CISSP的成长之路(八):复习信息安全管理(2)
我们经常可以从媒体或者各种安全资讯上看到一个词——风险(Risk),但具体到它的含义,以及它在信息技术领域所代表的意思,却没有太多的人可以说的清楚。所谓“风险中存在机遇“,人们在选择机会的同时,也会碰到许多会造成损失的不确定因素,这些不确定的因素便称之为”风险“。例如,买车能带来出行方便,但同时也会因为燃料费上涨、路费、维修等等不确定的因素导致意外的支出,而且尽管几率很小,也依然存在发生交通事故危害生命的情况。
因此,我们在选择一个机会之前,经常会或多或少的考虑机会之中包含着的不确定因素有哪些,更进一步的,我们还会想办法去了解机会之中的不确定因素到底有多大的可能发生,并预备一些可以降低发生几率或损失的措施。同时为了更有效的预备和评估应对不确定因素的防御措施,我们还必须认真的了解不确定因素的各个组成元素,并搞清楚它们之间的关系,这个不确定因素的识别、分析和评估的过程,便是本文要介绍的风险分析和评估(Risk Analysis and Assessment)。
进行过风险分析和评估之后,接下去自然就是如何应对风险——在CISSP CBK中,风险的应对方式可以分成三种,J0ker还是用上面买车的例子来介绍:假设买了车之后,在路上发生追尾事故的可能性为每三个月一次,假如车主采取了在交通繁忙时刻降低车速,选择另外车流量较小的道路或者在车上添置防追尾的设备,这都属于车主接受了风险存在的事实,并采取的降低风险发生可能性或损失的措施,我们称之为Accept the Risk或Mitigate the Risk;假如车主认为部署防追尾的设备成本比追尾后修一次车还贵的多,或者因为其他原因而无视追尾危险,这样称之为Reject the Risk,或Ignore the Risk,风险并没有减轻,只是被忽略了。还有一种较为常见的情况是车主通过购买保险,将追尾可能产生的各种费用转移到保险公司身上,这称之为Transfer the Risk,即风险转移。Accept和Transfer是对待风险的常用方式,但在某些不太重要的场合,也可以选择用不作为的方式。
风险的识别、分析和评估、消除、转移整个流程我们称之为风险治理(Risk Management),在进行风险治理的流程时,以下的要害的问题需要弄清楚:
1、 What could happen (Threat event,风险的具体形式,威胁)
2、 If it happened, how bad could it be (Threat impact,威胁的影响程度)
3、 How often it could happen (Threat frequency, 威胁发生的频率)
4、 How certain are the answers to the first three questions (Recognition of uncertainty, 威胁发生的几率和不确定性)
这些问题都可以从风险分析和评估中获得答案,威胁发生的不确定性是风险治理中的核心问题,当然,谁都希望为所有可能发生的情况做好充分的预备,但现实经常不答应我们这样考虑,我们只能够保证优先度最高的部位和风险最有可能发生的部位能部署到风险治理方案。通过风险分析和评估,我们可以从上述4个问题中发现一些无法忽视的风险(Unacceptable Risks),我们需要部署相应的方案来应对它们,以下的问题需要了解清楚:
1、 What can be done(Risk Mitigation,风险消除方案)
2、 How much will it cost (annualized,方案每年平均成本)
3、 Is it cost effective (Cost/Benefit Analysis,费效比分析)
上述问题的解答将最终决定一个实体对风险对象的最终解决方案,并执行治理层批准、财务提供预算、采购、部署、维护等流程进行实施。对于IT领域,风险治理则更进一步的细化为Information Risk Management(IRM),因为IT技术不断的发展,IRM也是一个没有结束期,需要持续关注的行为。
在进行下面的内容之前,J0ker打算先向大家列出几个要害的名词:
SLE:Single Loss Expectancy,风险发生时的单个对象的损失
ARO:Annualized rate of Occurrence,一年内风险发生的几率
ALE:Annualized Loss Expectancy,风险发生时每年平均损失,ALE=SLE×ARO,即假如一个对象遭遇风险时损失(SLE)是10万元,每年发生该风险的几率(ARO)是1/100,那每年平均损失就是100000×0.01=1000
Information Asset:信息资产,对组织运作起要害作用的信息相关实体,比如客户资料、交易情况等等,信息资产的价值由许多元素组成,包括最基本的信息本身的价值、信息处理支持软件的价值、信息的Availability、Confidentiality、Integrity属性、信息处理所需的硬件设备也可认为属于信息资产,信息资产的价值还可以根据损失它后会对组织造成信息本身价值之外的损失的大小来进行评估。
Qualitative/Quantitative:质化/量化,对于信息资产价值的评估,通常可以采用量化和质化的方式,对于能直接算出资产价值的对象,如设备、软件等,可以用量化的方式,直接算出它的价值。对于另外一些无法量化的对象,如数据、业务流程等,则可以使用质化的方式,请使用该对象的人员,用分级的方式评估该资产的价值,J0ker觉得简单的五分法可以应付一般的任务, 将信息资产按其对组织运营的重要程度,分为非常重要、重要、比较重要、一般、不重要五个级别,并对应1-5分,分值越高,信息资产的重要程度也越高。
Risk:风险,潜在的损失或伤害,请参考本文前面的内容
Threat:威胁,有可能造成风险的因素,比如各种恶意软件、自然灾难等
Safeguard:风险防御措施,通常也称为Control,风险控制措施
Vulnerability:漏洞,风险防御措施的缺失或弱点,通常出现漏洞就意味着风险发生的频率更高和风险发生时损失更大。比如没有安装反病毒软件便可认为是一个漏洞,会使恶意软件攻击的发生几率和损失更大。
