网络安全之风险管理

本文摘自CISSP官方学习指南第9版。 在网络安全的管理中， 风险的管理是必不可少的。那么怎样去管理组织内的风险、发现风险以及后续的处理呢？我们来看一下在CISSP中是怎么描述的。

风险：发生损害、破坏或泄露数据或其他资源的可能性称为风险。

风险管理是一个详细的过程，包括识别可能造成数据损坏或泄露的风险，根据数据价值和控制措施的成本评估这些因素，并实施具有成本效益的解决方案来减轻风险。

风险管理的整体过程用于制定和实施信息安全策略，这些策略的目标是减少风险和支持组织的使命。

风险管理的主要目标是将风险降至可接受的水平。

实现风险管理目标的过程称为风险分析，包括：

检查环境中的风险

评估每个威胁事件发生的可能性和实际发生后造成的损失

评估各种风险控制措施的成本

完成风险防护措施的成本、收益报告并向管理层汇报

#风险术语

资产（Asset）：资产可以是环境中需要保护的任何事物，包括业务流程或任务中用到的所有资源。

资产估值：是根据实际成本和非货币性支出给资产指定的货币价值。

威胁（Threat）：任何可能发生的，对组织或特定资产造成不良或非预期结果的潜在事件都是威胁。

脆弱性（vulnerability）：是资产中的弱点，是防护措施或控制措施的弱点，或缺乏防护措施、控制措施。

暴露（Exposure）：指脆弱性被威胁主体或威胁事件加以利用的可能性是存在的。

风险（Risk）：是威胁利用脆弱性对资产造成损害的概率。风险可定义为：风险=威胁*脆弱性

防护措施（Safeguard）：指任何能消除或减少脆弱性，或能抵御一个或多个特定威胁的事物。

攻击（Attack）：是威胁主体对脆弱性的利用。

破坏（Breach）：是指安全机制被威胁主体绕过或阻止。

#识别威胁和脆弱性

风险管理的一个基础部分是识别与检查威胁。

大多数情况下，执行风险评估和分析的应该是一个团队而不是单独的个人。团队成员来自于各个部门。

风险评估、分析主要是高层管理人员的工作，他们负责通过定义工作的范围和目标来启动和支持风险分析和评估。风险分析的实际执行过程通常分配给安全专业人员或评估团队，所有风险评估、结果、决策和结果都必须得到高层管理人员的理解和批准，这是"应尽