：010（北京） 021（上海） 0755（深圳） 0991-6999166 （新疆） 手机 1 风险管理的价值角度初探 风险管理的价值角度初探 作者：陈笈 谷安天下咨询经理 世事无绝对，这个观点没人反对；同样风险理论告诉我们，安全无绝对，一切安全活动 应该建立在风险管理的基础上，绝对的零风险是不存在的，要想实现零风险，也是不现实的； 在计算机安全领域有一句格言：“真正安全的计算机是拔下网线，断掉电源，放置在地下仓 库的保险柜中，并在仓库内充满毒气，在仓库外安排士兵守卫。”显然，这样的计算机是无 法使用的。计算机系统的安全性越高，风险越小，其可用性越低，需要付出的成本也就越大， 一般来说，需要在安全和风险，以及安全和成本投入之间做一种平衡。 平衡的理论为安全提供了前进的方向，但是在前进的道路中，需要具有可操作性的具体方法 来指导。 ALE 批判 在信息安全风险管理中有个特别有名的公式，那就是ALE （Annual Lose Expectation）, 它表示某个特定的安全事件损失的价值与其年度发生频率的乘积。 代表性定义如下：ALE=SLE*ARO 其中，SLE 是单一损失期望，ARO 是年度发生率。 ALE 出现在各种各样的教科书中，像流行的 CISSP 的培训教材，就连著名安全专家 Bruce Schneier 在其著作《secrets and lies: Digital Security in a Networked World》中对 ALE 也有所描述。ALE 是定量风险评估中的核心概念，有了ALE，从财务的角度对安全风险 损失以及所选择的控制措施进行分析，依照成本效应原则，选择安全对策，有理有据，整个 思路流畅，逻辑清晰。但是风险管理实践当中，ALE 却遭遇重重困难，主要体现在以下几个 2 风险管理的价值角度初探 方面：  局外人难以建模  缺乏事件发生可能性和预测损失的数据 首先，ALE 不是一个简单的数学可以说明的问题。局外人制定的损失事件不能表现一个 典型的损失事件的特性。一般来说，安全事件具有低概率、高危险性。这使得他们难以建模。 而非得要建模的话，那只能妥协并做出不合理的假设。 其次，ALE 的实施者根本没有能力以及具有合适的方法去估计可能性和损失。确实很难 预知一个损失事件发生的可能性，最可能的途径之一是通过对历史数据的分析，得出统计特 性来预测将来，但是，在信息安全领域，历史数据的缺失是不争的事实。另外，预估损失事 件对资产的影响也存在巨大挑战，这种挑战来自两个层次，第一层次是资产本身价值的估计， 第二层次是资产损失百分比。Bruce schneier 把ALE 说成“有很多猜测的工作”，说白了， 就是需要拍脑袋。 再次，整个模型对假定中的微小变化非常敏感，因为一项资产或者资产组同时可能会遭 受多个威胁的攻击，而一个威胁可能会对多项资产或者资产组产生破坏，任意一个资产价值 以及威胁发生可能性变化，就会传递到整个模型，产生的变化也就较大。试想一下，在ALE 上建立的风险管理模型，犹如沙滩上的高楼大厦，这样的大厦尽管能够登高享受美丽海景， 但是你敢登吗？！ 需要数字说话 难道我们只能望楼兴叹吗？实践中对信息安全的测量的要求是实实在在存在的，而且会 越来越突出。著名数学物理学家 lord kelvin 说过“你不能改进你不能测量的东西”。信息 安全经