对风险管理的认识.doc

对风险管理的认识 摘要：“什么是网络信息系统的风险”，在现有的条件下，网络信息系统的那些资产会出现潜在的安全问题？对于一个特定资产，会出现什么安全上的弱点？弱点如果被利用，会带来怎样的安全威胁？由潜在的安全威胁变成现实的安全事故，其发生的可能性有多大？如果发生了安全事故，其造成的损失会多大？对这些问题的回答，实质上就是分析风险，分析风险的目的是为了更好地管理风险。 关键词：风险，风险管理，风险管理的生命周期 风险管理是一门新兴的管理学科。风险管理从1930年代开始萌芽。风险管理最早起源于美国，在1930年代，由于受到1929－1933年的世界性经济危机的影响，美国约有40％左右的银行和企业破产，经济倒退了约20年。美国企业为应对经营上的危机，许多大中型企业都在内部设立了保险管理部门，负责安排企业的各种保险项目。可见，当时的风险管理主要依赖保险手段。 风险的含义风险和危险是不同的，风险包含着一种不确定性，每个结果的概率是可知或可以估计的，而危险则只意味着一种不好的预兆。因此，有时虽然有危险存在，但不一定要冒此风险，我们要想方设法去改变风险发生的条件，使之不发生，甚至带来转机。综上所述，可以这样定义的风险：风险就是活动或事件消极的，人们不希望的后果发生的潜在可能性。具体地说，风险一般应具备以下要素：（1）事件（不希望发生的变化）；（2）事件发生具有不确定性；（3）风险的影响（后果）；（4）风险的原因。 风险和不确定性是我们很容易混淆的概念：不确定性是客观事物永远发展变化的客观特性，是产生风险的原因。虽然风险和不确定性这两个概念经常互相使用，但它们并不是一回事。不确定性仅仅考虑事件发生的肯定程度，而风险则要考虑事件发生后果的严重程度。 不确定性在某些特定的情况下并不完全是坏事，关键要看不确定性是在向着我们希望的方向发展，还是相反。再次说明，风险是针对不希望发生的事件而言的，它包括以下两个方面：（1）发生的可能性；（2）一旦发生，后果的严重程度。 不确定性分析 风险管理经常必须依赖于推测、猜想、不完全的数据和许多未经证实的假设。不确定性分析试图记录这些内容以便更加明智地使用风险管理的结果。在风险管理过程中有两个主要的不确定性来源：（1）风险管理模型或方法缺乏可信度和或精确性，及（2）缺乏足够的信息来确定风险模型要素的确切值，如威胁的频率、安全措施的效率或结果。 风险管理 风险管理是评估风险、采取步骤将风险消减到可接受的水平并且维持这一风险级别的过程。也许大家没有意识到，其实大家每天都在进行风险管理。像系安全带、预告有雨时带伞或将事情记录下来以免遗忘，这些日常活动都能归入风险管理的范畴。人们会意识到针对其利益的各种威胁，并采取预防措施进行防范或将其影响减到最小。 风险管理是识别风险评估风险以及采取步骤使风险减低到可接受范围内的过程。风险管理让管理者在安全和经济成本之间寻求平衡，并最终通过对支持其机构业务的系统和数据进行保护后获益。风险管理的目的是防止或减低破坏行为发生的可能性，以及减低或限制当系统被破坏后后续的威胁。 我们所说的系统存在风险，是指系统在运行过程中有可能达不到预期的运行目标。对于网络信息系统来说，由于不管采取怎样的安全措施，也不能够达到绝对的安全，所以风险是不可避免的，必须正视风险的存在。风险管理就是在分析风险的基础上，考虑可能的安全措施及其成本，采取决策在一定的程度上规避风险。 在讨论风险管理的过程中，重要的是要认可一个最基本的假设：计算机不可能绝对安全。总是有风险存在，无论这种风险是由受到信任的员工欺诈系统造成的，还是火灾摧毁关键资源造成的。 风险管理的生命周期包括6个相关的过程：明确系统资产，弱点与威胁辨识，风险评估，风险控制评估，风险决策，系统检测。 1．明确系统资产 网络信息系统风险管理的首要任务是确定系统需要保护的对象，即明确系统资产，只有明确网络信息系统的各种资产，才能够辨识资产在当前的环境中面临的各种威胁。 2．弱点与威胁辨识 系统存在弱点，就有被利用的可能，在明确了系统弱点之后，就有必要确定对于系统的威胁，明确威胁是为了采取措施防范攻击。 3．风险评估 风险评估着眼于定量地描述威胁成为现实的概率，即计算出安全事故发生的可能性有多大，然后评价事故将会产生什么样的社会、经济和环境负效应，即对事故的产生的后果进行评价。 4．风险控制评估 通过风险评估我们明确了风险可能带来的损失，为了减少损失，需要花费一定的安全成本，以减低风险。风险控制评估将分析采取一定的安全成本能把系统的风险降低到什么样的级别。 5．风险决策 风险决策将决定网络信息系统采取的安全措施，在决策中应注意重点保护关键资源，不要花费很多资金去保护价值不相当的东西。 6．系统检测 系统检测阶段将检测网络信息系统的运行，当系统资产发生变化、系统开