信息安全领域内的风险损失价值估算

最近一直在跟很多IT的兄弟谈信息安全的问题，讨论的内容有很多，技术的、管理的、发展方向的，但有一件事大家都很明确：针对国内的企业现状，信息安全在各个企业中得到的重视程度都不够。

要加强信息安全，无论是管理手段，技术手段或者物理手段，仅靠IT人去推动都会显的十分困难，连CISSP指南里都说过，信息安全一定要执行层面的领导亲自关注并带头推动，才能有较好的效果。

那么如何劝说领导对信息安全加大投入并关注，有两种方法是最有效的，一种是合规性，如果信息安全不合规，会引申出一系列的问题，在中国通常是主管部门的安全审计不合格，企业管理层会负上领导责任，这种情况下，推动安全系统的投入比较好办一点。还有就是经历过痛苦的，由于信息安全管理不善，造成了数据资产的损失，直接带来经济上的损失或者无形资产上的损失，领导终于下了狠话要把安全抓上来，这个属于亡羊补牢的。

在国际上有很多比较成熟的法规要求企业在经营活动当中，对信息安全和个人隐私提供必要的保护，如著名的HIPA法案，PCI DSS等。中国也有这方面的一些规范，但目前执行力度不是很严也没有强制的要求，除了军工、政府、机要等行政上有要求的，商业企业的信息安全管理普遍较弱，在这些企业里，要提高管理层对信息安全的认识还有一种方法可以使用，就是把风险量化了，用金钱价值来衡量数据资产损坏或丢失带来损失。当领导对抽象的数据风险，IT风险不太容易理解的时候，这也不失为一个较好的方法。

将IT风险量化并不是一件很难的事，目前有较好的价值估算模型可以使用，难就难在量化的过程当中，对事件发生概率的估计和事件造成损失的比率的定量性估算，这些关键点需要有实际工作经验的老手进行合理的评估并给出。

以下举例说明风险损失的价值估算

以某CRM系统为例，某公司的客户信息，价格信息产品信息等，全部存于公司的CRM系统当中，公司这些资讯的价值为100万元。

如果系统受到***，数据造成泄漏或损坏，那么信息损失为80万元，重建并恢复需10万元，那么单一可预见损失（Single Loss Expectancy） 

SLE=80万+10万=90万元，也就是说，一旦信息安全问题发生在CRM上，可预见的损失额为90万元，针对总价值100万元，那么这一事件的风险因子就是90/100=0.9（Exposure Factor）

然而对系统的***并不是每时每刻都在发生，即便CRM系统目前处于弱保护状态中，有经验的IT管理人员评估大约每三年才会有一次较强***并造成上述的损失。那么该风险的年度发生率ARO（Annualized Rate of Occurrence）就是1/3,约为33.33%。

针对该风险，年度可预见损失ALE (Annual Loss Expectancy)=SLE*ARO=90万*33.33%，约为30万元。

好了，有了上述的基本概念，那么我们如果要上一套安全防护系统，比如说是应用级的防火墙，设备设计寿命5年，共花费采购费用20万和5年的维护费用5万共计25万元，每年的花费为25/5=5万元，每年花费5万元，预期减少风险30万元，该防火墙对公司的价值贡献为25万元。

以上仅是一简单的计算举例，将风险概念量化并评估的计算过程，虽然简单但可以提供将抽象概念价值化的手段。在其它的风险评估模型中，也有定性的分析方法，比如将风险评估为红色、黑色等级别，或者标示为高危、一般等等分析的方法，比如著名的Delphi技术法。

参考资料《CISSP All in one exam guide》