高校中的信息安全風險

在業(yè)務(wù)連續(xù)性管理工作中，所謂知己知彼，即是要通過分析本單位的情況，識別出影響信息系統(tǒng)正常運行的關(guān)鍵點，確定業(yè)務(wù)連續(xù)性管理目標，采取針對性應(yīng)對策略，從而保障系統(tǒng)的持續(xù)穩(wěn)定運行。

對于教育行業(yè)單位而言，在業(yè)務(wù)影響性分析、風險評估等分析本單位信息系統(tǒng)情況的方法之中，往往風險評估的難度更大，而風險評估中識別風險的關(guān)鍵過程就是風險分析。教育行業(yè)單位在梳理信息系統(tǒng)中存在的安全風險點時，由于現(xiàn)在的教學管理、行政辦公、門戶網(wǎng)站、在線課堂等信息系統(tǒng)規(guī)模越發(fā)龐大，業(yè)務(wù)流程、功能模塊等各種資產(chǎn)間的關(guān)聯(lián)關(guān)系復(fù)雜，如我?，F(xiàn)有十余套信息系統(tǒng)，數(shù)十臺服務(wù)器及網(wǎng)絡(luò)和存儲設(shè)備，使得對信息系統(tǒng)進行風險分析的困難性大大增加。因此，本文將結(jié)合我校研究風險分析的實踐經(jīng)驗，探索對復(fù)雜信息系統(tǒng)進行風險分析的有效方法，為確立業(yè)務(wù)連續(xù)性管理工作目標奠定基礎(chǔ)。

在風險分析中，“自底向上”和“自頂向下”是兩種最為基本的分析方法。

自底向上的分析方法是從組成信息系統(tǒng)的資產(chǎn)粒度入手，分析資產(chǎn)價值、自身脆弱性和外部威脅，評估資產(chǎn)存在的風險，進而根據(jù)信息系統(tǒng)中各資產(chǎn)的關(guān)聯(lián)關(guān)系，逐步分析單個資產(chǎn)風險——局部風險——整體風險，從而完成對整個信息系統(tǒng)風險的分析。需要預(yù)先明確系統(tǒng)的相關(guān)信息。

自頂向下的分析方法是從系統(tǒng)頂層的事件現(xiàn)象入手，分析導(dǎo)致事件現(xiàn)象的各種可能組合方式，由總體至局部，逐層向下細化查找導(dǎo)致事件的原因?！肮收蠘洹奔词且环N典型的自頂向下的風險分析方法，通過對可能造成系統(tǒng)故障的硬件、軟件、環(huán)境、人為因素進行分析，由總體至部分，采取樹形圖的形式，把系統(tǒng)的故障與組成系統(tǒng)部件的故障有機地結(jié)合在一起。

風險分析整體思路

隨著信息技術(shù)的發(fā)展，信息系統(tǒng)的規(guī)模和復(fù)雜性都不斷增加，單位內(nèi)也會劃分不同職責的信息管理人員，具體承擔如網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等不同的專業(yè)性管理工作。對整個信息系統(tǒng)運行風險的了解，由這些不同職責員工的專業(yè)知識共同組成，想要全面了解信息系統(tǒng)的風險，就需按照“全員參與”的原則開展風險分析工作。而如何發(fā)動不同職責的員工參加，使其能從其職責所在的專業(yè)領(lǐng)域分析并提出風險，也是除如何運用上節(jié)所述兩種分析方法之外，在風險分析中面臨的另一問題。

在探索對復(fù)雜信息系統(tǒng)進行風險分析的過程中，我校根據(jù)現(xiàn)有系統(tǒng)內(nèi)部關(guān)聯(lián)關(guān)系復(fù)雜的特點，以“自頂向下”的方法入手，結(jié)合信息管理職責劃分，構(gòu)建類似故障樹的結(jié)構(gòu)，頂層為應(yīng)用系統(tǒng)的風險，樹的枝干分為不同類別的風險，包括中間件系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、服務(wù)器系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、機房環(huán)境等。根據(jù)各類組件在信息系統(tǒng)中的作用和地位，梳理各類別風險間的邏輯關(guān)系，信息系統(tǒng)中的風險關(guān)系可如圖1所示。同時，在將整體風險劃分為較小范疇之后，在對各類別風險的分析中，采用以“自底向上”的方法為主，以幫助發(fā)現(xiàn)更多導(dǎo)致上層現(xiàn)象的原因，形成“自底向上”對“自頂向下”方法的補充。

圖1 信息系統(tǒng)整體風險關(guān)系圖

根據(jù)信息管理職責的劃分，各類別的運行風險由相應(yīng)信息管理人員負責，如硬件管理員負責主機風險，軟件管理員負責應(yīng)用風險，由于應(yīng)用系統(tǒng)間往往存在數(shù)據(jù)交互和依賴關(guān)系，因此在分析應(yīng)用風險時，還需特別注意梳理不同應(yīng)用系統(tǒng)間的上下游關(guān)系。

在進一步調(diào)動相關(guān)信息管理人員進行風險分析工作，細化各層次、各應(yīng)用系統(tǒng)風險間的關(guān)系時，就會涉及到梳理復(fù)雜邏輯關(guān)系的問題。同時，由于各層專業(yè)技能領(lǐng)域和關(guān)注重點的不同，也會導(dǎo)致不同崗位分析風險時存在不同視角，如主機層面的主板故障，在主機管理員看到的問題原因是主板故障，導(dǎo)致的后果是基于該主機的操作系統(tǒng)不可用；而應(yīng)用管理員看到的原因只是操作系統(tǒng)不可用，后果是應(yīng)用系統(tǒng)無法對外提供服務(wù)。因此，需要將不同崗位的分析結(jié)果有效關(guān)聯(lián)起來，才能形成較好的風險分析結(jié)果。

在探索解決這一難題的過程中，基于圖1所示的風險層次關(guān)系，筆者高校風險分析實踐的整體思路如下：

1.每層梳理本層所依賴的下層對象，可能是下層基礎(chǔ)設(shè)施或其他應(yīng)用系統(tǒng)等，并提出對下層服務(wù)的要求。

2.每層分析本層存在的風險，包括以下兩類風

險:所依賴的下層對象暴露的風險、本層存在的風險。

3.每層積極應(yīng)對本層風險及下層暴露的風險，相應(yīng)管理人員在系統(tǒng)的規(guī)劃設(shè)計和建設(shè)運維各階段，采取轉(zhuǎn)移、減輕、規(guī)避、接受等風險應(yīng)對措施。對于在本層無法屏蔽的風險，應(yīng)向上層暴露，由上層統(tǒng)籌考慮應(yīng)對解決。

4.對于下層暴露出的風險，上層應(yīng)重視并判斷其對自身產(chǎn)生的影響，采取相應(yīng)的風險應(yīng)對措施。若作為頂層的應(yīng)用層也無法解決的風險，即為信息系統(tǒng)對外暴露的風險，將需要從業(yè)務(wù)管理上考慮應(yīng)對措施并在應(yīng)急預(yù)案中體現(xiàn)。同時，上層將會對自身造成影響的下層風險歸納總結(jié)到對下層的服務(wù)要求中，促進梳理上下層邏輯關(guān)系工作的不斷細化和完善。

從全局來看，這是一個由點到面的過程，通過這一系列相對獨立的流程，將風險分析工作分解，調(diào)動全員參與。這種分析方式的優(yōu)點在于每個人可以更專注于在自己的職責范圍開展風險分析，提高風險分析的專業(yè)性和覆蓋面。隨著分析深度逐步的開展，最終能夠?qū)⒏髀毮軑徫魂P(guān)聯(lián)起來，逐級展現(xiàn)盡可能全面的風險。

同時，在完成較為健全的風險分析工作后，借助自底向上方法的補充，從而構(gòu)建更為完整的故障樹，在事件發(fā)生時能更快地由現(xiàn)象定位到原因，從而提高解決事件的效率，減少對業(yè)務(wù)的影響。

在實際工作中，這種方式也會存在一些問題，由于上下層間涉及工作崗位的劃分，如果某崗位上的人員無法準確描述所依賴的資源，如對所依賴的資源提出過高的要求，期望服務(wù)器永遠不故障、供電永遠不中斷等等，那么就可能導(dǎo)致風險分析無法細化，出現(xiàn)遺漏風險等問題。對于此類問題的解決，一方面可通過下層向上層暴露風險的過程進行補充，促進上層對下層依賴關(guān)系的梳理。另一方面，強化對所有相關(guān)信息管理人員的風險意識教育也是非常重要的一個環(huán)節(jié)，通過風險意識教育，讓相關(guān)管理人員認識到風險管理是其崗位職責的重要組成部分，避免出現(xiàn)因職責或工作界面不清晰導(dǎo)致上下層工作造成脫節(jié)，盡可能避免風險盲區(qū)的出現(xiàn)。

增強資產(chǎn)識別能力的實踐

信息系統(tǒng)中各對象間的邏輯關(guān)系梳理是風險分析中的關(guān)鍵難點之一，高校結(jié)合開展IT配置管理工作經(jīng)驗，探索通過梳理配置單元間的邏輯關(guān)系，以提高風險分析中資產(chǎn)識別的深度和廣度。

按照風險分析的思路，進行自底向上的風險分析時，第一步工作都是識別資產(chǎn)，在各層次內(nèi)的資產(chǎn)類型又有所不同，如應(yīng)用層的資產(chǎn)表現(xiàn)為功能模塊、系統(tǒng)進程等，主機層的資產(chǎn)表現(xiàn)為服務(wù)器、虛擬機、操作系統(tǒng)等，而這些資產(chǎn)在配置管理的概念中，都可作為不同級別的配置項。按照配置管理的理念，梳理各配置項間的關(guān)系并將其存儲在配置管理數(shù)據(jù)庫中，是一項重要的基礎(chǔ)工作。

因此，風險分析可以借助于配置管理，根據(jù)配置管理數(shù)據(jù)庫中記錄的配置項信息及關(guān)聯(lián)關(guān)系，一方面在單位內(nèi)部復(fù)用資源，提高工作效率；另一方面，也可以增進對配置項及關(guān)聯(lián)關(guān)系的了解，提高風險分析的準確性。

總結(jié)及展望

在開展風險分析實踐中，筆者高校嘗試結(jié)合使用“自頂向下”和“自底向上”兩種風險分析方法作為互補，并根據(jù)崗位職責劃分，調(diào)動相關(guān)信息管理人員共同參與到上下游的風險分析中。同時利用配置管理工具，促進資產(chǎn)識別能力的提高，以增強風險分析效率和準確性。

今后風險分析工作，借助于信息管理知識庫和配置管理庫，隨著管理數(shù)據(jù)的不斷積累，對信息系統(tǒng)風險分析的支持也將得到不斷增強，如信息系統(tǒng)運行過程中遇到的問題可與配置管理數(shù)據(jù)庫中的配置項進行關(guān)聯(lián)，在進行風險分析時，通過相關(guān)事件級別、數(shù)量和原因等詳細信息的記錄，將有助于量化分析信息系統(tǒng)所面臨的威脅、自身的脆弱性，進而更科學地量化評估安全風險。