SOA 与信息风险管理

Clive Gee ，IBM 资深 SOA 从业者，在 SOA Magazine 中探讨了 IT 信息安全是如何发展到他所谓的信息风险管理这一阶段的。随着合作空间的扩张、应用整合以及面向服务的系统，他分析了面对日益提升的威胁及脆弱点的风险管理。

在 SOA 使得信息资产能更容易地暴露给更广泛的受众的同时，它也增加了信息资产相关的风险。虽然这对于业务运作带来了价值，同时也为安全和风险管理人员带来了更多的担忧。SOA 治理团队和风险管理团队合作对（SOA 带来或激化的）风险进行评估变得非常关键。

进行风险管理需要识别脆弱点、威胁、潜在的风险表现形式以及风险发生时所产生的影响，并最终做出避免、接受、减轻或转移风险的决定。风险管理人员必须权衡风险发生时可能发生的成本和对风险及相关机会成本进行管理所需的成本。

通过对威胁和脆弱点的深入观察，他提醒人们，缺乏适当的保护可能会造成信息破坏。

……信息正面临着由于缺乏合适控制或者犯罪活动而引发的向未授权方暴露的危险。如果信息遭到破坏，那么业务便利和信息的广泛共享所带来的益处就会被很快抵消。 风险管理的一部分工作应当包括识别“哪些信息易于受到攻击”和“它们面临的潜在攻击”并对它们进行编目。一旦完成了威胁的编目，我们就可对它们进行评估并根据其发生的可能性和潜在的影响进行分类。

他将脆弱点归类成：

• 知识产权（IP）——……取决于公司业务的自然特性，IP 指的是公司最有价值的，或至少对其市场竞争起重大影响的资产。
• 管理合规——……确保组织符合相关法律和条例（或对被抓住违法时所受的处罚和实施控制所需的成本进行管理）……违反这些条例可能会造成重大罚单、制裁和商业机会的丢失。
• 业务关系——在当今的经济社会中，信息是 B2B 和 B2C 关系的核心。企业必须确保客户的私有信息与经济数据，必须既安全又经济地在业务伙伴间交换信息。

……威胁可归类成：

• 自然威胁——台风、洪水和地震等。
• 环境威胁——电力故障、水资源破坏和污染等。
• 人为威胁——商业间谍、病毒感染和 DOS 攻击等。

接着，他列举了风险管理方面的一些顾虑，探讨了在企业架构的各级别上减轻风险的多个框架与流程，如应用层的私密性、认证和授权等，保护物理设备免受非法访问，多种开发流程和运维流程。他建议通过安全分类模型建立不同级别的安全管理，如将信息划分为公共信息、敏感信息、私密信息、私有信息等，他还建议将流程作为信息风险管理的一部分，与策略和合规框架一起建立控制机制。他推荐的控制类型有：

[…]

• 管理控制——定义和维护治理信息风险的策略、过程、标准和指导原则。

• 运维控制——实施并加强管理控制。

• 审计控制——确保遵守管理控制以及运维控制的有效性。

• 业务持续性和灾难恢复——确保在电力故障、自然灾害或其他类似灾难发生时保持业务的运行是业务持续性工作的目标。

[…]

Clive 重申此类项目 / 投资成功的关键需要组织结构内相关干系人的买账，若没有组织的支持，风险减轻措施是不可能成功实施的。“一旦我们理解了信息风险管理”，他说，“以及处理风险所需的措施，我们还必须确保组织结构一定会切实执行这些措施”。

如多数大型项目一样，组织的总监和执行委员会必须支持并资助风险管理部门。他们必须确保风险管理策略和过程与总体业务目标和战略一致。

他在总结文章时强调，随着组织结构的调整，如员工升迁、调动和离职等事件发生时，有必要重新评估信息访问控制权限并采取合适的行动。

原文发布在在线SOA 杂志上。请务必去读一读原文并分享你自己的经验。

查看英文原文： SOA and Information Risk Management