J0ker的CISSP之路：複習-Information Security Management(2)

本文同時發表在： [url]http://netsecurity.51cto.com/art/200709/57320.htm[/url]

 

   在《J0ker的CISSP之路》系列的上一篇文章《Information Security Management(1)》裏，J0ker給你們介紹了信息安全管理要實現的A-I-C目標和原則。在接下去的文章，J0ker將帶你們逐步深刻信息安全管理的領域，並結合實際例子給你們解釋該CISSP CBK中提到的諸多關鍵名詞。本文將介紹Information Security Management  CBK中的風險評估（Risk Analysis and Assessment）。

     咱們常常能夠從媒體或者各類安全資訊上看到一個詞——風險（Risk），但具體到它的含義，以及它在信息技術領域所表明的意思，卻沒有太多的人能夠說的清楚。所謂「風險中存在機遇「，人們在選擇機會的同時，也會遇到許多會形成損失的不肯定因素，這些不肯定的因素便稱之爲」風險「。例如，買車能帶來出行方便，但同時也會由於燃料費上漲、路費、維修等等不肯定的因素致使意外的支出，並且儘管概率很小，也依然存在發生交通事故危害生命的狀況。

     所以，咱們在選擇一個機會以前，經常會或多或少的考慮機會之中包含着的不肯定因素有哪些，更進一步的，咱們還會想辦法去了解機會之中的不肯定因素到底有多大的可能發生，並準備一些能夠下降發生概率或損失的措施。同時爲了更有效的準備和評估應對不肯定因素的防護措施，咱們還必須認真的瞭解不肯定因素的各個組成元素，並搞清楚它們之間的關係，這個不肯定因素的識別、分析和評估的過程，即是本文要介紹的風險分析和評估（Risk Analysis and Assessment）。

    進行過風險分析和評估以後，接下去天然就是如何應對風險——在CISSP CBK中，風險的應對方式能夠分紅三種，J0ker仍是用上面買車的例子來介紹：假設買了車以後，在路上發生追尾事故的可能性爲每三個月一次，若是車主採起了在交通繁忙時刻下降車速，選擇另外車流量較小的道路或者在車上添置防追尾的設備，這都屬於車主接受了風險存在的事實，並採起的下降風險發生可能性或損失的措施，咱們稱之爲Accept the Risk或Mitigate the Risk；若是車主認爲部署防追尾的設備成本比追尾後修一次車還貴的多，或者由於其餘緣由而無視追尾危險，這樣稱之爲Reject the Risk，或Ignore the Risk，風險並無減輕，只是被忽略了。還有一種較爲常見的狀況是車主經過購買保險，將追尾可能產生的各類費用轉移到保險公司身上，這稱之爲Transfer the Risk，即風險轉移。Accept和Transfer是對待風險的經常使用方式，但在某些不過重要的場合，也能夠選擇用不做爲的方式。

     風險的識別、分析和評估、消除、轉移整個流程咱們稱之爲風險管理（Risk Management），在進行風險管理的流程時，如下的關鍵的問題須要弄清楚：
     一、 What could happen （Threat event，風險的具體形式，威脅）
     二、 If it happened, how bad could it be （Threat impact，威脅的影響程度）
     三、 How often it could happen （Threat frequency， 威脅發生的頻率）
     四、 How certain are the answers to the first three questions （Recognition of uncertainty， 威脅發生的概率和不肯定性）
     這些問題均可以從風險分析和評估中得到答案，威脅發生的不肯定性是風險管理中的核心問題，固然，誰都但願爲全部可能發生的狀況作好充分的準備，但現實經常不容許咱們這樣考慮，咱們只可以保證優先度最高的部位和風險最有可能發生的部位能部署到風險管理方案。經過風險分析和評估，咱們能夠從上述4個問題中發現一些沒法忽視的風險(Unacceptable Risks)，咱們須要部署相應的方案來應對它們，如下的問題須要瞭解清楚：
     一、 What can be done（Risk Mitigation，風險消除方案）
     二、 How much will it cost （annualized，方案每一年平均成本）
     三、 Is it cost effective （Cost/Benefit Analysis，費效比分析）
     上述問題的解答將最終決定一個實體對風險對象的最終解決方案，並執行管理層批准、財務提供預算、採購、部署、維護等流程進行實施。對於IT領域，風險管理則更進一步的細化爲Information Risk Management（IRM），由於IT技術不斷的發展，IRM也是一個沒有結束期，須要持續關注的行爲。

     在進行下面的內容以前，J0ker打算先向你們列出幾個關鍵的名詞：
     SLE：Single Loss Expectancy，風險發生時的單個對象的損失
    ARO：Annualized rate of Occurrence，一年內風險發生的概率
    ALE：Annualized Loss Expectancy，風險發生時每一年平均損失，ALE=SLE×ARO，即若是一個對象遭遇風險時損失(SLE)是10萬元，每一年發生該風險的概率(ARO)是1/100，那每一年平均損失就是100000×0.01=1000
    Information Asset：信息資產，對組織運做起關鍵做用的信息相關實體，好比客戶資料、交易狀況等等，信息資產的價值由許多元素組成，包括最基本的信息自己的價值、信息處理支持軟件的價值、信息的Availability、Confidentiality、Integrity屬性、信息處理所需的硬件設備也可認爲屬於信息資產，信息資產的價值還能夠根據損失它後會對組織形成信息自己價值以外的損失的大小來進行評估。
    Qualitative/Quantitative：質化/量化，對於信息資產價值的評估，一般能夠採用量化和質化的方式，對於能直接算出資產價值的對象，如設備、軟件等，能夠用量化的方式，直接算出它的價值。對於另一些沒法量化的對象，如數據、業務流程等，則可使用質化的方式，請使用該對象的人員，用分級的方式評估該資產的價值，J0ker以爲簡單的五分法能夠應付通常的任務， 將信息資產按其對組織運營的重要程度，分爲很是重要、重要、比較重要、通常、不重要五個級別，並對應1-5分，分值越高，信息資產的重要程度也越高。
     Risk：風險，潛在的損失或傷害，請參考本文前面的內容
     Threat：威脅，有可能形成風險的因素，好比各類惡意軟件、天然災害等
     Safeguard：風險防護措施，一般也稱爲Control，風險控制措施
     Vulnerability：漏洞，風險防護措施的缺失或弱點，一般出現漏洞就意味着風險發生的頻率更高和風險發生時損失更大。好比沒有安裝反病毒軟件即可認爲是一個漏洞，會使惡意軟件***的發生概率和損失更大。
     信息風險管理是一個複雜的流程，它須要根據每一個組織不一樣的信息資產和業務流程狀況，並綜合企業管理、經營預算、員工行爲等來進行制定並執行。若是你們有興趣進一步深刻IRM的領域，請參考CISSP Official Guide、All in One或其餘CISSP參考書。

 

下篇預告：《複習-ISM(3)》，J0ker將向你們介紹Information Security Management的基礎——信息分級，Information Classification。