意外事件的發生,往往令人措手不及,如果又缺少了適當的應變方法,一團混亂的結果更會造成危機的擴大。因此,最好的做法就是在事前設想可能的風險,並採取適當的措施來將衝擊降至最低,本文用簡單的範例,來協助你了解風險管理的過程。
在上個月初,桃園機場的境管電腦發生了當機事件,使得證照查驗工作必須採用人工方式進行,造成入出境的旅客大排長龍而抱怨連連。以往雖然也有類似情況發生,所幸資訊人員都能在很短的時間內搶修完成,讓服務可以迅速地恢復運作。但是,此次當機事件卻牽連甚廣,使得整個境管電腦系統停擺長達三十六個小時,更讓八名受到列管的人士得以入出境闖關成功。
此次當機事件,根據官方的聲明指出,主要發生原因是硬體過於老舊,導致硬碟與主機板發生故障,進而使得境管系統停擺。但是,在事件引起軒然大波之後,各家媒體和網友卻抱持著不同的看法,歸結起來大致可分為以下幾項原因:
個人認為這次事件的發生,絕不只是單一的因素所造成,因此可以從很多角度來予以探討,包括從系統開發與運作流程、備援作業程序、IT服務管理和營運持續管理等,但因缺少相關直接證據,在此我們不去探討事件背後的真相,而是要來思考以上各個層面,都必須考慮到的一個重點,那就是所謂的風險管理。
風險管理基本概念
風險是什麼?簡單的說,就是不想要發生的事件,當它發生時所造成的影響程度,跟發生的可能性之組合。舉例而言,像是每年大概會發生兩次,當颱風來襲時會使住家所在的區域停電;或是一年左右可能會發生一次,因為路上的釘子刺破了輪胎,造成車子無法繼續行駛,這些都是生活中存在的風險。若以IT的例子而言,常見的風險則有:每年大約發生一次,因硬碟故障造成檔案損毀;或是電腦病毒造成作業系統無法開機,每年至少發生二次以上等。
風險的存在與否,主要是視資產所處的環境及活動,要去考量它的嚴重性以及發生的機率,像以上這些事件所產生的風險,都會造成一些問題發生,假如沒有適當的因應做法,可能會讓事態擴大而產生更大的衝擊,所以若想要避免或是降低更多問題的產生,就必須要採取一些對應的風險控制措施,而這也就是風險管理過程中重要的工作之一。
風險管理的過程
風險管理的第一步,就是要先了解會產生風險的對象到底是誰?對企業而言,風險來自於有價值的資產,所以必須識別企業內的重要資產有哪些,還有其所面臨的威脅與弱點是什麼,以便鑑別出各項風險組合。
以這次當機事件為例,它的資產至少包括系統維護人員、運行系統的電腦主機、系統應用程式、儲存設備、備援系統等,可能的威脅包括像是設備自然損耗和人員作業疏失,弱點則可能有維護支援服務不足、人員缺乏訓練、缺少應變程序等,如果這些資產的威脅和弱點同時發生的話,就會影響到所提供服務的正常運作。
關於風險管理的過程,基本上可分為識別資產、風險分析、風險評估和風險處理四個步驟來進行,以下是各項步驟的說明。
識別資產
在資訊安全的範圍裡,我們所要探討的資產以資訊資產為主,也就是和資訊有關且彼此影響的事物。資產的種類通常可分為:
和資訊作業有關的人員,例如管理階層人員、系統開發人員、系統維護人員、資訊處理人員、網管人員等。
可分為紙本文件和電子文件,例如系統文件、使用手冊、網路拓撲圖、各式表單、合約、日誌、客戶資料等。
資訊系統運作所需的軟體,包括作業系統、資料庫、一般應用軟體、防毒軟體、內部開發的應用軟體等。
指存放、處理或支援資訊系統運作的硬體設備,例如個人電腦主機、伺服器、筆記型電腦、路由器、交換器、不斷電系統等。
指處理資訊所在的地點及建築物,例如機房、網管中心、備援中心、資訊作業中心等。
指對外連結或區域互動的網路,例如ADSL網路、光纖網路、數據專線、無線網路等。
指存放在儲存媒體如硬碟、磁帶、光碟等的數位資料。
風險分析
在識別和資訊有關的資產並進行分類之後,接下來就要分析這些資產所面臨的威脅與弱點。所謂威脅是指會對資產造成損害的事物,分為自然因素與人為因素,自然因素是指來自於天災或是設備的自然損耗,人為因素則包括有意破壞和無意的疏忽,目前常見的威脅包括:火災、水災、颱風、地震、電力中斷、駭客入侵、內部人員不當操作、人員惡意竊取、人員惡意破壞等。
至於弱點則是指存在於資訊資產本身,容易被威脅利用而造成損害的地方,弱點本身並不會造成資產的損失,必須要伴隨威脅一併發生,才會產生資安風險。在資訊系統中常見的弱點有:作業系統未更新、病毒碼過期、缺少身份驗證、缺少存取權限控管、使用未加密的網路、人員缺少訓練、設備缺少維護等。
風險評估
在識別資產所面臨的威脅與弱點之後,接下來就要進行風險評估,也就是計算出風險值,並依照風險值的高低來加以排序。當然,風險高的項目,一定要優先處理。
關於風險的計算方式有很多種,礙於篇幅無法做詳盡的說明,在此僅提出一個最簡便的方法,可做為風險評估時的參考,應用時可依所處環境與管理要求來自行定義評價方式,本方法的計算公式如下:
風險 = 資產價值 x 威脅機率 x 弱點等級
關於資產價值可參考表1的說明,分別依照資產的機密性、完整性與可用性的要求來給予評價,再取其平均值或最大值;至於威脅發生的可能性,可以「每年發生一次」、「半年發生一次」、「每季發生一次」、「每月發生一次以上」,分別給予1~4的評價;弱點等級,則可以區分為「很難被利用」、「難以被利用」、「容易被利用」、「很容易被利用」,同樣給予1~4的評價。
完成資產、威脅與弱點評價之後,就可計算出各項資產現有的風險值,並可依風險值的高低,賦予風險等級,例如風險等級A為48~64、風險等級B為32~47、風險等級C為16~31、風險等級D為1~15,最後企業可決定能接受的風險等級,假設為D的話,那麼只要是屬於風險等級ABC的資產,就是我們必須要去做風險處理的對象。表2是一個虛擬範例,僅供參考。
結論
風險管理是一個持續性的過程,舉凡企業內部的組織變更、作業流程改變、資訊資產的變更,或是有重大的資安事件發生之後,都必須要重新進行風險分析和風險評估,以期能夠識別新的風險,才可及早採取適當的風險控制措施,降低可能的資安事件發生,下一次將為你說明風險處理的相關做法。