網(wǎng)絡(luò)安全中組件驅(qū)動(dòng)的風(fēng)險(xiǎn)管理原則。

　　組件驅(qū)動(dòng)的風(fēng)險(xiǎn)評(píng)估是網(wǎng)絡(luò)安全行業(yè)中最成熟和最常見的評(píng)估類型。本文描述了組件驅(qū)動(dòng)技術(shù)的共同點(diǎn)，它們?cè)谀男┓矫嬖黾恿藘r(jià)值，哪些方面沒有。

　　一旦了解了這些基礎(chǔ)知識(shí)，應(yīng)該能夠掌握任何組件驅(qū)動(dòng)的標(biāo)準(zhǔn)或框架（因?yàn)樗鼈兓陬愃频娘L(fēng)險(xiǎn)觀點(diǎn)）并了解它們與系統(tǒng)驅(qū)動(dòng)方法的區(qū)別。

　　如果還沒有這樣做，請(qǐng)?jiān)陂喿x本文之前閱讀組件驅(qū)動(dòng)和系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)評(píng)估簡(jiǎn)介。

　　范圍和資產(chǎn)

　　不出所料，組件驅(qū)動(dòng)的風(fēng)險(xiǎn)評(píng)估側(cè)重于系統(tǒng)組件。那么我們所說的“系統(tǒng)組件”是什么意思呢？典型的例子包括：

　　硬件（計(jì)算機(jī)、服務(wù)器等）

　　軟件

　　數(shù)據(jù)集

　　服務(wù)

　　個(gè)人信息

　　關(guān)鍵業(yè)務(wù)信息

　　職員

　　對(duì)系統(tǒng)組件的關(guān)注要求您首先定義正在分析的功能（例如，工資單功能）。此功能稱為評(píng)估的“范圍”。然后，您需要說明在對(duì)范圍的風(fēng)險(xiǎn)評(píng)估中考慮了哪些組件，哪些不是。這通常被稱為“資產(chǎn)清單”或“資產(chǎn)登記冊(cè)”。

　　無法控制的組件（但您自己的系統(tǒng)所依賴的組件）稱為依賴項(xiàng)，并且可以包含在資產(chǎn)列表中，前提是這些依賴項(xiàng)如何影響可以控制的組件。范圍有時(shí)最好以圖表的形式呈現(xiàn)，它清楚地顯示了哪些內(nèi)容、哪些內(nèi)容以及關(guān)鍵資產(chǎn)是如何連接的。

　　風(fēng)險(xiǎn)要素

　　一旦確定了范圍，大多數(shù)組件驅(qū)動(dòng)的方法都需要風(fēng)險(xiǎn)分析師評(píng)估風(fēng)險(xiǎn)的三個(gè)要素。這三個(gè)要素通常用影響、脆弱性和威脅這三個(gè)術(shù)語來描述。

　　影響

　　影響是風(fēng)險(xiǎn)被實(shí)現(xiàn)的后果。在進(jìn)行組件驅(qū)動(dòng)的風(fēng)險(xiǎn)評(píng)估時(shí)，影響通常是根據(jù)給定資產(chǎn)以給定方式受到損害的后果來描述的。這種影響以不同的方式描述，但更常見的技術(shù)之一是評(píng)估對(duì)信息的機(jī)密性、完整性和可用性的影響。例如，可能會(huì)根據(jù)客戶數(shù)據(jù)集的機(jī)密性丟失或公司帳戶的損壞（完整性丟失）來描述影響。這些財(cái)產(chǎn)之一的損失可能與其他類型的后果有關(guān)，例如金錢損失、生命損失、項(xiàng)目延誤或任何其他類型的不良后果。

　　漏洞

　　漏洞是組件中的一個(gè)弱點(diǎn)，可以有意或無意地實(shí)現(xiàn)影響。例如，漏洞可能是允許用戶非法增加其用戶賬戶權(quán)限的軟件，或業(yè)務(wù)流程中的弱點(diǎn)（例如，在向某人頒發(fā)訪問在線系統(tǒng)的憑據(jù)之前未正確檢查某人的身份或服務(wù)）。無論所討論的漏洞類型如何，它都可以用來造成影響。

　　威脅

　　威脅是導(dǎo)致特定影響發(fā)生的個(gè)人、團(tuán)體或環(huán)境。例如，這可能是：

　　一個(gè)孤獨(dú)的黑客，或一個(gè)國(guó)家資助的團(tuán)體

　　犯了誠實(shí)錯(cuò)誤的員工

　　組織無法控制的情況（例如高影響天氣）

　　評(píng)估威脅的目的是改進(jìn)對(duì)給定風(fēng)險(xiǎn)實(shí)現(xiàn)可能性的評(píng)估。通常，在評(píng)估人類威脅行為者時(shí)，分析師會(huì)考慮可能想要傷害組織的人。這使他們能夠同時(shí)考慮這些團(tuán)體的能力和意圖。風(fēng)險(xiǎn)專家使用威脅分類法和分類方法來提供威脅能力的通用語言。

　　威脅評(píng)估的弱點(diǎn)之一是威脅的能力可以迅速變化，并且很難獲得關(guān)于這些變化的可靠信息。因此，不要對(duì)威脅能力的評(píng)估視為靜態(tài)評(píng)估，并確保認(rèn)識(shí)到威脅評(píng)估中的不確定性和可變性。

　　應(yīng)用和傳達(dá)威脅、脆弱性和影響

　　一旦評(píng)估了這些風(fēng)險(xiǎn)要素，下一步就是將這些評(píng)估結(jié)合起來，以確定哪些風(fēng)險(xiǎn)最令人擔(dān)憂。一些技術(shù)通過將威脅、脆弱性和影響的評(píng)估組合到每個(gè)系統(tǒng)組件的單一風(fēng)險(xiǎn)度量中來實(shí)現(xiàn)這一點(diǎn)。這并不像某些標(biāo)準(zhǔn)聲稱的那樣簡(jiǎn)單。風(fēng)險(xiǎn)的三個(gè)組成部分彼此根本不同，比較它們就像比較蘋果和橙子。一些方法建議使用風(fēng)險(xiǎn)矩陣來結(jié)合對(duì)威脅、脆弱性和影響的評(píng)估。

　　優(yōu)先考慮的風(fēng)險(xiǎn)

　　一旦對(duì)各種威脅、脆弱性和影響進(jìn)行評(píng)估并組合以創(chuàng)建風(fēng)險(xiǎn)列表，就可以根據(jù)它們的相關(guān)程度對(duì)它們進(jìn)行優(yōu)先級(jí)排序?？梢允紫裙芾碜钕嚓P(guān)的風(fēng)險(xiǎn)。可以通過多種方式傳達(dá)風(fēng)險(xiǎn)的優(yōu)先級(jí)。例如，可以：

　　估計(jì)影響的財(cái)務(wù)損失（如果要實(shí)現(xiàn)）

　　提供資產(chǎn)受到損害時(shí)需要發(fā)生的事件鏈的敘述

　　許多標(biāo)準(zhǔn)化的組件驅(qū)動(dòng)風(fēng)險(xiǎn)管理技術(shù)使用定性標(biāo)簽來描述影響級(jí)別，通常帶有“高”、“中”和“低”等標(biāo)簽。雖然這些相當(dāng)直觀，但研究表明，不同的人對(duì)這些標(biāo)簽的解釋方式存在巨大差異。當(dāng)考慮到這種理解上缺乏一致性時(shí)，應(yīng)該非常謹(jǐn)慎地使用這些標(biāo)簽（以及類似的“紅綠燈”方法）。使用的技術(shù)應(yīng)該適合風(fēng)險(xiǎn)評(píng)估的受眾；它想影響誰？你想告知什么決定？從評(píng)估中提供的信息是否有助于或阻礙決策？

　　有些方法有一個(gè)現(xiàn)成的任務(wù)或目標(biāo)列表，可用于減輕已識(shí)別的風(fēng)險(xiǎn)。這些被稱為“控制集”，可以從中為每個(gè)風(fēng)險(xiǎn)選擇最合適的緩解措施。

　　常用的組件驅(qū)動(dòng)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方法和框架

　　本節(jié)簡(jiǎn)要介紹常用的組件驅(qū)動(dòng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方法和框架。

　　選擇適合技術(shù)

　　在選擇風(fēng)險(xiǎn)方法或框架時(shí)，需要考慮：

　　使用該方法的總成本。例如，工具、許可和專業(yè)知識(shí)的采購。

　　項(xiàng)目范圍。風(fēng)險(xiǎn)方法是否與正在評(píng)估的內(nèi)容相稱？

　　確保所需的資源是相稱的和可持續(xù)的。需要哪些專業(yè)資源，現(xiàn)實(shí)有嗎？

　　是否有任何許可限制？