[[176490]]

為網(wǎng)絡(luò)安全做準(zhǔn)備，企業(yè)必須滿足基本的網(wǎng)絡(luò)安全目標(biāo)。網(wǎng)絡(luò)安全準(zhǔn)備是指能夠檢測(cè)并有效響應(yīng)來(lái)自網(wǎng)絡(luò)外部以及內(nèi)部的計(jì)算機(jī)安全泄露事故和入侵、惡意軟件攻擊、網(wǎng)絡(luò)釣魚(yú)攻擊以及數(shù)據(jù)和知識(shí)產(chǎn)權(quán)竊取。

在本文中，我們將主要探討風(fēng)險(xiǎn)，因?yàn)樗绊懼畔⑴c信息系統(tǒng)。保護(hù)信息是一個(gè)業(yè)務(wù)問(wèn)題，解決方案并不只是部署技術(shù)(防火墻和防病毒網(wǎng)關(guān)等)，然后不管不顧，并全權(quán)依賴保護(hù)。企業(yè)必須采取積極主動(dòng)的方法來(lái)發(fā)現(xiàn)及保護(hù)其最重要的資產(chǎn)，包括信息、信息技術(shù)和關(guān)鍵業(yè)務(wù)流程。信息安全風(fēng)險(xiǎn)管理讓企業(yè)可評(píng)估其試圖保護(hù)的內(nèi)容及原因，以作為確定安全措施的決定性支持要素。全面的信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)該允許企業(yè)根據(jù)其業(yè)務(wù)和組織需求來(lái)評(píng)估其安全需求和風(fēng)險(xiǎn)。

請(qǐng)記住，信息系統(tǒng)及其所包含數(shù)據(jù)的作用時(shí)支持業(yè)務(wù)流程，也是支持企業(yè)實(shí)現(xiàn)目標(biāo)。在實(shí)際中，信息是支持企業(yè)及其使命的基本要素，它有助于維持企業(yè)運(yùn)營(yíng)。

風(fēng)險(xiǎn)定義

根據(jù)卡內(nèi)基梅隆大學(xué)軟件工程研究所的OCTAVE風(fēng)險(xiǎn)評(píng)估方法顯示，風(fēng)險(xiǎn)是指：“遭受破壞或損失的可能性。”威脅是風(fēng)險(xiǎn)的組成部分，可以被認(rèn)為是：威脅行為者(人類或非人類)采取某種行動(dòng)，例如識(shí)別和利用漏洞，導(dǎo)致意想不到和不想要的結(jié)果，例如信息丟失、修改或披露，或者失去對(duì)信息的訪問(wèn)權(quán)限。這些結(jié)果對(duì)企業(yè)將帶來(lái)負(fù)面影響，這些影響可能包括：收益或客戶流失、市場(chǎng)差異化損失、事故響應(yīng)及恢復(fù)的成本以及罰款和監(jiān)管懲罰的成本。

信息安全風(fēng)險(xiǎn)組成部分

信息安全風(fēng)險(xiǎn)有幾個(gè)重要組成部分：

• 威脅行為者：利用漏洞的人類或非人類實(shí)體;
• 漏洞：威脅行為者利用的對(duì)象;
• 結(jié)果：利用漏洞導(dǎo)致的結(jié)果;
• 影響：不良結(jié)果帶來(lái)的影響，不要將結(jié)果與影響混淆。

信息安全風(fēng)險(xiǎn)最后且最重要的組成部分是受風(fēng)險(xiǎn)影響的資產(chǎn)，包括信息、過(guò)程和技術(shù)。假設(shè)資產(chǎn)風(fēng)險(xiǎn)無(wú)法消除，信息安全風(fēng)險(xiǎn)的唯一可控制的組件就是漏洞。我們可通過(guò)以下操作來(lái)控制漏洞：

• 刪除漏洞。如果不存在漏洞，則不能被利用;
• 或者，如果漏洞無(wú)法被刪除：
• 降低漏洞利用的可能性;
• 降低漏洞利用造成影響的嚴(yán)重性;
• 或者什么都不做，接受風(fēng)險(xiǎn)。

還有一種情況是零日漏洞，企業(yè)無(wú)法抵御未知漏洞帶來(lái)的特定結(jié)果和影響，并且沒(méi)有機(jī)會(huì)制定策略來(lái)減少可能性和影響。

風(fēng)險(xiǎn)管理

信息安全風(fēng)險(xiǎn)是發(fā)現(xiàn)、了解、評(píng)估和緩解風(fēng)險(xiǎn)及其根本漏洞的過(guò)程，也是了解對(duì)信息、信息系統(tǒng)以及依靠信息為其運(yùn)營(yíng)的企業(yè)的影響的過(guò)程。除了識(shí)別風(fēng)險(xiǎn)和風(fēng)險(xiǎn)緩解措施之外，風(fēng)險(xiǎn)管理方法和流程也將有所幫助：

• 識(shí)別關(guān)鍵信息資產(chǎn)。風(fēng)險(xiǎn)管理程序可被擴(kuò)展到識(shí)別關(guān)鍵人物、業(yè)務(wù)流程和技術(shù)。
• 了解所選擇的關(guān)鍵資產(chǎn)對(duì)運(yùn)營(yíng)、任務(wù)完成以及業(yè)務(wù)連續(xù)性的重要性。

為了滿足風(fēng)險(xiǎn)管理作為網(wǎng)絡(luò)安全準(zhǔn)備組件的目標(biāo)，企業(yè)必須構(gòu)建強(qiáng)大的信息安全風(fēng)險(xiǎn)評(píng)估和管理程序。如果企業(yè)風(fēng)險(xiǎn)管理(ERM)程序已經(jīng)存在，還可部署信息安全風(fēng)險(xiǎn)管理程序來(lái)支持ERM流程。

用于構(gòu)建信息安全風(fēng)險(xiǎn)管理程序的資源包括：

• NIST Special Publication 800-39，《管理信息安全風(fēng)險(xiǎn)》
• NIST Special Publication 800-30，《風(fēng)險(xiǎn)評(píng)估指南》

信息安全風(fēng)險(xiǎn)管理程序的其他要素包括：

• 資產(chǎn)管理程序
• 配置管理程序
• 變更管理程序