在業(yè)務(wù)連續(xù)性管理工作中,所謂知己知彼,即是要通過分析本單位的情況,識別出影響信息系統(tǒng)正常運行的關(guān)鍵點,確定業(yè)務(wù)連續(xù)性管理目標,采取針對性應(yīng)對策略,從而保障系統(tǒng)的持續(xù)穩(wěn)定運行。
對于教育行業(yè)單位而言,在業(yè)務(wù)影響性分析、風險評估等分析本單位信息系統(tǒng)情況的方法之中,往往風險評估的難度更大,而風險評估中識別風險的關(guān)鍵過程就是風險分析。教育行業(yè)單位在梳理信息系統(tǒng)中存在的安全風險點時,由于現(xiàn)在的教學管理、行政辦公、門戶網(wǎng)站、在線課堂等信息系統(tǒng)規(guī)模越發(fā)龐大,業(yè)務(wù)流程、功能模塊等各種資產(chǎn)間的關(guān)聯(lián)關(guān)系復(fù)雜,如我?,F(xiàn)有十余套信息系統(tǒng),數(shù)十臺服務(wù)器及網(wǎng)絡(luò)和存儲設(shè)備,使得對信息系統(tǒng)進行風險分析的困難性大大增加。因此,本文將結(jié)合我校研究風險分析的實踐經(jīng)驗,探索對復(fù)雜信息系統(tǒng)進行風險分析的有效方法,為確立業(yè)務(wù)連續(xù)性管理工作目標奠定基礎(chǔ)。
在風險分析中,“自底向上”和“自頂向下”是兩種最為基本的分析方法。
自底向上的分析方法是從組成信息系統(tǒng)的資產(chǎn)粒度入手,分析資產(chǎn)價值、自身脆弱性和外部威脅,評估資產(chǎn)存在的風險,進而根據(jù)信息系統(tǒng)中各資產(chǎn)的關(guān)聯(lián)關(guān)系,逐步分析單個資產(chǎn)風險——局部風險——整體風險,從而完成對整個信息系統(tǒng)風險的分析。需要預(yù)先明確系統(tǒng)的相關(guān)信息。
自頂向下的分析方法是從系統(tǒng)頂層的事件現(xiàn)象入手,分析導(dǎo)致事件現(xiàn)象的各種可能組合方式,由總體至局部,逐層向下細化查找導(dǎo)致事件的原因?!肮收蠘洹奔词且环N典型的自頂向下的風險分析方法,通過對可能造成系統(tǒng)故障的硬件、軟件、環(huán)境、人為因素進行分析,由總體至部分,采取樹形圖的形式,把系統(tǒng)的故障與組成系統(tǒng)部件的故障有機地結(jié)合在一起。
隨著信息技術(shù)的發(fā)展,信息系統(tǒng)的規(guī)模和復(fù)雜性都不斷增加,單位內(nèi)也會劃分不同職責的信息管理人員,具體承擔如網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等不同的專業(yè)性管理工作。對整個信息系統(tǒng)運行風險的了解,由這些不同職責員工的專業(yè)知識共同組成,想要全面了解信息系統(tǒng)的風險,就需按照“全員參與”的原則開展風險分析工作。而如何發(fā)動不同職責的員工參加,使其能從其職責所在的專業(yè)領(lǐng)域分析并提出風險,也是除如何運用上節(jié)所述兩種分析方法之外,在風險分析中面臨的另一問題。
在探索對復(fù)雜信息系統(tǒng)進行風險分析的過程中,我校根據(jù)現(xiàn)有系統(tǒng)內(nèi)部關(guān)聯(lián)關(guān)系復(fù)雜的特點,以“自頂向下”的方法入手,結(jié)合信息管理職責劃分,構(gòu)建類似故障樹的結(jié)構(gòu),頂層為應(yīng)用系統(tǒng)的風險,樹的枝干分為不同類別的風險,包括中間件系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、服務(wù)器系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、機房環(huán)境等。根據(jù)各類組件在信息系統(tǒng)中的作用和地位,梳理各類別風險間的邏輯關(guān)系,信息系統(tǒng)中的風險關(guān)系可如圖1所示。同時,在將整體風險劃分為較小范疇之后,在對各類別風險的分析中,采用以“自底向上”的方法為主,以幫助發(fā)現(xiàn)更多導(dǎo)致上層現(xiàn)象的原因,形成“自底向上”對“自頂向下”方法的補充。
圖1 信息系統(tǒng)整體風險關(guān)系圖
根據(jù)信息管理職責的劃分,各類別的運行風險由相應(yīng)信息管理人員負責,如硬件管理員負責主機風險,軟件管理員負責應(yīng)用風險,由于應(yīng)用系統(tǒng)間往往存在數(shù)據(jù)交互和依賴關(guān)系,因此在分析應(yīng)用風險時,還需特別注意梳理不同應(yīng)用系統(tǒng)間的上下游關(guān)系。
在進一步調(diào)動相關(guān)信息管理人員進行風險分析工作,細化各層次、各應(yīng)用系統(tǒng)風險間的關(guān)系時,就會涉及到梳理復(fù)雜邏輯關(guān)系的問題。同時,由于各層專業(yè)技能領(lǐng)域和關(guān)注重點的不同,也會導(dǎo)致不同崗位分析風險時存在不同視角,如主機層面的主板故障,在主機管理員看到的問題原因是主板故障,導(dǎo)致的后果是基于該主機的操作系統(tǒng)不可用;而應(yīng)用管理員看到的原因只是操作系統(tǒng)不可用,后果是應(yīng)用系統(tǒng)無法對外提供服務(wù)。因此,需要將不同崗位的分析結(jié)果有效關(guān)聯(lián)起來,才能形成較好的風險分析結(jié)果。
在探索解決這一難題的過程中,基于圖1所示的風險層次關(guān)系,筆者高校風險分析實踐的整體思路如下:
1.每層梳理本層所依賴的下層對象,可能是下層基礎(chǔ)設(shè)施或其他應(yīng)用系統(tǒng)等,并提出對下層服務(wù)的要求。
2.每層分析本層存在的風險,包括以下兩類風
險:所依賴的下層對象暴露的風險、本層存在的風險。
3.每層積極應(yīng)對本層風險及下層暴露的風險,相應(yīng)管理人員在系統(tǒng)的規(guī)劃設(shè)計和建設(shè)運維各階段,采取轉(zhuǎn)移、減輕、規(guī)避、接受等風險應(yīng)對措施。對于在本層無法屏蔽的風險,應(yīng)向上層暴露,由上層統(tǒng)籌考慮應(yīng)對解決。
4.對于下層暴露出的風險,上層應(yīng)重視并判斷其對自身產(chǎn)生的影響,采取相應(yīng)的風險應(yīng)對措施。若作為頂層的應(yīng)用層也無法解決的風險,即為信息系統(tǒng)對外暴露的風險,將需要從業(yè)務(wù)管理上考慮應(yīng)對措施并在應(yīng)急預(yù)案中體現(xiàn)。同時,上層將會對自身造成影響的下層風險歸納總結(jié)到對下層的服務(wù)要求中,促進梳理上下層邏輯關(guān)系工作的不斷細化和完善。
從全局來看,這是一個由點到面的過程,通過這一系列相對獨立的流程,將風險分析工作分解,調(diào)動全員參與。這種分析方式的優(yōu)點在于每個人可以更專注于在自己的職責范圍開展風險分析,提高風險分析的專業(yè)性和覆蓋面。隨著分析深度逐步的開展,最終能夠?qū)⒏髀毮軑徫魂P(guān)聯(lián)起來,逐級展現(xiàn)盡可能全面的風險。
同時,在完成較為健全的風險分析工作后,借助自底向上方法的補充,從而構(gòu)建更為完整的故障樹,在事件發(fā)生時能更快地由現(xiàn)象定位到原因,從而提高解決事件的效率,減少對業(yè)務(wù)的影響。
在實際工作中,這種方式也會存在一些問題,由于上下層間涉及工作崗位的劃分,如果某崗位上的人員無法準確描述所依賴的資源,如對所依賴的資源提出過高的要求,期望服務(wù)器永遠不故障、供電永遠不中斷等等,那么就可能導(dǎo)致風險分析無法細化,出現(xiàn)遺漏風險等問題。對于此類問題的解決,一方面可通過下層向上層暴露風險的過程進行補充,促進上層對下層依賴關(guān)系的梳理。另一方面,強化對所有相關(guān)信息管理人員的風險意識教育也是非常重要的一個環(huán)節(jié),通過風險意識教育,讓相關(guān)管理人員認識到風險管理是其崗位職責的重要組成部分,避免出現(xiàn)因職責或工作界面不清晰導(dǎo)致上下層工作造成脫節(jié),盡可能避免風險盲區(qū)的出現(xiàn)。
信息系統(tǒng)中各對象間的邏輯關(guān)系梳理是風險分析中的關(guān)鍵難點之一,高校結(jié)合開展IT配置管理工作經(jīng)驗,探索通過梳理配置單元間的邏輯關(guān)系,以提高風險分析中資產(chǎn)識別的深度和廣度。
按照風險分析的思路,進行自底向上的風險分析時,第一步工作都是識別資產(chǎn),在各層次內(nèi)的資產(chǎn)類型又有所不同,如應(yīng)用層的資產(chǎn)表現(xiàn)為功能模塊、系統(tǒng)進程等,主機層的資產(chǎn)表現(xiàn)為服務(wù)器、虛擬機、操作系統(tǒng)等,而這些資產(chǎn)在配置管理的概念中,都可作為不同級別的配置項。按照配置管理的理念,梳理各配置項間的關(guān)系并將其存儲在配置管理數(shù)據(jù)庫中,是一項重要的基礎(chǔ)工作。
因此,風險分析可以借助于配置管理,根據(jù)配置管理數(shù)據(jù)庫中記錄的配置項信息及關(guān)聯(lián)關(guān)系,一方面在單位內(nèi)部復(fù)用資源,提高工作效率;另一方面,也可以增進對配置項及關(guān)聯(lián)關(guān)系的了解,提高風險分析的準確性。
在開展風險分析實踐中,筆者高校嘗試結(jié)合使用“自頂向下”和“自底向上”兩種風險分析方法作為互補,并根據(jù)崗位職責劃分,調(diào)動相關(guān)信息管理人員共同參與到上下游的風險分析中。同時利用配置管理工具,促進資產(chǎn)識別能力的提高,以增強風險分析效率和準確性。
今后風險分析工作,借助于信息管理知識庫和配置管理庫,隨著管理數(shù)據(jù)的不斷積累,對信息系統(tǒng)風險分析的支持也將得到不斷增強,如信息系統(tǒng)運行過程中遇到的問題可與配置管理數(shù)據(jù)庫中的配置項進行關(guān)聯(lián),在進行風險分析時,通過相關(guān)事件級別、數(shù)量和原因等詳細信息的記錄,將有助于量化分析信息系統(tǒng)所面臨的威脅、自身的脆弱性,進而更科學地量化評估安全風險。