在51CTO安全頻道特別策劃的系列的上一篇文章《》里，J0ker給大家介紹了信息安全管理要實(shí)現(xiàn)的A-I-C目標(biāo)和原則。在接下去的文章，J0ker將帶大家逐步深入信息安全管理的領(lǐng)域，并結(jié)合實(shí)際例子給大家解釋該CISSP CBK中提到的諸多關(guān)鍵名詞。本文將介紹Information Security Management  CBK中的風(fēng)險(xiǎn)評估（Risk Analysis and Assessment）。

我們經(jīng)常可以從媒體或者各種安全資訊上看到一個詞——風(fēng)險(xiǎn)（Risk），但具體到它的含義，以及它在信息技術(shù)領(lǐng)域所代表的意思，卻沒有太多的人可以說的清楚。所謂“風(fēng)險(xiǎn)中存在機(jī)遇“，人們在選擇機(jī)會的同時，也會遇到許多會造成損失的不確定因素，這些不確定的因素便稱之為”風(fēng)險(xiǎn)“。例如，買車能帶來出行方便，但同時也會因?yàn)槿剂腺M(fèi)上漲、路費(fèi)、維修等等不確定的因素導(dǎo)致意外的支出，而且盡管幾率很小，也依然存在發(fā)生交通事故危害生命的情況。

因此，我們在選擇一個機(jī)會之前，常常會或多或少的考慮機(jī)會之中包含著的不確定因素有哪些，更進(jìn)一步的，我們還會想辦法去了解機(jī)會之中的不確定因素到底有多大的可能發(fā)生，并準(zhǔn)備一些可以降低發(fā)生幾率或損失的措施。同時為了更有效的準(zhǔn)備和評估應(yīng)對不確定因素的防御措施，我們還必須認(rèn)真的了解不確定因素的各個組成元素，并搞清楚它們之間的關(guān)系，這個不確定因素的識別、分析和評估的過程，便是本文要介紹的風(fēng)險(xiǎn)分析和評估（Risk Analysis and Assessment）。

進(jìn)行過風(fēng)險(xiǎn)分析和評估之后，接下去自然就是如何應(yīng)對風(fēng)險(xiǎn)——在CISSP CBK中，風(fēng)險(xiǎn)的應(yīng)對方式可以分成三種，J0ker還是用上面買車的例子來介紹：假設(shè)買了車之后，在路上發(fā)生追尾事故的可能性為每三個月一次，如果車主采取了在交通繁忙時刻降低車速，選擇另外車流量較小的道路或者在車上添置防追尾的設(shè)備，這都屬于車主接受了風(fēng)險(xiǎn)存在的事實(shí)，并采取的降低風(fēng)險(xiǎn)發(fā)生可能性或損失的措施，我們稱之為Accept the Risk或Mitigate the Risk；如果車主認(rèn)為部署防追尾的設(shè)備成本比追尾后修一次車還貴的多，或者因?yàn)槠渌蚨鵁o視追尾危險(xiǎn)，這樣稱之為Reject the Risk，或Ignore the Risk，風(fēng)險(xiǎn)并沒有減輕，只是被忽略了。還有一種較為常見的情況是車主通過購買保險(xiǎn)，將追尾可能產(chǎn)生的各種費(fèi)用轉(zhuǎn)移到保險(xiǎn)公司身上，這稱之為Transfer the Risk，即風(fēng)險(xiǎn)轉(zhuǎn)移。Accept和Transfer是對待風(fēng)險(xiǎn)的常用方式，但在某些不太重要的場合，也可以選擇用不作為的方式。

風(fēng)險(xiǎn)的識別、分析和評估、消除、轉(zhuǎn)移整個流程我們稱之為風(fēng)險(xiǎn)管理（Risk Management），在進(jìn)行風(fēng)險(xiǎn)管理的流程時，以下的關(guān)鍵的問題需要弄清楚：
1、 What could happen （Threat event，風(fēng)險(xiǎn)的具體形式，威脅）
2、 If it happened, how bad could it be （Threat impact，威脅的影響程度）
3、 How often it could happen （Threat frequency， 威脅發(fā)生的頻率）
4、 How certain are the answers to the first three questions （Recognition of uncertainty， 威脅發(fā)生的幾率和不確定性）
這些問題都可以從風(fēng)險(xiǎn)分析和評估中獲得答案，威脅發(fā)生的不確定性是風(fēng)險(xiǎn)管理中的核心問題，當(dāng)然，誰都希望為所有可能發(fā)生的情況做好充分的準(zhǔn)備，但現(xiàn)實(shí)常常不允許我們這樣考慮，我們只能夠保證優(yōu)先度最高的部位和風(fēng)險(xiǎn)最有可能發(fā)生的部位能部署到風(fēng)險(xiǎn)管理方案。通過風(fēng)險(xiǎn)分析和評估，我們可以從上述4個問題中發(fā)現(xiàn)一些無法忽視的風(fēng)險(xiǎn)(Unacceptable Risks)，我們需要部署相應(yīng)的方案來應(yīng)對它們，以下的問題需要了解清楚：
1、 What can be done（Risk Mitigation，風(fēng)險(xiǎn)消除方案）
2、 How much will it cost （annualized，方案每年平均成本）
3、 Is it cost effective （Cost/Benefit Analysis，費(fèi)效比分析）
上述問題的解答將最終決定一個實(shí)體對風(fēng)險(xiǎn)對象的最終解決方案，并執(zhí)行管理層批準(zhǔn)、財(cái)務(wù)提供預(yù)算、采購、部署、維護(hù)等流程進(jìn)行實(shí)施。對于IT領(lǐng)域，風(fēng)險(xiǎn)管理則更進(jìn)一步的細(xì)化為Information Risk Management（IRM），因?yàn)镮T技術(shù)不斷的發(fā)展，IRM也是一個沒有結(jié)束期，需要持續(xù)關(guān)注的行為。

在進(jìn)行下面的內(nèi)容之前，J0ker打算先向大家列出幾個關(guān)鍵的名詞：
SLE：Single Loss Expectancy，風(fēng)險(xiǎn)發(fā)生時的單個對象的損失
ARO：Annualized rate of Occurrence，一年內(nèi)風(fēng)險(xiǎn)發(fā)生的幾率
ALE：Annualized Loss Expectancy，風(fēng)險(xiǎn)發(fā)生時每年平均損失，ALE=SLE×ARO，即如果一個對象遭遇風(fēng)險(xiǎn)時損失(SLE)是10萬元，每年發(fā)生該風(fēng)險(xiǎn)的幾率(ARO)是1/100，那每年平均損失就是100000×0.01=1000
Information Asset：信息資產(chǎn)，對組織運(yùn)作起關(guān)鍵作用的信息相關(guān)實(shí)體，比如客戶資料、交易情況等等，信息資產(chǎn)的價(jià)值由許多元素組成，包括最基本的信息本身的價(jià)值、信息處理支持軟件的價(jià)值、信息的Availability、Confidentiality、Integrity屬性、信息處理所需的硬件設(shè)備也可認(rèn)為屬于信息資產(chǎn)，信息資產(chǎn)的價(jià)值還可以根據(jù)損失它后會對組織造成信息本身價(jià)值之外的損失的大小來進(jìn)行評估。
Qualitative/Quantitative：質(zhì)化/量化，對于信息資產(chǎn)價(jià)值的評估，通常可以采用量化和質(zhì)化的方式，對于能直接算出資產(chǎn)價(jià)值的對象，如設(shè)備、軟件等，可以用量化的方式，直接算出它的價(jià)值。對于另外一些無法量化的對象，如數(shù)據(jù)、業(yè)務(wù)流程等，則可以使用質(zhì)化的方式，請使用該對象的人員，用分級的方式評估該資產(chǎn)的價(jià)值，J0ker覺得簡單的五分法可以應(yīng)付一般的任務(wù)， 將信息資產(chǎn)按其對組織運(yùn)營的重要程度，分為非常重要、重要、比較重要、一般、不重要五個級別，并對應(yīng)1-5分，分值越高，信息資產(chǎn)的重要程度也越高。
Risk：風(fēng)險(xiǎn)，潛在的損失或傷害，請參考本文前面的內(nèi)容
Threat：威脅，有可能造成風(fēng)險(xiǎn)的因素，比如各種惡意軟件、自然災(zāi)害等
Safeguard：風(fēng)險(xiǎn)防御措施，通常也稱為Control，風(fēng)險(xiǎn)控制措施
Vulnerability：漏洞，風(fēng)險(xiǎn)防御措施的缺失或弱點(diǎn)，通常出現(xiàn)漏洞就意味著風(fēng)險(xiǎn)發(fā)生的頻率更高和風(fēng)險(xiǎn)發(fā)生時損失更大。比如沒有安裝反病毒軟件便可認(rèn)為是一個漏洞，會使惡意軟件攻擊的發(fā)生幾率和損失更大。
信息風(fēng)險(xiǎn)管理是一個復(fù)雜的流程，它需要根據(jù)每個組織不同的信息資產(chǎn)和業(yè)務(wù)流程情況，并綜合企業(yè)管理、經(jīng)營預(yù)算、員工行為等來進(jìn)行制定并執(zhí)行。如果大家有興趣進(jìn)一步深入IRM的領(lǐng)域，請參考CISSP Official Guide、All in One或其他CISSP參考書。

下篇預(yù)告：《復(fù)習(xí)-ISM(3)》，J0ker將向大家介紹Information Security Management的基礎(chǔ)——信息分級，Information Classification。