J0ker的CISSP之路：复习-Information Security Management(2)

本文同时发表在： [url]http://netsecurity.51cto.com/art/200709/57320.htm[/url]

 

   在《J0ker的CISSP之路》系列的上一篇文章《Information Security Management(1)》里，J0ker给你们介绍了信息安全管理要实现的A-I-C目标和原则。在接下去的文章，J0ker将带你们逐步深刻信息安全管理的领域，并结合实际例子给你们解释该CISSP CBK中提到的诸多关键名词。本文将介绍Information Security Management  CBK中的风险评估（Risk Analysis and Assessment）。

     咱们常常能够从媒体或者各类安全资讯上看到一个词——风险（Risk），但具体到它的含义，以及它在信息技术领域所表明的意思，却没有太多的人能够说的清楚。所谓“风险中存在机遇“，人们在选择机会的同时，也会遇到许多会形成损失的不肯定因素，这些不肯定的因素便称之为”风险“。例如，买车能带来出行方便，但同时也会由于燃料费上涨、路费、维修等等不肯定的因素致使意外的支出，并且尽管概率很小，也依然存在发生交通事故危害生命的状况。

     所以，咱们在选择一个机会以前，经常会或多或少的考虑机会之中包含着的不肯定因素有哪些，更进一步的，咱们还会想办法去了解机会之中的不肯定因素到底有多大的可能发生，并准备一些能够下降发生概率或损失的措施。同时为了更有效的准备和评估应对不肯定因素的防护措施，咱们还必须认真的了解不肯定因素的各个组成元素，并搞清楚它们之间的关系，这个不肯定因素的识别、分析和评估的过程，即是本文要介绍的风险分析和评估（Risk Analysis and Assessment）。

    进行过风险分析和评估以后，接下去天然就是如何应对风险——在CISSP CBK中，风险的应对方式能够分红三种，J0ker仍是用上面买车的例子来介绍：假设买了车以后，在路上发生追尾事故的可能性为每三个月一次，若是车主采起了在交通繁忙时刻下降车速，选择另外车流量较小的道路或者在车上添置防追尾的设备，这都属于车主接受了风险存在的事实，并采起的下降风险发生可能性或损失的措施，咱们称之为Accept the Risk或Mitigate the Risk；若是车主认为部署防追尾的设备成本比追尾后修一次车还贵的多，或者由于其余缘由而无视追尾危险，这样称之为Reject the Risk，或Ignore the Risk，风险并无减轻，只是被忽略了。还有一种较为常见的状况是车主经过购买保险，将追尾可能产生的各类费用转移到保险公司身上，这称之为Transfer the Risk，即风险转移。Accept和Transfer是对待风险的经常使用方式，但在某些不过重要的场合，也能够选择用不做为的方式。

     风险的识别、分析和评估、消除、转移整个流程咱们称之为风险管理（Risk Management），在进行风险管理的流程时，如下的关键的问题须要弄清楚：
     一、 What could happen （Threat event，风险的具体形式，威胁）
     二、 If it happened, how bad could it be （Threat impact，威胁的影响程度）
     三、 How often it could happen （Threat frequency， 威胁发生的频率）
     四、 How certain are the answers to the first three questions （Recognition of uncertainty， 威胁发生的概率和不肯定性）
     这些问题均可以从风险分析和评估中得到答案，威胁发生的不肯定性是风险管理中的核心问题，固然，谁都但愿为全部可能发生的状况作好充分的准备，但现实经常不容许咱们这样考虑，咱们只可以保证优先度最高的部位和风险最有可能发生的部位能部署到风险管理方案。经过风险分析和评估，咱们能够从上述4个问题中发现一些没法忽视的风险(Unacceptable Risks)，咱们须要部署相应的方案来应对它们，如下的问题须要了解清楚：
     一、 What can be done（Risk Mitigation，风险消除方案）
     二、 How much will it cost （annualized，方案每一年平均成本）
     三、 Is it cost effective （Cost/Benefit Analysis，费效比分析）
     上述问题的解答将最终决定一个实体对风险对象的最终解决方案，并执行管理层批准、财务提供预算、采购、部署、维护等流程进行实施。对于IT领域，风险管理则更进一步的细化为Information Risk Management（IRM），由于IT技术不断的发展，IRM也是一个没有结束期，须要持续关注的行为。

     在进行下面的内容以前，J0ker打算先向你们列出几个关键的名词：
     SLE：Single Loss Expectancy，风险发生时的单个对象的损失
    ARO：Annualized rate of Occurrence，一年内风险发生的概率
    ALE：Annualized Loss Expectancy，风险发生时每一年平均损失，ALE=SLE×ARO，即若是一个对象遭遇风险时损失(SLE)是10万元，每一年发生该风险的概率(ARO)是1/100，那每一年平均损失就是100000×0.01=1000
    Information Asset：信息资产，对组织运做起关键做用的信息相关实体，好比客户资料、交易状况等等，信息资产的价值由许多元素组成，包括最基本的信息自己的价值、信息处理支持软件的价值、信息的Availability、Confidentiality、Integrity属性、信息处理所需的硬件设备也可认为属于信息资产，信息资产的价值还能够根据损失它后会对组织形成信息自己价值以外的损失的大小来进行评估。
    Qualitative/Quantitative：质化/量化，对于信息资产价值的评估，一般能够采用量化和质化的方式，对于能直接算出资产价值的对象，如设备、软件等，能够用量化的方式，直接算出它的价值。对于另一些没法量化的对象，如数据、业务流程等，则可使用质化的方式，请使用该对象的人员，用分级的方式评估该资产的价值，J0ker以为简单的五分法能够应付通常的任务， 将信息资产按其对组织运营的重要程度，分为很是重要、重要、比较重要、通常、不重要五个级别，并对应1-5分，分值越高，信息资产的重要程度也越高。
     Risk：风险，潜在的损失或伤害，请参考本文前面的内容
     Threat：威胁，有可能形成风险的因素，好比各类恶意软件、天然灾害等
     Safeguard：风险防护措施，一般也称为Control，风险控制措施
     Vulnerability：漏洞，风险防护措施的缺失或弱点，一般出现漏洞就意味着风险发生的频率更高和风险发生时损失更大。好比没有安装反病毒软件即可认为是一个漏洞，会使恶意软件***的发生概率和损失更大。
     信息风险管理是一个复杂的流程，它须要根据每一个组织不一样的信息资产和业务流程状况，并综合企业管理、经营预算、员工行为等来进行制定并执行。若是你们有兴趣进一步深刻IRM的领域，请参考CISSP Official Guide、All in One或其余CISSP参考书。

 

下篇预告：《复习-ISM(3)》，J0ker将向你们介绍Information Security Management的基础——信息分级，Information Classification。