網(wǎng)絡(luò)安全：風(fēng)險(xiǎn)管理平衡功能和安全

在設(shè)計(jì)和管理一個(gè)安全的網(wǎng)絡(luò)時(shí)，風(fēng)險(xiǎn)管理過程是其中非常重要的一部分。在實(shí)施風(fēng)險(xiǎn)評(píng)估的過程中，你可能會(huì)發(fā)現(xiàn)你的網(wǎng)絡(luò)沒有得到充分保護(hù)，并且可能會(huì)發(fā)現(xiàn)還需要另外增加硬件、軟件或者對(duì)用戶進(jìn)行管理和（或者）培訓(xùn)，教會(huì)他們?nèi)绾芜M(jìn)行防護(hù)。 
 
網(wǎng)絡(luò)安全在安全性、用戶功能以及速度之間起到了一種平衡作用。為了證明某些操作功能的減少是正確的，例如關(guān)閉ActiveX，你必須能夠說明這種特定的行為可以給公司的資產(chǎn)和用戶提供一個(gè)更為安全的環(huán)境。

無論你所在的公司是一個(gè)大公司還是一個(gè)小公司，你都應(yīng)該能夠并且應(yīng)該使用風(fēng)險(xiǎn)管理原則來識(shí)別出公司網(wǎng)絡(luò)所存在的威脅、判斷出公司網(wǎng)絡(luò)在哪些地方容易受到攻擊、并且給出具體的實(shí)現(xiàn)過程。最近，很多組織都在削減公司的IT預(yù)算。公司之所以增加在風(fēng)險(xiǎn)管理方面的預(yù)算，你應(yīng)該將其歸功于你的員工：識(shí)別安全風(fēng)險(xiǎn)以及證明如何去掉或者降低這些風(fēng)險(xiǎn)將從正面影響公司在安全方面預(yù)算的底線。

風(fēng)險(xiǎn)管理的基礎(chǔ)是安全風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估需要實(shí)現(xiàn)以下三個(gè)步驟：判斷網(wǎng)絡(luò)的價(jià)值，定義威脅并且判斷出網(wǎng)絡(luò)在哪些地方容易受到攻擊。

風(fēng)險(xiǎn)評(píng)估過程 判斷網(wǎng)絡(luò)的價(jià)值
在評(píng)估公司的網(wǎng)絡(luò)資產(chǎn)價(jià)值時(shí)，記住既要考慮公司的有形資產(chǎn)，又要考慮公司的無形資產(chǎn)。例如，下面的一些問題是經(jīng)常要問到的問題：

如果系統(tǒng)出現(xiàn)故障，會(huì)對(duì)公司的財(cái)政收入造成什么樣的影響？

網(wǎng)絡(luò)出現(xiàn)問題時(shí)，要讓其恢復(fù)正常工作，需要花費(fèi)多少人力成本？

在你的網(wǎng)絡(luò)中，重建保存的信息需要花費(fèi)多少資金？

如果公司網(wǎng)絡(luò)中的信息被泄漏，那么對(duì)公司的財(cái)政收入會(huì)造成什么樣的影響？
定義威脅
你的網(wǎng)絡(luò)以及網(wǎng)絡(luò)中的數(shù)據(jù)很容易受到環(huán)境本身、內(nèi)部以及外部威脅的攻擊。因此你必須理解每種類型的威脅，并且能夠盡可能多的識(shí)別出可能存在的風(fēng)險(xiǎn)。

大多數(shù)的管理員都非常了解環(huán)境本身的威脅，他們不會(huì)將其數(shù)據(jù)中心放在泛洪區(qū)中，或者將關(guān)鍵服務(wù)器放在一個(gè)噴水系統(tǒng)中。內(nèi)部的威脅通常是好定義的。這些類型的威脅是很常見的，而且可以很容易識(shí)別。

在定義外部威脅的時(shí)候，首先要判斷是誰想要以未授權(quán)的方式來破壞需要保密的數(shù)據(jù)--無論是患者記錄還是信用卡號(hào)碼。也許是你的競(jìng)爭(zhēng)對(duì)手正在尋找你的客戶信息，也有可能是一個(gè)到處探測(cè)信息的黑客決定要修改或者改變你的數(shù)據(jù)并且破壞這些數(shù)據(jù)的完整性和（或者）可用性。

判斷網(wǎng)絡(luò)在哪些地方容易受到攻擊

所謂的安全弱點(diǎn)就是你已經(jīng)認(rèn)識(shí)到的、可能發(fā)生的威脅。將你所認(rèn)識(shí)到的威脅按照一定的等級(jí)進(jìn)行分類。

威脅可能會(huì)是什么樣的？（你所在的公司在該行業(yè)受到大多數(shù)人的關(guān)注嗎或者說是眾矢之的嗎？）

這種威脅的可行性有多大？
許多人常常對(duì)安全弱點(diǎn)評(píng)估的結(jié)果感到焦慮不安。我的建議是根據(jù)實(shí)際情況來考慮這些因素。

執(zhí)行解決方案
在風(fēng)險(xiǎn)管理過程中最后一步是如何實(shí)現(xiàn)一個(gè)安全的解決方案。你的解決方案中可能需要包含這些方面的努力：如對(duì)用戶或者管理員的培訓(xùn)、重新設(shè)計(jì)網(wǎng)絡(luò)的結(jié)構(gòu)、或者在安全硬件方面增加投資。當(dāng)然，你的解決方案也可以變得非常簡(jiǎn)單：簡(jiǎn)單的關(guān)閉資產(chǎn)中有安全弱點(diǎn)的并且是不需要的服務(wù)或者測(cè)試和添加補(bǔ)丁程序。

在你考慮評(píng)估公司網(wǎng)絡(luò)中的威脅時(shí)，你可能需要借助于一個(gè)現(xiàn)成的例子，這樣一來，你可以在網(wǎng)絡(luò)安全的框架內(nèi)看一看他們是如何實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估工作的。那好，讓我們來看一個(gè)在全國(guó)范圍內(nèi)汽車修理店的安全管理員是如何實(shí)現(xiàn)網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的。這個(gè)修理店的網(wǎng)絡(luò)主要維護(hù)員工的工作時(shí)間和出勤記錄以及用戶汽車修理信息。之所以需要與因特網(wǎng)的連接，是由于有電子郵件服務(wù)和網(wǎng)頁(yè)通信服務(wù)。汽車修理店完成的風(fēng)險(xiǎn)評(píng)估看起來如下所示：

判斷網(wǎng)絡(luò)的價(jià)值--如果網(wǎng)絡(luò)被刪除，修理師仍然可以修理汽車而且即使黑客知道了用戶的輪胎不在一條直線上，用戶不會(huì)感到痛苦。但是，如果沒有網(wǎng)絡(luò)，每個(gè)維修站每天需要花費(fèi)另外四個(gè)小時(shí)來計(jì)算時(shí)間和出勤情況。

定義威脅--除了環(huán)境威脅和內(nèi)部威脅外，最有可能存在的威脅來自黑客或者腳本編寫者。

判斷網(wǎng)絡(luò)在哪些地方容易受到攻擊--最容易受到攻擊的地方在于惡意Web流量和電子郵件所攜帶的病毒。

解決方案--最簡(jiǎn)單的解決方法也是成本最低的解決方案：在工作站上執(zhí)行防病毒解決方案并且在工作站上限制ActiveX、Java、以及腳本的運(yùn)行。另外，在網(wǎng)絡(luò)邊界上限制只允許http、https、DNS請(qǐng)求以及SMTP等方面的出站通信。進(jìn)站通信只允許已經(jīng)建立的通信、返回的DNS查詢以及SMTP等。

最后的思考
如果在你的責(zé)任范圍內(nèi)需要提供相應(yīng)的解決方案，那么采取相應(yīng)的行動(dòng)吧。如果這個(gè)解決方案涉及到價(jià)格問題，那么將這個(gè)解決方案提交給那個(gè)有財(cái)務(wù)決定權(quán)的人吧。但是不要期望你的經(jīng)理會(huì)使用一百萬美元的解決方案來保護(hù)他那價(jià)值只有5萬美元的數(shù)據(jù)和硬件。

在設(shè)計(jì)和管理一個(gè)安全的網(wǎng)絡(luò)時(shí)，風(fēng)險(xiǎn)管理過程是其中非常重要的一部分。在實(shí)施風(fēng)險(xiǎn)評(píng)估的過程中，你可能會(huì)發(fā)現(xiàn)你的網(wǎng)絡(luò)沒有得到充分保護(hù)，并且可能會(huì)發(fā)現(xiàn)還需要另外增加硬件、軟件或者對(duì)用戶進(jìn)行管理和（或者）培訓(xùn)，教會(huì)他們?nèi)绾芜M(jìn)行防護(hù)。至少，你的分析可以證明你正在通過全面檢查來保護(hù)你的網(wǎng)絡(luò)。