· 公众号:业务连续性+ 原文链接 ↗

网络安全和业务连续性管理·业务连续性问与答·Q7

问题:当我们谈安全时,我们谈些什么? 当我们谈风险时,我们谈些什么? 当我们谈韧性时,我们谈些什么?

简答: 一定程度上讲,风险管理、安全管理、韧性管理描述的是同样的一系列活动,但 风险视角侧重于我们会遇到什么(情景),安全视角侧重于我们做什么(任务),而韧性(反脆弱性)视角则侧重于目标(目标能力) 。下面详细回答。

终于到了这个问题:“当我谈……时,我谈些什么”,先向下图中的大神致敬。

配图

配图

“ 风险-灾害(突发事件)-危机”连续统

为回答这个问题,我把数万字的安全生产、应急管理、风险管理、业务连续性管理、危机管理和网络安全的资料分词统频,得到了如下的词云图:

配图

安全相关领域的常用词汇

如果更换一下输入的文本,我们应该会得到一幅不同的词云图,但可以想见,高频词部分重复度应比较高。也就是说, 当我们谈安全时,我们谈的是这些:应急、管理、预案、政府、突发事件、事故、处置、灾害、停电、…… ,关联到的概念、名词太多了。

但张海波研究了公共安全领域的众多概念及及相互关联后,用“ 风险-灾害(突发事件)-危机”连续统 描述了其中最主要几个概念:风险、突发事件(灾害)、危机之间的结构关系,如下图:

配图

风险、突发事件(灾害)、危机之间的逻辑关系

其中,“突发事件”扩展了“灾害”的内涵,也没影响它与风险、危机之间的逻辑关联。就风险与危机之间的逻辑关联而言,风险是一种可以引发大规模损失的不确定性,其本质是一种未发生的可能性;危机则是指某种损失所引发的政治、社会等后果、其本质是一种已发生的事实。因此,风险在前,危机在后,二者之间存在着因果关系,造成危机后果的根本原因是风险,并有如下研究推论:

推论1:风险的性质决定的危机的性质。 在现实中,风险与危机的因果关系有两种表现:(1) 某一起特定的大规模的突发事件可以使风险与危机之间潜在的因果关系显性化,这是风险与危机之间隐性因果关系的集中暴露,因而容易引起社会关注;(2) 多起不明显的小规模的突发事件逐渐使风险与危机之间潜在的因果关系显性化,这是风险与危机之间隐性因果关系的缓慢释放,因而不易为人们所觉察。这两种由风险到危机的不同路径,正好对应于西方学界关于危机的一般分型:急性危机(instant crisis)和慢性危机(creeping crisis)。 推论2:引发危机的根本原因是风险,而非突发事件。 推论3:风险的真正后果是危机,而非突发事件。 在这个对称性的因果链条图中,突发事件离风险、危机的距离远近所具有了解释意义:突发事件与风险之间的距离可以解释为风险积累的程度,离风险的距离越远,风险积累的程度越深;突发事件与危机之间的距离可以解释为危机的严重程度,离危机的距离越远,危机的严重程度越低。 推论4:风险积累的程度越深,危机的严重程度越高;风险积累的程度越浅,危机的严重程度越低;风险积累越深,突发事件本身的后果越大。 推论5:突发事件的属性受制于风险的属性。 在风险已被系统制造出来的前提下,突发事件本身也是一种风险的消减,它起到了社会学冲突意义的“安全阀”或“减震器”作用。从这个角度来看,突发事件既是坏事,也是好事。

在了解了风险、安全和危机的逻辑关系后,下面我们分别探讨风险、安全和韧性。

  1. 风险是什么?

风险的定义 “风险”一词的由来,有一种说法是,在远古时期,以打鱼捕捞为生的渔民们,每次出海前都要祈祷,祈求神灵保佑自己能够平安归来,其中主要的祈祷内容就是让神灵保佑自己在出海时能够风平浪静、满载而归;他们在长期的捕捞实践中,深深地体会到“风”给他们带来的无法预测无法确定的危险,他们认识到,在出海捕捞打鱼的生活中,“风”即意味着“险”,这就是“风险”的由来。

另一种比较权威的说法认为,“风险”是中文里原本没有的概念,来自于英文单词“RISK”的中文翻译。它来源于意大利语的“Risque”一词,最早出现在航海贸易与保险业领域。16世纪,意大利热那亚的商人在海上贸易中经常遭遇海难或海损,他们将其称为“Risque”。可见,风险最初的含义就是指某种损失发生的可能性。为了共同分担这种可能的损失,他们发明了海上保险(Marine Insurance),这在后来演变为现代保险。17世纪通过意大利词和法语进入英语。而法文中,这个词为“Risque”。大约到了19世纪,在英文的使用中,风险一词还常常用法文拼写,主要是用于与保险有关的事情上。

现代意义上的风险一词,已经大大超越了“遇到危险”的狭义含义,而是“遇到破坏或损失的机会或危险”,可以说,经过两百多年的发展,风险一词越来越概念化,并随着人类活动的复杂性和深刻性而逐步深化,并被赋予了从哲学、经济学、社会学、统计学甚至文化艺术领域的更广泛更深层次的含义,且与人类的 决策 和行为后果联系越来越紧密,风险一词也成为人们生活中出现频率很高的词汇。

不少学者从不同角度对风险进行了定义(大多是在特定的环境针对具体的风险问题做出),尽管这些定义存在着些许差异,但各种定义的核心内容基本一致。比较有代表性的观点有三种:第一种观点是把风险视为机会,认为风险越大可能获得的回报就越大,相应可能遭受的损失也越大,如金融投资风险;第二种观点把风险视为危机,认为风险是消极的事件,可能产生损失,这常常是绝大多数公众、企业所理解的风险;第三种观点介于二者之间,较为学术化,认为风险的本质是不确定性,它可能带来机会,也可能带来危机,这种观点已开始得到专业人员的认可。

风险管理 对于风险的认知已扩展到各行各业,越来越多的企业已经认识到:企业为了生存和发展必须承担风险,而风险管理要做的包括:了解企业现有业务、投资组合的风险,以及未来的发展计划带来的风险,并且须判断当前面临的风险是否可以接受。如果风险不能接受,就应提出相应的风险管理措施。企业永远做不到全面消除或禁止风险。风险管理的目的也并非最小化风险,而是精明地承担风险。

配图

风险管理过程(资源来源:ISO 31000:2018风险管理过程)

基于ISO 31000:2018国际标准的“风险管理过程”,风险管理包括6要素:建立环境(确认范围/环境/准则)、风险评估、风险处置、沟通与协调、监督与评审、记录与报告。

  1. 安全是什么?

安全的定义 “安全”一词,从字面上看,“无危则安,无缺则全”。在我国古代并没有“安全”一词,古代汉语中的“安”字在许多场合表达着现代汉语中“安全”的意义。例如,在《易·系辞下》中,有“是故君子安而不忘危,存而不忘亡,治而不忘乱,是以身安而国家可保也”。就字义而言,“安”多与“危”字相对应,如“转危为安”,可以说是无危则安。“全”字多指完满,无损伤、无残缺等,也可以说是无损则全。

在西方,安全主要用“safety”和“security”来表述,“指无危险,无忧虑,以及提供安全之物、是免除危险或忧虑之物”。其中,security一方面是指安全的状态,即没有危险,没有恐惧;另一方面是指安全的维护,即安全措施和安全机构。

汇总一下,安全的定义主要有以下几个方面:(1)安全指没有危险,不受威胁,不出事故,即消除能导致人员伤亡、发生疾病或死亡,造成设备或财产破坏、损失以及危害环境的条件。(2)安全是指在外界条件下处于健康状况,或者人的身心处于健康、舒适和高效率活动状态的客观保证条件。(3)安全是一种心理状态。即认为,指某一子系统或者系统保持完整的一种状态。(4)安全是一种理念,即人与物将不会受到伤害或者一种满足一定安全技术指标的物态。

两类安全: safety和security Safety来源于拉丁词“salvus”,意思是“healthy”;Security来自拉丁词“secura”,意思是“free of concern”;从词源角度来看,safety更具有个人色彩,针对意外伤害,而security则更多针对人为事件。

举个例子:说一条道路很安全,用safe表示这条路不会遭遇山体滑坡等自然灾害;用secure,指的是这条道路有重兵把守,恐怖分子不会在这条道路上伏击你;再举个例子,nuclear safety即核安全,指的是核能的安全,防止像日本福岛核泄漏这类事件的发生;而nuclear security,即核安保,指的是核材料和核设施的安全保卫,防止人为的偷盗运输高浓缩铀这样的核材料。

其实Safety翻译为“安全”的确比较合适,比如“安全生产”(主要研究人的不安全行为、物的不安全状态、管理缺陷和环境的不安全因素);而Security有时翻译为“安保”(安全保卫),比如“公安(public security)”部门负责的相关安全保卫工作。

Safety和Security都是安全(anquan),其主要的区别在于,safety应对的是(非恶意的)人、物、管理及环境问题,security应对的有目的(恶意)的人或群体,即safety关注的是非对抗(非博弈)风险,security需要处置对抗(博弈)性风险。

我们知道,传统的风险三要素是场景、概率和后果,场景指在特定风险情况下可能发生的一系列事件,它是所有相斥事件序列的一个子集;概率是场景的可能性;而后果是这一系列事件的结果(如人员伤亡、经济影响等)。对风险的这一宽泛描述经受了时间的考验,适用于自然灾害风险、技术风险等非对抗性风险(即safety)领域。

配图

风险三要素:场景、概率和后果

而对恐怖主义、信息安全等对抗性风险而言,情况就有些复杂了,威胁场景和概率不太容易确定,因为对手是活生生的人或群体,他们会思考(对抗性博弈),并会根据态势变化调整自己的下一步行动。传统的风险分析框架在这种情况下就不太适用了,相应的(security)风险三要素演化为威胁、脆弱性和后果。

配图

风险三要素:威胁、脆弱性和后果

对抗性决策过程 对抗性博弈的灵魂是“机动战”或“观察-调整-决策-行动”(OODA)环,这是博伊德思想的结晶。

配图

OODA循环

博伊德认为,从根本上说,敌我较量是双方“观察-调整-决策-行动”循环之间的较量,双方都从观察开始,观察自己、观察环境和敌人。基于观察,获取相关的外部信息,根据感知到的外部威胁,及时调整系统,做出应对决策,并采取相应行动。即,竞争和对抗在本质上这样一个过程: 1.首先弄清楚什么是赢:按照自己定的规矩生存和繁荣; 2.为此,确定己方的目标:增强己方作为一个有机整体生存和繁荣的能力,应对不断变化的环境; 3.对敌目标:削弱敌方作为一个有机整体适应环境的能力; 4.策略:切断敌方与环境的联系,干扰敌方与环境的互动,摧毁敌方内部的和谐,使敌方意志崩溃,无法抵抗; 5.方法:在敌方“观察-调整-决策-行动”环内采取行动,干扰敌方的心理、时间、空间维度,使敌方不间断地面对新威胁或不确定的事件,迫使敌方忙于应付,无法做出有效反应,无法做主动的战略设计,陷入混乱、孤立、恐惧、犹豫、怀疑,最终战略瘫痪的境地。

“调整”步骤在整个OODA环中最为关键,因为如果敌人对外界威胁判断有误,或者对于周围的环境理解错误,那么必将导致方向调整错误,最终做出错误决策。博伊德认为,敌、我的这一决策循环过程的速度显然有快慢之分。己方的目标应该是,率先完成一个OODA循环,然后迅速采取行动,干扰、延长、打断敌人的OODA循环。其中,有种战术是,进入并操控敌人的OODA循环系统,使敌人对于外界变化无力做出任何反应(即在对抗中,是快鱼吃慢鱼,而非大鱼吃小鱼)。

为使己方的OODA环具有竞争优势,必须实现决策力与执行力的整合,方法是从观察到行动形成良性的环路,把经观察、选择而来的决策视为需经行动验证的假设,把行动效果作为环境变化的一个组成部分,进入下一轮观察、行动循环。拥有竞争优势的OODA环,就可以更自主、更迅速、更不规则地实施观察、调整、决定和行动,争取和保持主动,反复和出其不意地利用敌人暴露出来的弱点,将敌人的注意力吸引到其他方向,最终打败敌人并使自己升级到更高的阶段。

  1. 韧性是什么?

韧性的定义 韧性,即Resilience,也有翻译为恢复力(复原力、回复力),弹性,抗逆力或生存力等。

韧性(resilience)一词源自拉丁文resilio,意为“弹回”。韧性概念首先应用于哪个领域,至今仍有争议,有人说是物理学,有人说是生态学,也有人说是心理学或精神病学研究。但学术界大多认为,韧性最早被物理学家用来描述材料在外力作用下形变之后的复原能力。1973年,加拿大生态学家Holliing首次将韧性概念引入到生态系统研究中,定义为“生态系统受到扰动后恢复到稳定状态的能力”。自20世纪90年代以来,学者们对韧性的研究逐渐从生态学领域扩展到社会-生态系统研究中,韧性的概念也经历了从工程韧性、生态韧性到演进韧性的发展的演变,其外延不断扩大,内涵不断丰富,受关注度也不断攀升。

由于同一概念在不同领域会有细微差别,所以精确地定义韧性并不容易。在工程领域,它通常称为回弹性,指的是一个建筑结构,例如桥梁、建筑物等,在遭受变形后恢复原状的程度;在抢险救灾中,它表示一些关键系统在遭遇地震或洪水后恢复运转的速度;在生态学中,它意味着一个生态系统抵御永久性退化的能力;在心理学中,它指的是一个人有效应对精神创伤的能力;而在IT系统中,它通常指的是数据备份和资源储备;在面临自然和人为灾难时,它指的是维持业务继续运转的能力。

不同领域的韧性研究 在应急管理领域,韧性是指一个个体、系统、社区、城市等适应变化的条件,抵抗并从突发事件的破坏中快速恢复的能力,有时也称为“抵灾力”或“抗逆力”。应急管理与应急准备的目标可以表述为增加韧性。

在自然灾害领域,许多灾害学家研究了韧性在灾害管理中的重要性。美国学者布鲁诺(M. Bruneau)将地震韧性划分为技术、管理、社会和经济四个不同的维度。技术维韧性衡量实体系统在灾害中的表现状况;管理维韧性评定管理机构决策和行动的适宜性与有效性;社会维韧性判断承灾体基本服务能力的恢复;经济维韧性衡量受灾体降低直接及间接经济损失的能力。这四维恢复力存在四项共性特征:鲁棒性、快速性、冗余性和资源量。鲁棒性表示系统抵御压力而不出现功能的退化或损失的特性;快速性指系统为尽快吸纳损失避免后期破坏而表现出的能力;冗余性是系统或系统单元可替换的程度;资源量是现有资源可供系统调配的丰富程度,以及系统部分受损时,能够识别问题、建立优先级和合理调配资源的能力。其中,鲁棒性和快速性是韧性的两大本质属性,是韧性提高后的最终表现,冗余性和资源量则是提高韧性的有效途径。地震韧性量化模型如下图所示:

配图

该模型描述了韧性的鲁棒性和快速性这两大本质特性。韧性的测量是以系统性能Q为参考标准,性能的变化区间为0∽100%。假如,在时刻发生地震,导致系统性能从100%急剧下降到20%;此时,20%的系统性能维持程度反映了系统抵御外界条件打击的鲁棒性。系统经过一定时间的重建(),性能完全恢复,这种系统性能的恢复速度即为快速性。韧性的鲁棒性和快速性可以通过灾前减灾行为、灾后适应行为进行调整。提高韧性就是减少“韧性三角形”(系统性能曲线与100%性能水平线之间的区域)的面积。

在社区和城市韧性方面国内外都已有大量研究。对于一个复杂的城市系统而言,韧性的基本要素包括冗余性、灵活性、重组织能力和学习能力。如下图(Prior and Roth, 2013):

配图

(1)冗余性:当一个系统受到破坏时,其他一些系统可提供可替代的服务。 (2)灵活性:系统能够吸引冲击并避免灾难性的失效。如果一个组件或机构失效,对其他系统只有很小的影响。 (3)重组织能力:系统有能力暂时或永久地适应、改变和进化,以应对变化的环境条件。 (4)学习能力:能够从过去的经验中学习、识别并解决相关问题,确保行动是以相关信息和经验为基础的。

《黑天鹅》、《随机漫步的傻瓜》、《随机生存的智慧》的作者塔勒布出版了《反脆弱:从不确定性中获益》,在书中定义的“反脆弱”与“韧性”有一定关联,下面予以介绍。

《反脆弱:从不确定性中获益》

尼采有句名言:“杀不死我的,使我更强大。”就像人的骨头承受压力和紧张会变得更加强壮,谣言或暴乱在有人试图压制它们时会变本加厉一样,有许多事物也会受益于压力、混乱、波动和不确定。

塔勒布在《反脆弱》一书中定义的“反脆弱性”,是那些不仅能从混乱和波动中受益,而且需要这种混乱和波动才能维持生存和实现繁荣的事物的特性。

在《黑天鹅》中,塔勒布向我们揭示了极其罕见而不可预测的事件如何潜伏在世间万物的背后,而在《反脆弱》中,他极力为不确定性正名,让我们看到它有益的一面,甚至证明其存在的必要性,他还建议我们以反脆弱性的方式构建事物。值得注意的是,反脆弱性是一个超越韧性(resilience)和强韧性的概念。韧性只是事物抵御冲击,并在重创后复原的能力;而 反脆弱性则进一步超越了韧性,让事物在压力下逆势生长、蒸蒸日上。

塔勒布告诉我们在不确定的世界中的生存法则, 脆弱的反义词不是坚强,而是“反脆弱”。 既然 黑天鹅事件无法避免,那就想办法从中获取最大利益!

  1. 风险、安全、韧性之间的关系

人类社会处于工业化、信息化(数字化)、城镇化、市场化、国际化的深入发展阶段,社会经济财富在不断积累,人口区域流动在不断增加,地区间相互依赖程度不断提高,客观上加剧了原本严峻的灾害风险形势。人类越来越依赖于技术发展,复杂系统和基础设施的脆弱性不断加大,客观上加大了区域性乃至全球性重特大灾害事件发生的风险。这是当前风险、安全和韧性研究获得广泛关注的大背景。

风险是事前概念,损失或盈利是事后概念,风险是损失或盈利结果的一种可能的状态,在风险事件实际发生前风险就一直存在,而这时损失或盈利并没有发生。所以,风险管理的真正内涵与重点,是对损失发生之前的管理。

根据关注问题的不同,安全可分为公共安全、企业安全、安全生产、环境安全、信息网络安全等,它们都是涉及事故及其后果的学科、工作领域或者工作活动,其关注重点在于,事故发生后的行动。

不同领域中韧性的含义虽有细微差异,但究其核心均强调在不改变自身基本状况的前提下,对干扰、冲击或不确定性因素的抵抗(resist)、吸收(absorb)、适应(adapt)和恢复(recovery)能力。只是在社会-经济-自然复合生态系统中,更关注在危机中学习、适应以及自我组织等能力。也就是说,韧性关注重点在于组织能力的目标。

一定程度上讲,风险管理、安全管理、韧性管理描述的是同样的一系列活动,但风险视角侧重于我们会遇到什么(情景),安全视角侧重于我们做什么(任务),而韧性( 反脆弱性 )视角则侧重于目标(目标能力)。

在结束这个问答之前,再发两张图。同时提示一下,我们已用7个问与答回答了“ 业务连续性是什么 ”、“ 业务连续性为什么 ”,以及“ 业务连续性怎么做 ”中的 一般性讨论(general) ,从下个问题(第8个问题)开始,我们正式进入“ 规划框架(Plan) – 建设体系(Build) – 运行体系(Run) – 评估改进(Monitor) ”部分。

配图

配图

============ 精采回顾 ============

业务连续性问与答(大纲 )

第一部分业务连续性是什么? 1. 业务连续性问与答Q 1 :不是有应急管理了,怎么又出来个业务连续性管理?它们是一回事吗? 2. 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系? 3. 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(上 ) 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?( 下 )

第二部分业务连续性为什么? 4. 业务连续性问与答Q 4:业务连续性管理有什么价值? 我们 为什么要 做BCM,为什么有人不愿意做BCM?

第三部分业务连续性怎么做 一般性讨论 5. 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(上 ) 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(下 ) 6. 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? (上) 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? (下)

“ 一个好问题,胜过一百个好答案! ”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(如果你发来的问与答入选均有小礼品赠送)。 由于本公众号注册时正处于腾讯政策调整,公众号未能开通留言功能,希望参与“业务连续性问与答”讨论的朋友,可用微信扫描以下二维码加入知识星球进行深入讨论。

配图

另,本公众号专注于网络安全和业务连续性管理领域的研究和实践,可长按以下二维码进行关注。

配图

原文发表于公众号”业务连续性+” | 原文链接