安全風險管理概述（Day004）

對於一個信息安全專家來說，理解風險這個概念是非常重要的。大多數安全人員工作的目標最終都要歸結到風險管理。然後很多安全人員不能很好地理解風險管理和相關原則，而片面的去關注於病毒、漏洞和黑客攻擊方面。

對安全專家來說，理解風險的本質尤為重要。他們必須了解如何計算風險，並將其轉換成公司應對安全風險的推動力。

安全專家必須在理解了企業的業務目標和任務。並且採取措施處置風險，保障企業的業務目標和任務的達成。

在信息安全領域，風險（Risk）就是指信息資產遭受損壞並給企業帶來負面影響的潛在可能性。用公式標識就是：風險=威脅×脆弱性×資產。

這個定義看上去很簡單，也很容易給人錯覺，因此我們要理解風險構成的元素（威脅、脆弱性和資產）以及它們之間的關係。

資產 資產是指環境中應該加以保護的任何事物， 是用於商業過程和任務中的任何東西，可以是計算機文件、網路服務、系統資源、進程、程序、產品、IT基礎設施、資料庫、硬體設備、傢具、產品秘方、人員、軟體和設施等。如果組織認為自己控制之下的某種資源有價值並需要保護，那麼這種資源就被標記為可以進行風險管理和風險分析。資產出現損失或泄漏會危及整體的安全性，造成生產效率的降低、利潤的減少、額外支出的增加、組織停工以及造成許多無形的不良後果。

資產估值

資產估值指的是根據實際的成本和非貨幣性支出為資產分配的貨幣價值，其中包括開發、維護、管理、宣傳、支持、維修和替換資產的成本， 還包括許多難以計算的價值， 例如，

公眾信心、行業支持、生產效率的提升、知識產權以及所有者權益。

威脅

任何可能發生的、為組織或某種特定資產帶來所不希望的或不想要結果的事情都被稱為威脅。威脅是指會造成資產損失、破壞、變更、丟失或泄漏的任何行為或非行為，或者是指阻礙訪問或阻止資產維護的行為。威脅可大可小， 井會造成或大或小的後果。它們可能是有企圖的或意外的，可能源自人、組織、硬體、網路、結構或自然界。威脅主體會有企圖地利用脆弱性。威脅主體通常是人，不過也可能是程序、硬體或系統。威脅事件是脆弱性的意外利用。威脅事件包括火災、地震、水災、系統故障和人為錯誤(一般是因為缺少培訓或疏忽)和斷電。

脆弱性 資產中的弱點或防護措施/對策的缺乏被稱為脆弱性。

暴露 暴露是指由於威脅而容易造成資產損失，脆弱性會被或將被威脅主體或威脅事件加以利用的可能性是存在的。暴露並不意味著實施的威脅(造成損失的事件)實際發生(暴露給己實施的威脅稱為經歷的暴露)，而僅僅是指如果存在脆弱性並且威脅可以利用脆弱性， 那麼就有可能發生威脅事件或出現潛在的暴露。

防護措施

防護措施或對策是指能消除脆弱性或對付一種或多種特定威脅的任何方法。防護措施可以是: 安裝軟體補丁程序、修改配置、雇請保安人員、改變IT 基礎設施、更改流程、改善安全策略、更有效地培訓員工、電氣化的周邊防護、安裝照明設備等。防護措施可以是通過消除或減少組織內任何位置的威脅或脆弱性來降低風險的任何行為或產品。防護措施是削弱或消除風險的唯一方法。防護措施或對策不必是購買新產品，記住這一點十分重要。重新配置現有的元素， 甚至從安全基礎設施中去除某些元素， 都是有效的防護措施。

攻擊 攻擊指的是威脅主體對脆弱性的利用。換句話說，攻擊是任何有意利用組織安全基礎設施的脆弱性並導致資產的損害、損失或泄漏的企圖。攻擊還可以被視為違反或未遵守組織安全策略的任何行為。

破壞 破壞是指發生安全機制被威脅主體繞過或阻撓的事情。當破壞與攻擊結合時，就會發生滲透或入侵事件。滲透指的是威脅、主體通過避開安全控制獲得訪問組織基礎設施的權力並且能夠直接危及資產安全的情況。

風險管理是一個詳細的過程，包括識別可能造成數據損壞或泄漏的因素， 根據數據的價值與對策的成本來評估這些因素，以及為了減輕或降低風險而實現有成本效益的解決方案。風險管理的整個過程被用來制定和實施信息安全策略。這些策略的目標是減少風險和支持組織的使命。

風險管理的主要目的是要將風險降低到一個可以接受的級別。究竟要達到哪一個級別，這主要取決於組織、其資產的價值、預算的多少以及其他許多因素。某個組織認為可接受的風險對於另一個組織來說可能是完全不合理的、過高的風險級別。設計並實現一個完全沒有風險的環境是不可能的，但是， 顯著地減少可能出現的風險還是可能的， 而且往往只需付出要很少的努力。

相關測試、答疑和更多學習資料和活動，請添加微信號 istudy1314 。

推薦閱讀：