信息安全領域內的風險損失價值估算

最近一直在跟很多IT的兄弟談信息安全的問題，討論的內容有很多，技術的、管理的、發展方向的，但有一件事大家都很明確：針對國內的企業現狀，信息安全在各個企業中得到的重視程度都不夠。

要加強信息安全，無論是管理手段，技術手段或者物理手段，僅靠IT人去推動都會顯的十分困難，連CISSP指南里都說過，信息安全一定要執行層面的領導親自關注并帶頭推動，才能有較好的效果。

那么如何勸說領導對信息安全加大投入并關注，有兩種方法是最有效的，一種是合規性，如果信息安全不合規，會引申出一系列的問題，在中國通常是主管部門的安全審計不合格，企業管理層會負上領導責任，這種情況下，推動安全系統的投入比較好辦一點。還有就是經歷過痛苦的，由于信息安全管理不善，造成了數據資產的損失，直接帶來經濟上的損失或者無形資產上的損失，領導終于下了狠話要把安全抓上來，這個屬于亡羊補牢的。

在國際上有很多比較成熟的法規要求企業在經營活動當中，對信息安全和個人隱私提供必要的保護，如著名的HIPA法案，PCI DSS等。中國也有這方面的一些規范，但目前執行力度不是很嚴也沒有強制的要求，除了軍工、政府、機要等行政上有要求的，商業企業的信息安全管理普遍較弱，在這些企業里，要提高管理層對信息安全的認識還有一種方法可以使用，就是把風險量化了，用金錢價值來衡量數據資產損壞或丟失帶來損失。當領導對抽象的數據風險，IT風險不太容易理解的時候，這也不失為一個較好的方法。

將IT風險量化并不是一件很難的事，目前有較好的價值估算模型可以使用，難就難在量化的過程當中，對事件發生概率的估計和事件造成損失的比率的定量性估算，這些關鍵點需要有實際工作經驗的老手進行合理的評估并給出。

以下舉例說明風險損失的價值估算

以某CRM系統為例，某公司的客戶信息，價格信息產品信息等，全部存于公司的CRM系統當中，公司這些資訊的價值為100萬元。

如果系統受到***，數據造成泄漏或損壞，那么信息損失為80萬元，重建并恢復需10萬元，那么單一可預見損失（Single Loss Expectancy） 

SLE=80萬+10萬=90萬元，也就是說，一旦信息安全問題發生在CRM上，可預見的損失額為90萬元，針對總價值100萬元，那么這一事件的風險因子就是90/100=0.9（Exposure Factor）

然而對系統的***并不是每時每刻都在發生，即便CRM系統目前處于弱保護狀態中，有經驗的IT管理人員評估大約每三年才會有一次較強***并造成上述的損失。那么該風險的年度發生率ARO（Annualized Rate of Occurrence）就是1/3,約為33.33%。

針對該風險，年度可預見損失ALE (Annual Loss Expectancy)=SLE*ARO=90萬*33.33%，約為30萬元。

好了，有了上述的基本概念，那么我們如果要上一套安全防護系統，比如說是應用級的防火墻，設備設計壽命5年，共花費采購費用20萬和5年的維護費用5萬共計25萬元，每年的花費為25/5=5萬元，每年花費5萬元，預期減少風險30萬元，該防火墻對公司的價值貢獻為25萬元。

以上僅是一簡單的計算舉例，將風險概念量化并評估的計算過程，雖然簡單但可以提供將抽象概念價值化的手段。在其它的風險評估模型中，也有定性的分析方法，比如將風險評估為紅色、黑色等級別，或者標示為高危、一般等等分析的方法，比如著名的Delphi技術法。

參考資料《CISSP All in one exam guide》