在當前的資訊保安領域,好像風險管理已經快成為資訊保安的代名詞了。搞安全好像離不開風險管理。而要進行全面的安全體系構建之前,自然要進行風險評估。風險評估會出現在幾乎所有的安全文獻、安全標準、安全規範中。要做風險評估,好像也很少有人質疑是否需要,因為全世界的人都在做。
但是,在這裡我還是要問,「風險評估的目的是什麼?」「我們為什麼要進行風險評估?」 如果不回答清楚這個問題,可能會把真個事情搞顛倒。
在很多次演講中,我常常闡述風險評估有兩個目的:報告和決策支援。
以報告為目的的評估
這個目的就是說,風險評估就是要評估出來乙個結果,並產生報告。而這個結果最好是能夠表達出好/壞、嚴重/不嚴重等定性的結論,或者是風險程度的量化的結論。而這樣的結論最大的用途就是進行「比較」。這種比較包括:
不同時間點的比較,比如:過去和現在的比較 不同機構之間的比較,在乙個時間點不同機構的風險比較,可以得出誰更加危險,誰防護得更好 機構水平和某個標桿的比較,也就是有點像合規性比對一樣
報告常常能夠讓報告的讀者掌握較全面的情況,而所謂的全面——用比較來表達是非常合適的。
合規性評估
以合規性比對為主要目的的評估,是以報告為目的評估的乙個特例。為了能夠更好地進行合規性比對,常常會引入「等級化」的概念。在我國現在正在推行的等級保護、涉密分級保護等等,就是類似的思想。
比如,等級保護中的定級,就是乙個有關資產和狹義威脅兩個量的乙個評估。也是一種特殊的風險評估。
以行動決策為目的的評估
以行動決策為目的,最典型的形態就是:鑑別出來機構的風險,並且通過評估給這些風險評分,通過排序將最需要解決的前10個風險篩選出來,然後馬上對這些風險進行處理和控制。
如果以此為目的,那麼兩個風險是1005vs.1000就被認為沒有太大的區別,而兩個風險是10000vs.100就會被認為是很大的區別。
如果以此為目的,那麼在評估中就不一定要把理論上的風險模型的所有要素都進行評估並計算,只要評估方法能夠幫助我們大致區分出風險的大小就可以了。所以,在我操作的很多風險評估中就不做狹義威脅分析,而用事件分析加以替代;再比如,等級保護的定級就只評估資產價值和狹義威脅,不考慮其他因素。這樣這些結果能夠帶來行動決策的足夠支援就可以。
除了上面闡述的目的之外,風險評估還有沒有其他的目的呢?
汽車網路安全風險評估方法
threat analysis risk assessment and vulnerability analysis methods 是概念階段用到的核心方法,也是整個系統安全的起點工程。在計算機網路發展的多年來,也提出了很多方法。本文主要介紹針對汽車工程的兩個方法evita和hevens。確定特徵...
政務系統資訊網路安全的風險評估如何做?
數位化時代,政務系統的資訊網路安全問題需要得到更多地重視。網際網路 給人們的生活帶來了極大的便利,面對高速發展的網際網路,人們對其的認同度在日益增加。但是,互聯開放的網路,資源交流便捷的同時,資訊洩漏的隱患在逐漸加劇。尤其是與民生息息相關的政務部門。要知道,政務系統資訊網路的安全與否,直接對政務資訊...
session工作原理是什麼?網路安全網路協議學習
網路安全是近幾年來較為火熱的職業崗位,深受個人和企業的青睞。廣闊的發展前景吸引著眾多想要學習網路安全技術的人們。學習網路安全是現下眾多人轉行it的熱門選擇之一。知識點網路協議相關知識中,session是必須要了解的。那麼session工作原理是什麼?1.session是儲存在伺服器端,理論上是沒有是...