24h購物| | PChome| 登入
2012-06-15 14:48:21| 人氣72| 回應0 | 上一篇 | 下一篇

資安風險動態變化 管理策略需定期檢討

推薦 0 收藏 0 轉貼0 訂閱站台


* 你在乎網路的隱私權嗎?
*
你的資料還在裸奔嗎?
* 你擔心程式被竊取嗎?
*
你擔心機密文件被駭客入侵嗎?
*
資訊安全專家 - 正新電腦 - 將提供給您資訊保安的產品和服務。



臉書創辦人Mark Zuckerberg最近因股價大跌不止導致身價縮水,緊接著還要面對股東提起的相關訴訟,但其上市後面臨的挑戰恐怕不只是股價波動、股東訴訟等問題而已,面對廣大使用者的資訊安全,其資安風險管理可謂是重頭戲,但要對廣大用戶做到有效之資安風險管理其實不是件容易的事。

 

簡單來說,資安風險的管理與監控之所以難以具體達成百分之百成效,主要原因在於這些資安因子具有不確定性與不可預期性,即是所謂的「風險動態文化問題」。為解決不確定性、不可預期性及其他各種因子所造成風險複雜度升高,進而影響資安成效,許多資安系統會採用混合策略方法,以降低此類因子的威脅。許多方案在特殊領域擁有不錯的運作成效,但想要進一步模型化這些風險因子,恐怕不是想像中那樣容易,更別說要應用在Facebook此種廣泛基於網路社群的應用領域了。

 

風險具有動態文化  管理不能類推適用

風險是否相同有其可供評估的參考,其中不同事件的風險類似性,通常與風險因子的組成順序有關,因此在資安防禦策略上,分析風險類似性的喪失程度,在某些方面即意味著系統防禦能力的升級。對消費者而言,許多人對資安風險的存在並沒有深刻感受,原因在於資安風險大多是難以明顯舉證的事實狀態,其侵害具有持續性與擴大性,但不見得具有即時性,故一般人多會忽略自身資安風險的存在。

 

對許多專家而言,風險並沒有統一與明確的定義,不同領域專家對其所謂的風險有其自身領域之詮釋範圍。依據2002ISO/IEC風險管理指導手冊來看,風險指的是「一群可能會造成負面影響的事件集合」,任何嘗試予以定性、管理的行為,都被認為是將風險轉為不可預期與不確定性的涉入因素。事實上,要評估風險都有其考量之必要因素,尤其是資訊安全風險,其涉入的複雜度更高。

 

在資訊安全領域,風險依據其威脅與弱點的不同被分成數種等級,但令人困擾的是這種弱點與威脅乃與時俱進,具有人因演化的趨勢,因此不會有一套行之久遠、恆久不變的應對策略,每一種安全策略都應該定期被檢討,並具備隨時應對應變的策略制定能力。換句話說,縱使風險具有類似性,管理策略也不見得可以類推適用,其主要的關鍵因素在於風險具有動態文化,其會隨著社會、文化、政經環境等因素,而出現不同的不確定性因子,導致相似的管理策略未必都能奏效。


為樽節資安風險管理成本,不少學者嘗試將風險模組化,有的施以專家系統概念(例如:L.S.A. GordenI. Belik等人)、有的利用fuzzy推論方式…等,雖然每一種方法在特定領域裡面都表現得不錯,但事實是,每一種方法都有其文化背景與評估的方式,無法適用於其他種類的評估領域。正如前述,風險模組化的最大困難在於「風險動態文化(dynamic culture of risk)」的問題,此正呼應前述的風險具有人因演化的趨勢。


友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=13&aid=6843


SafeNet資訊安全保護鎖系列  , 歡迎來電借測 !

正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。


更多產品資訊來源 : www.pronew.com.tw

正新電腦   TEL : 04-2473-8309





台長: 正新電腦 - 軟體加密保護專家
人氣(72) | 回應(0)| 推薦 (0)| 收藏 (0)| 轉寄
全站分類: 不分類 | 個人分類: 資訊安全新聞 |
此分類下一篇:印表機印不停 小心病毒在作祟
此分類上一篇:2012趨勢發展 資安進入新的威脅紀元
TOP
詳全文