——控制措施(control)或对策(countermeasure),即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。残留风险(ResidualRisk)——在实施安全措施之后仍然存在的风险。一个下里巴人的例子:我口袋里有100块钱,因为打瞌睡,被小偷偷走了,搞得晚上没饭吃。用风险评估的观点来描述这个案例,我们可以对这些概念作如下理解: 风险=钱被偷走资产=100块钱影响=晚上没饭吃威胁=小偷弱点=打瞌睡来做一下RA(小练习)评价风险识别风险信息资产价值严重性可能性弱点存在威胁利用侵害关键的风险因素资产、威胁和弱点的关系表资产威胁A来源A1来源A2……威胁B来源B1来源B2……弱点A1弱点A2……弱点B1弱点B2……弱点威胁影响的资产逻辑访问控制水平低蓄意破坏软件软件,信誉窃取软件数据完整性,信誉没有应急计划火灾、飓风、地震、水灾、恐怖攻击设施、硬件、存储介质、数据可用性、软件、信誉窃取软件数据完整性,企业信誉风险评估和管理的目标低影响高可能性高影响高可能性高影响低可能性低影响低可能性威胁带来的影响威胁发生的可能性目标采取有效措施,降低威胁事件发生的可能性,或者减小威胁事件造成的影响,从而将风险消减到可接受的水平。关键是实现成本利益的平衡安全控制的成本安全事件的损失最小化的总成本低高高安全成本/损失所提供的安全水平风险评估的方法定性风险分析优点计算方式简单,易于理解和执行不必精确算出资产价值和威胁频率不必精确计算推荐的安全措施的成本流程和报告形式比较有弹性缺点本质上是非常主观的,其结果高度依赖于评估者的经验和能力,很难客观地跟踪风险管理的效果对关键资产财务价值评估参考性较低定量风险评估方法:试图从数字上对安全风险进行分析评估的一种方法。定性风险评估方法:凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素的大小或高低程度定性分级。
全文预览
