对风险管理的认识

“

”

摘要： 什么是网络信息系统的风险 ，在现有的条件下，网络信息系统的那些资产会出
现潜在的安全问题？对于一个特定资产，会出现什么安全上的弱点？弱点如果被利用，
会带来怎样的安全威胁？由潜在的安全威胁变成现实的安全事故，其发生的可能性有多
大？如果发生了安全事故，其造成的损失会多大？对这些问题的回答，实质上就是分析
风险，分析风险的目的是为了更好地管理风险。
关键词：风险，风险管理，风险管理的生命周期

风险管理是一门新兴的管理学科。风险管理从 1930 年代开始萌芽。风险管理最早起源

于美国，在 1930 年代，由于受到 1929－1933 年的世界性经济危机的影响，美国约有
40％左右的银行和企业破产，经济倒退了约 20 年。美国企业为应对经营上的危机，许多
大中型企业都在内部设立了保险管理部门，负责安排企业的各种保险项目。可见，当时的
风险管理主要依赖保险手段。

风险的含义风险和危险是不同的，风险包含着一种不确定性，每个结果的概率是可

知或可以估计的，而危险则只意味着一种不好的预兆。因此，有时虽然有危险存在，但不
一定要冒此风险，我们要想方设法去改变风险发生的条件，使之不发生，甚至带来转机。
综上所述，可以这样定义的风险：风险就是活动或事件消极的，人们不希望的后果发生
的潜在可能性。具体地说，风险一般应具备以下要素：（1）事件（不希望发生的变化）；
（2）事件发生具有不确定性；（3）风险的影响（后果）；（4）风险的原因。

风险和不确定性是我们很容易混淆的概念：不确定性是客观事物永远发展变化的客

观特性，是产生风险的原因。虽然风险和不确定性这两个概念经常互相使用，但它们并不
是一回事。不确定性仅仅考虑事件发生的肯定程度，而风险则要考虑事件发生后果的严重

 

程度。
不确定性在某些特定的情况下并不完全是坏事，关键要看不确定性是在向着我们希望的
方向发展，还是相反。再次说明，风险是针对不希望发生的事件而言的，它包括以下两个
方面：（1）发生的可能性；（2

 

）一旦发生，后果的严重程度。

 

不确定性分析

风险管理经常必须依赖于推测、猜想、不完全的数据和许多未经证实的假设。不确定

性分析试图记录这些内容以便更加明智地使用风险管理的结果。在风险管理过程中有两
个主要的不确定性来源：（1）风险管理模型或方法缺乏可信度和或精确性，及（2）缺
乏足够的信息来确定风险模型要素的确切值，如威胁的频率、安全措施的效率或结果。

风险管理

风险管理是评估风险、采取步骤将风险消减到可接受的水平并且维持这一风险级别

的过程。也许大家没有意识到，其实大家每天都在进行风险管理。像系安全带、预告有雨时
带伞或将事情记录下来以免遗忘，这些日常活动都能归入风险管理的范畴。人们会意识到
针对其利益的各种威胁，并采取预防措施进行防范或将其影响减到最小。

风险管理是识别风险评估风险以及采取步骤使风险减低到可接受范围内的过程。风险

管理让管理者在安全和经济成本之间寻求平衡，并最终通过对支持其机构业务的系统和
数据进行保护后获益。风险管理的目的是防止或减低破坏行为发生的可能性，以及减低或
限制当系统被破坏后后续的威胁。

我们所说的系统存在风险，是指系统在运行过程中有可能达不到预期的运行目标。对

于网络信息系统来说，由于不管采取怎样的安全措施，也不能够达到绝对的安全，所以