信息安全风险管理 | 第2部分

先决条件：风险管理 | 第1部分2. 风险评估 –风险管理是一种持续进行的活动。而风险评估则是在特定的时间点进行，直到下一次评估之前都保持不变。 风险评估是指评估已知和假设的威胁与漏洞的过程，目的是确定可能出现的损失。 此外，它还包括了评估该系统运行的可接受性程度。 风险评估的过程，其输入数据来自“情境建立”阶段。最终的输出结果就是被评估的风险列表。在这些风险中，会根据风险评估的标准来确定各风险的优先级。

1. 风险识别——在这一步中，我们识别出以下内容：
   • 资产
   • 威胁
   • 现有的以及计划中的安全措施
   • 漏洞/弱点
   • 后果/影响
   • 相关的业务流程
   • 包含相关资产及其业务流程的列表，以及与之相关的各种威胁情况、现有的安全措施以及计划中的安全措施。
   • 与任何已识别的威胁无关的漏洞列表
   • 各种突发事件及其后果列表
2. 风险评估 –进行风险评估的方法有两种：定量风险评估——除了金融机构和保险公司之外，大多数组织并不采用这种方法来评估风险。定量风险可以通过“年化损失预期”来数学表达。所谓年化损失预期，指的是在一年的时间内，某项资产因风险而可能面临的预期经济损失。

ALE= SLE * ARO

1. 单次损失期望值（SLE）指的是资产在单次损失情况下的价值。 这可能就是全部资产，也可能不是。 这就是损失的后果。 年发生率是指损失发生的频率。 这就是可能性。 从理论上来说，定量风险评估似乎很简单，但实际上，在为各个参数分配数值时仍然存在一些问题。 虽然系统的成本很容易确定，但诸如信息价值、生产活动的损失以及恢复所需的成本等间接成本则很难准确界定。 另一个因素——可能性——目前还不太清楚。 因此，在定量风险评估中，误差范围相当大。 由于缺乏准确且完整的信息，因此对于IT系统进行定量风险评估来说并不具有成本效益。2. 定性风险评估 –定性风险评估以主观的方式来定义风险的可能性、影响程度以及风险值。需要注意的是，这些可能性与影响程度都是非常不确定的。定性风险评估通常会给出“高”、“中等”或“低”这样的风险等级。以下是定性风险评估的步骤：
   1. 识别威胁：必须识别出各种威胁以及这些威胁的来源。为了确保评估的准确性，应该将威胁与它们的来源一起考虑在内。有必要列出整个组织中可能存在的所有威胁，并将这份清单作为所有风险管理活动的依据。以下是一些关于威胁及其来源的例子：
      • 自然威胁——洪水、地震等
      • 人类带来的威胁——病毒、蠕虫等。
      • 环境威胁——电力中断、污染等。
   2. 识别漏洞：漏洞可以通过多种方式来识别。其中一些工具包括：
      1. 漏洞扫描工具——这是一种软件，它能够将操作系统的代码或程序中的缺陷与现有的漏洞数据库进行比对。
      2. 渗透测试——该人类安全分析师会针对系统实施各种攻击手段，包括利用社会工程学等方法来破坏系统的运行稳定性。
      3. 对运营和管理控制的审计——通过对比当前的文档与最佳实践标准（例如ISO 17799），以及将实际操作与现有的文档化流程进行比较，来审查运营和管理控制的有效性。
   3. 将威胁与漏洞联系起来：这是风险评估中最困难且必不可少的环节。T-V配对列表的创建过程包括：首先审查漏洞列表，然后将每个漏洞与对应的威胁进行配对；接着再仔细审查威胁列表，确保所有那些可能受到该威胁影响的漏洞都已被识别出来。
   4. 定义可能性：“可能性”指的是，由某个威胁源引发的威胁发生的可能性，也就是该威胁针对某个漏洞而发生的几率。 示例中的概率定义可以是：低概率——在一年时间内，成功实施威胁的可能性为0%-30%；中等概率——在一年时间内，成功实施威胁的可能性为31%-70%；高概率——在一年时间内，成功实施威胁的可能性为71%-100%。这只是一个示例而已。 组织可以使用自己的分类标准，比如：非常低、低、中等、高、非常高。
   5. 定义“影响”：“影响”可以主要从对保密性、完整性和可用性的影响来定义。关于影响的示例定义如下：

1. 组织效应的例子如下：

1. 评估风险：评估风险的过程，就是确定威胁针对该漏洞而实施的可能性，以及一旦成功遭到攻击后可能产生的后果。以下是一个示例的风险评估矩阵：

3. 风险评估 –风险评估过程以风险分析过程的输出结果为输入数据。首先，该过程会将每个风险等级与风险接受标准进行比较，然后根据风险处理方案对风险进行排序。
3. 风险降低/管理 –风险缓解涉及对风险评估过程中推荐的各类风险降低措施进行优先排序、评估并实施。由于要完全消除组织中的所有风险几乎是不可能的，因此，高层管理人员以及各职能部门的管理人员有责任采用成本最低的方法，实施最合适的风险降低措施，从而将风险降低到可接受的水平。根据NIST SP 800-30框架，风险缓解过程包含六个步骤。

1. 风险假设：这意味着要接受这种风险，继续运行该系统。同时，也要努力实施相应的控制措施。
2. 风险规避：这意味着要消除导致风险的因素或后果，从而避免风险的发生。例如，如果识别出某种风险，那么就需要关闭相关系统来消除这种风险。
3. 风险限制：通过实施能够最大限度地减少威胁带来的负面影响的控制措施，来降低风险。例如，可以采用支持性措施、预防性措施以及检测性措施来应对各种威胁。
4. 风险规划：通过制定风险缓解计划来应对风险，该计划应明确优先级，并有效实施和维持相关控制措施。
5. 研究与致谢：在这一步中，需要认识到存在的漏洞或缺陷，然后研究相应的控制措施来修复这些漏洞。
6. 风险转移：这意味着，为了弥补损失，需要将风险转移出去。例如，购买保险并不能保证在所有的情况下都能获得100%的赔偿，但至少可以一定程度上减轻损失。

4. 风险沟通——这一步骤的主要目的是与所有利益相关者沟通，让他们了解组织的各种风险。建立共同的理解非常重要，因为这会影响到后续的决策制定。5. 风险监控与评估——安全措施需要定期进行审查，以确保其能够按照预期发挥作用。同时，由于工作环境的变化，安全措施也需要进行相应的更新。商业需求、漏洞以及威胁都可能随时间而发生变化。因此，应定期安排审计工作，且审计工作应由独立的第三方来实施。6. IT评估与评估方法——安全控制措施应该经过验证。 技术控制是指那些需要被测试和验证的系统。 漏洞评估与渗透测试被用于验证安全控制措施的落实情况。 根据安全监控策略、事件响应计划以及安全验证和指标来监控系统事件，这些都是确保达到最佳安全水平的基本活动。 重要的是要密切关注新的漏洞，并采取相应的程序和技术措施来加以防范。例如，定期更新软件就是一种有效的手段。