威脅與脆弱性

系統(tǒng)外部可能造成的損害成為威脅，例如盯上雞蛋的蒼蠅。

系統(tǒng)內(nèi)部可能造成的損害成為脆弱性，例如雞蛋上裂縫

系統(tǒng)風(fēng)險(xiǎn)則是威脅利用脆弱性造成損害的可能性，蒼蠅叮咬有裂縫的雞蛋。

風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估就是依據(jù)風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，利用評(píng)估的方法、技術(shù)和工具，全面評(píng)價(jià)系統(tǒng)中的威脅、脆弱點(diǎn)以及帶來風(fēng)險(xiǎn)大小的評(píng)估。

對信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，首先要確保評(píng)估和分析的內(nèi)容、范圍應(yīng)該覆蓋整個(gè)信息系統(tǒng)的體系。

系統(tǒng)體系包含：系統(tǒng)基本情況分析、系統(tǒng)安全狀況調(diào)查、系統(tǒng)安全組織、政策分析、系統(tǒng)弱點(diǎn)漏洞分析等。

風(fēng)險(xiǎn)評(píng)估流程：

1. 確定資產(chǎn)：確定信息系統(tǒng)資產(chǎn)，明確資產(chǎn)價(jià)值。
2. 脆弱性和威脅分析：分析項(xiàng)目的脆弱性和威脅，評(píng)估發(fā)生概率及損失。
3. 制定應(yīng)對方案：提出各種應(yīng)對手段和解決辦法。
4. 決策：評(píng)估影響、排列風(fēng)險(xiǎn)、制定決策。
5. 溝通與交流
6. 方案實(shí)施。

風(fēng)險(xiǎn)評(píng)估方法：

1. 定性風(fēng)險(xiǎn)評(píng)估：評(píng)估、匯總風(fēng)險(xiǎn)發(fā)生的概率和影響，并對風(fēng)險(xiǎn)進(jìn)行排序。
2. 定量風(fēng)險(xiǎn)評(píng)估：定量分析已識(shí)別風(fēng)險(xiǎn)對項(xiàng)目的整體影響。
3. 定量與定性結(jié)合的風(fēng)險(xiǎn)評(píng)估：常用的方法有層次分析法，核心是將決策者的經(jīng)驗(yàn)判斷進(jìn)行量化，并提供定量的決策依據(jù)。層次分析法步驟：系統(tǒng)分解、構(gòu)造判斷矩陣、層次總排序。

風(fēng)險(xiǎn)管理

風(fēng)險(xiǎn)管理目的：提高積極風(fēng)險(xiǎn)的發(fā)生概率和影響，降低消極風(fēng)險(xiǎn)的發(fā)生概率和影響。

項(xiàng)目管理中定義的風(fēng)險(xiǎn)管理包含如下過程：

1. 規(guī)劃風(fēng)險(xiǎn)管理
2. 識(shí)別風(fēng)險(xiǎn)
3. 定性風(fēng)險(xiǎn)分析
4. 定量風(fēng)險(xiǎn)分析
5. 風(fēng)險(xiǎn)控制：制定具體的積極的、消極的風(fēng)險(xiǎn)應(yīng)對方案。
6. 風(fēng)險(xiǎn)監(jiān)控：整個(gè)項(xiàng)目過程中，跟蹤已知風(fēng)險(xiǎn)，識(shí)別新風(fēng)險(xiǎn)，實(shí)施風(fēng)險(xiǎn)應(yīng)對、評(píng)估風(fēng)險(xiǎn)有效性。

減少風(fēng)險(xiǎn)的方法：

1. 避免風(fēng)險(xiǎn)，如：隔離重要計(jì)算機(jī)免受攻擊
2. 轉(zhuǎn)移風(fēng)險(xiǎn)，如：外包服務(wù)、購買保險(xiǎn)
3. 減少威脅，如：安裝殺毒軟件
4. 減少脆弱性，如：安裝系統(tǒng)補(bǔ)丁
5. 減少威脅可能的影響，如：制定業(yè)務(wù)持續(xù)性計(jì)劃，把損失降到最低。
6. 檢測并響應(yīng)和恢復(fù)意外事件，如：使用網(wǎng)管軟件檢測系統(tǒng)性能和故障，發(fā)現(xiàn)問題進(jìn)行響應(yīng)。

在實(shí)施風(fēng)險(xiǎn)控制后，仍然會(huì)存在風(fēng)險(xiǎn)，成為剩余風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)接受是一個(gè)對剩余風(fēng)險(xiǎn)進(jìn)行確認(rèn)、評(píng)價(jià)接受的過程。

下期學(xué)習(xí)安全法規(guī)和標(biāo)準(zhǔn)。