【文章內(nèi)容簡(jiǎn)介】 性方法具有一定程度的嚴(yán)密性可幫助所有類型的組織更好地利用他們的資源。最近的安全事件可幫助組織預(yù)測(cè)將來(lái)的問(wèn)題并做好準(zhǔn)備工作。 這意味著如果組織以一種平靜且理性的方式來(lái)響應(yīng)安全事件，并且確定允許事件發(fā)生的根本原因，則能夠更好地保護(hù)組織在將來(lái)不受類似問(wèn)題的傷害，并且能更快地響應(yīng)可能出現(xiàn)的其他問(wèn)題。深入檢查事件響應(yīng)超出了本指南的范圍，響應(yīng)安全事件時(shí)遵循六個(gè)步驟可幫助您快速而有效地進(jìn)行管理：1.保護(hù)人身安全。 總是應(yīng)該首先保證這一點(diǎn)。 例如，如果受影響的計(jì)算機(jī)包括生命支持系統(tǒng)，關(guān)閉計(jì)算機(jī)可能并不是一種選擇；也許您能通過(guò)重新配置路由器和交換機(jī)而不中斷生命支持系統(tǒng)幫助病人的能力，從而合乎邏輯地隔離網(wǎng)絡(luò)上的系統(tǒng)。2.遏制損害。 遏制攻擊造成的損害有助于遏制其他損害。 快速保護(hù)重要的數(shù)據(jù)、軟件和硬件。 最大程度地減少計(jì)算機(jī)應(yīng)用資源的中斷是一個(gè)重要的考慮因素，但是在攻擊期間保持系統(tǒng)運(yùn)行可能會(huì)導(dǎo)致長(zhǎng)期運(yùn)行時(shí)更為廣泛傳播的問(wèn)題。 例如，如果您的環(huán)境感染了蠕蟲病毒，您可以通過(guò)斷開服務(wù)器與網(wǎng)絡(luò)的連接來(lái)遏制損害。 但是，有時(shí)斷開服務(wù)器可能導(dǎo)致更大損害而無(wú)益。 請(qǐng)使用您最好的判斷力及對(duì)自己網(wǎng)絡(luò)與系統(tǒng)的了解做出此決定。 如果您確定沒(méi)有副作用，或措施的正面效果超過(guò)了負(fù)面效果，在安全事件期間應(yīng)通過(guò)從網(wǎng)絡(luò)斷開受影響的系統(tǒng)盡快開始實(shí)施遏制措施。 如果不能通過(guò)隔離服務(wù)器來(lái)遏制損害，確保您積極監(jiān)視攻擊者的行動(dòng)以便能夠盡可能快地消除損害。 在任何事件中，確保在關(guān)閉任何服務(wù)器之前保存所有日志文件，以保留這些文件所含的信息，作為以后您（或您的律師）需要的證據(jù)。3.評(píng)估損害。 立即制作受到攻擊的任何服務(wù)器中硬盤的副本，并將這些副本另放他處以便以后鑒定時(shí)使用。 然后評(píng)估損害。 您應(yīng)在遏制情形并復(fù)制硬盤后盡快確定攻擊造成的損害程度。 這非常重要，這樣您便可以盡快恢復(fù)組織的運(yùn)作，同時(shí)保留硬盤的副本以便進(jìn)行調(diào)查。 如果不能及時(shí)評(píng)估損害，應(yīng)當(dāng)實(shí)施應(yīng)變計(jì)劃，以便可以維持正常的業(yè)務(wù)運(yùn)營(yíng)和工作效率。 在此時(shí)，組織可能想對(duì)事件實(shí)施法律行動(dòng)；但是，您應(yīng)當(dāng)在事件發(fā)生前與有權(quán)管轄組織業(yè)務(wù)的法律實(shí)施機(jī)構(gòu)建立并維護(hù)工作關(guān)系，這樣便可在發(fā)生嚴(yán)重問(wèn)題時(shí)知道向誰(shuí)聯(lián)系及如何與他們協(xié)同工作。 您也應(yīng)當(dāng)立即通知您的法律部門，這樣他們便可確定是否可以因損害而向肇事者提起民事訴訟。4.確定損害原因。 為了確定攻擊的起源，必須弄清此次攻擊瞄準(zhǔn)的是哪些資源，以及它是通過(guò)什么安全漏洞來(lái)獲得訪問(wèn)權(quán)或中斷服務(wù)的。 在直接受影響的系統(tǒng)以及向系統(tǒng)傳輸數(shù)據(jù)流量的網(wǎng)絡(luò)設(shè)備上檢查系統(tǒng)配置、修補(bǔ)程序級(jí)別、系統(tǒng)日志和審核記錄。 這些檢查通常有助于發(fā)現(xiàn)攻擊源于系統(tǒng)中的哪一位置以及還有其他哪些資源受到了影響。 您應(yīng)在適當(dāng)計(jì)算機(jī)系統(tǒng)上執(zhí)行此操作，而不是在第 3 步中建立的備份驅(qū)動(dòng)器上。 必須使那些驅(qū)動(dòng)器保持為未經(jīng)使用狀態(tài)以便進(jìn)行鑒定，這樣執(zhí)法部門或您律師可用這些驅(qū)動(dòng)器來(lái)跟蹤攻擊者并將其繩之以法。 如果您需要建立一個(gè)用于測(cè)試的備份以確定損害原因，請(qǐng)從原來(lái)的系統(tǒng)建立第二個(gè)備份，并且使第 3 步中建立的驅(qū)動(dòng)器保持為未經(jīng)使用狀態(tài)。5.修復(fù)損壞部分。 在多數(shù)情況下，非常重要的是要盡快修復(fù)損壞部分，以便恢復(fù)正常的業(yè)務(wù)運(yùn)營(yíng)，并修復(fù)攻擊期間丟失的數(shù)據(jù)。 組織的業(yè)務(wù)連續(xù)性計(jì)劃和步驟應(yīng)包括此恢復(fù)策略。 還應(yīng)有事件響應(yīng)小組來(lái)處理修復(fù)和恢復(fù)過(guò)程，或向負(fù)責(zé)小組提供恢復(fù)過(guò)程指導(dǎo)。 在恢復(fù)期間，需要執(zhí)行應(yīng)急步驟以遏制損害的擴(kuò)展并將損害隔離起來(lái)。 將修復(fù)后的系統(tǒng)投入服務(wù)后，請(qǐng)通過(guò)確保已解決在事件發(fā)生期間被利用的任何漏洞，使系統(tǒng)不會(huì)立即被重新感染。6.審查響應(yīng)和更新策略。 在文檔制作和恢復(fù)階段完成之后，應(yīng)全面審查整個(gè)流程。 與小組成員一起討論哪些步驟成功了，以及出現(xiàn)了哪些疏漏。 基本在任何情況下，您都會(huì)發(fā)現(xiàn)整個(gè)過(guò)程總是存在需要修改的地方。只有不斷完善，才能更好地應(yīng)對(duì)將來(lái)可能發(fā)生的事件。 您將不可避免地發(fā)現(xiàn)您的事件響應(yīng)計(jì)劃中存在弱點(diǎn)。 這是這種事后方法的關(guān)鍵 — 您正在尋求改善的機(jī)會(huì)。 任何缺陷將推動(dòng)另一輪事件響應(yīng)規(guī)劃流程，這樣您便可更加順暢地處理將來(lái)的事件。此方法如下圖所示：圖 事件響應(yīng)流程. 前瞻性方法與反應(yīng)性方法相比，前瞻性安全風(fēng)險(xiǎn)管理有很多優(yōu)點(diǎn)。 與等待壞事情發(fā)生然后再做出響應(yīng)不同，前瞻性方法首先最大程度地降低壞事情發(fā)生的可能性。 您制定計(jì)劃，通過(guò)實(shí)施控制來(lái)保護(hù)組織的重要資產(chǎn)，這些控制減少被惡意軟件、攻擊者或偶然誤用等利用漏洞的風(fēng)險(xiǎn)。 可用類推來(lái)幫助說(shuō)明此觀點(diǎn)。 流行性感冒是一種致命的呼吸道疾病，美國(guó)每年都會(huì)有數(shù)以百萬(wàn)計(jì)的感染者。 這些感染者中，至少有 100,000 人必須入院治療，并且約有 36,000 人死亡。 您可能會(huì)選擇通過(guò)等待以確定您是否受到感染，如果確實(shí)受到感染，則采用服藥治療這種方式來(lái)治療疾病。 此外，您也可以選擇在流行性感冒病發(fā)季節(jié)開始之前接種疫苗。 當(dāng)然，組織不應(yīng)完全放棄事件響應(yīng)。 一個(gè)有效的前瞻性方法可幫助組織顯著減少將來(lái)發(fā)生安全事件的數(shù)量，但是似乎此類問(wèn)題并不會(huì)完全消失。 因此，組織應(yīng)繼續(xù)改善他們的事件響應(yīng)流程，同時(shí)制定長(zhǎng)期的前瞻性方法。 本章的后續(xù)部分以及本指南的剩余章節(jié)將詳細(xì)介紹前瞻性風(fēng)險(xiǎn)管理。 每種安全風(fēng)險(xiǎn)管理方法共用某些常見的高級(jí)過(guò)程：1.確定企業(yè)資產(chǎn)。2.確定對(duì)某項(xiàng)資產(chǎn)的攻擊會(huì)對(duì)組織造成什么損害。3.確定攻擊可利用的安全漏洞。4.確定如何通過(guò)實(shí)施適當(dāng)?shù)目刂拼胧┳畲蟪潭鹊販p少攻擊的風(fēng)險(xiǎn)。返回頁(yè)首. 確定風(fēng)險(xiǎn)優(yōu)先級(jí)的方法術(shù)語(yǔ)風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)評(píng)估在本指南中頻繁使用，但是盡管兩者之間有關(guān)系，卻并不能互換。 Microsoft 安全風(fēng)險(xiǎn)管理流程將風(fēng)險(xiǎn)管理定義為將整個(gè)企業(yè)內(nèi)的風(fēng)險(xiǎn)降低到可接受水平的整體流程。 將評(píng)估風(fēng)險(xiǎn)定義為確定企業(yè)面臨的風(fēng)險(xiǎn)并確定其優(yōu)先級(jí)的流程。確定風(fēng)險(xiǎn)優(yōu)先級(jí)或評(píng)估風(fēng)險(xiǎn)有多種方法，但是大多數(shù)都基于兩種方法或這兩種方法的組合：定量風(fēng)險(xiǎn)管理或定性風(fēng)險(xiǎn)管理。 請(qǐng)參閱第 1 章“安全風(fēng)險(xiǎn)管理指南介紹”末尾“更多信息”中的資源列表，以獲得指向某些其他風(fēng)險(xiǎn)評(píng)估方法的鏈接。 本章接下來(lái)的幾節(jié)是定量風(fēng)險(xiǎn)評(píng)估和定性風(fēng)險(xiǎn)評(píng)估的摘要與比較，接下來(lái)是 Microsoft 風(fēng)險(xiǎn)管理流程的簡(jiǎn)要說(shuō)明，這樣您便可以了解流程是如何將這兩種方法組合起來(lái)使用的。. 定量風(fēng)險(xiǎn)評(píng)估在定量風(fēng)險(xiǎn)評(píng)估中，目標(biāo)是試圖為在風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分計(jì)算客觀數(shù)字值。 例如，您用替換成本、生產(chǎn)率損失成本、品牌名譽(yù)成本以及其他直接和間接商業(yè)價(jià)值來(lái)估計(jì)各個(gè)企業(yè)資產(chǎn)的真實(shí)價(jià)值。 計(jì)算資產(chǎn)暴露程度、控制成本以及在風(fēng)險(xiǎn)管理流程中確定的所有其他值時(shí)，盡量具有相同的客觀性。 注：本節(jié)在一個(gè)較高層次介紹定量風(fēng)險(xiǎn)分析中的部分步驟，不是對(duì)使用安全風(fēng)險(xiǎn)管理項(xiàng)目中方法的說(shuō)明性指導(dǎo)。此方法有一些固有的難以克服的明顯缺點(diǎn)。 首先，沒(méi)有正式且嚴(yán)格的方法來(lái)有效計(jì)算資產(chǎn)和控制措施的價(jià)值。 換言之，盡管該方法可以向您提供更多詳細(xì)資料，但財(cái)務(wù)價(jià)值實(shí)際上掩蓋了數(shù)字是估計(jì)而來(lái)這一事實(shí)。 如何可以精確且正確地計(jì)算高度公開的安全事件可能對(duì)您品牌造成的影響？ 如果可行，您可以檢查歷史數(shù)據(jù)，但通常情況下是不行。其次，嘗試過(guò)小心翼翼地應(yīng)用各方面的定量風(fēng)險(xiǎn)管理的組織發(fā)現(xiàn)流程需要大量的成本。 此類項(xiàng)目通常需要非常長(zhǎng)的時(shí)間來(lái)完成其全部周期，并且通常會(huì)出現(xiàn)員工對(duì)如何計(jì)算具體財(cái)務(wù)價(jià)值的詳情發(fā)生爭(zhēng)論的情形。 再次，對(duì)具有高價(jià)值資產(chǎn)的組織而言，暴露成本是如此之高，以致于您要用大量的資金來(lái)緩解您面臨的任何風(fēng)險(xiǎn)。 然后這并不現(xiàn)實(shí)；組織不會(huì)用其整個(gè)預(yù)算來(lái)保護(hù)單一資產(chǎn)甚至前五個(gè)重要資產(chǎn)。 . 定量方法的細(xì)節(jié)此時(shí)，一般性地了解定量風(fēng)險(xiǎn)評(píng)估的優(yōu)點(diǎn)與缺點(diǎn)可能會(huì)有所幫助。 本節(jié)的其余部分介紹在定量風(fēng)險(xiǎn)評(píng)估中通常會(huì)評(píng)估的幾個(gè)因素和價(jià)值，例如資產(chǎn)估價(jià)、成本控制、確定安全投資收益 (ROSI) 以及計(jì)算單一預(yù)期損失 (SLE) 、年發(fā)生率 (ARO) 和年預(yù)期損失 (ALE) 的值。 這并不意味著一個(gè)對(duì)定量風(fēng)險(xiǎn)評(píng)估的所有方法進(jìn)行的全方位說(shuō)明，只是該方法某些細(xì)節(jié)的簡(jiǎn)要說(shuō)明，這樣您便可以了解構(gòu)成所有計(jì)算的基礎(chǔ)的數(shù)字本身具有主觀性。. 評(píng)估資產(chǎn)確定資產(chǎn)的貨幣價(jià)值是安全風(fēng)險(xiǎn)管理的一個(gè)重要組成部分。 業(yè)務(wù)經(jīng)理通常會(huì)根據(jù)資產(chǎn)的價(jià)值來(lái)決定應(yīng)該花多少錢和時(shí)間來(lái)保護(hù)資產(chǎn)的安全。 作為其業(yè)務(wù)連續(xù)性計(jì)劃的一部分，許多組織都維護(hù)一份資產(chǎn)價(jià)值 (AV) 清單。 注意計(jì)算出的數(shù)字實(shí)際上是主觀估計(jì)，但是不存在用來(lái)確定資產(chǎn)價(jià)值的客觀工具或方法。 為了向資產(chǎn)指定價(jià)值，請(qǐng)計(jì)算下列三個(gè)主要因素：?對(duì)于您的組織該資產(chǎn)所具有的總價(jià)值。 從財(cái)務(wù)上計(jì)算或估算資產(chǎn)價(jià)值。 考慮這樣一個(gè)簡(jiǎn)單示例，一個(gè)通常每周七天、每天 24 小時(shí)運(yùn)行，平均每小時(shí)從客戶訂單獲得 2000 元收入的電子商務(wù)網(wǎng)站臨時(shí)中斷的影響。 您可以自信地宣布該網(wǎng)站的年銷售收入為 17,520,000 元。?資產(chǎn)損失對(duì)財(cái)務(wù)的直接影響。 如果有意簡(jiǎn)化示例并假定網(wǎng)站每小時(shí)的收益不變，同樣的網(wǎng)站停用六個(gè)小時(shí)，則計(jì)算出的暴露系數(shù)為每年 %。 資產(chǎn)年價(jià)值乘以暴露百分比，可以預(yù)測(cè)此時(shí)直接損失是 12,000 元。 事實(shí)上，大多數(shù)電子商務(wù)網(wǎng)站視每天的不同時(shí)段、星期幾、季節(jié)、營(yíng)銷活動(dòng)和其他因素而有不同的收益率。 此外某些客戶可能找到更喜歡從其進(jìn)行購(gòu)買的備選網(wǎng)站，因此網(wǎng)站可能會(huì)永久性地失去一些用戶。 如果要進(jìn)行精確計(jì)算并考慮所有潛在類型的損失，則計(jì)算收入損失實(shí)際上相當(dāng)復(fù)雜。?損失該資產(chǎn)的間接業(yè)務(wù)影響。 在此示例中，公司估計(jì)將花費(fèi) 10,000 元的廣告費(fèi)用，以抵消該事件造成的負(fù)面影響。 此外，公司也估計(jì)損失年銷售額的 1%，即 17,520 元。 通過(guò)組合額外的廣告支出和年銷售收入損失，可以預(yù)計(jì)本案例的間接總損失為 27,520 元。. 確定 SLE SLE 是指發(fā)生一次風(fēng)險(xiǎn)引起的收入損失總額。 SLE 是分配給單個(gè)事件的金額，代表一個(gè)具體威脅利用漏洞時(shí)公司將面臨的潛在損失。 （SLE 類似于定性風(fēng)險(xiǎn)分析的影響。）通過(guò)將資產(chǎn)價(jià)值與暴露系數(shù)相乘 (EF) 計(jì)算出 SLE。暴露系數(shù)表示成為現(xiàn)實(shí)的威脅對(duì)某個(gè)資產(chǎn)造成的損失百分比。 如果一個(gè)網(wǎng)絡(luò)場(chǎng)的資產(chǎn)價(jià)值為 150,000 元，一場(chǎng)大火造成的損害占其價(jià)值的 25%，此時(shí) SLE 為 37,500 元。 然而這是一個(gè)盡量簡(jiǎn)化的示例；可能還需要考慮其他支出。. 確定 ARO ARO 是一年中風(fēng)險(xiǎn)發(fā)生的次數(shù)，應(yīng)合理預(yù)估該數(shù)字。 做出這些估計(jì)相當(dāng)困難；只有極少的實(shí)際數(shù)據(jù)可供使用。 迄今為止收集的數(shù)據(jù)成為少數(shù)財(cái)產(chǎn)保險(xiǎn)公司持有的私有信息。 為了估計(jì) ARO，請(qǐng)利用以往的經(jīng)驗(yàn)并請(qǐng)教風(fēng)險(xiǎn)管理專家以及安全和業(yè)務(wù)顧問(wèn)。 ARO 類似于定性風(fēng)險(xiǎn)分析的可能性，其范圍從 0 （從不）至 100%（始終）。. 確定 ALE ALE 是您的組織不采取任何減輕風(fēng)險(xiǎn)的措施在一年中可能損失的總金額。 SLE 乘以 ARO 即可計(jì)算出該值。 ALE 類似于定量風(fēng)險(xiǎn)分析的相對(duì)級(jí)別。 例如，如果此同一公司的網(wǎng)絡(luò)場(chǎng)發(fā)生的火災(zāi)導(dǎo)致 37,500 元的損失，而火災(zāi)發(fā)生的可能性（或 ARO）的值為 （表示每十年發(fā)生一次），則這種情況下的 ALE 值為 3,750 元（37,500 元 x = 3,750 元）。ALE 提供了一個(gè)價(jià)值，您的組織可以使用它來(lái)預(yù)算建立一種控制或安全措施以阻止此類損害 — 在本例中是每年 3,750 元或更少 — 并提供足夠級(jí)別的保護(hù)需要多少成本。 為了知道需要花費(fèi)多少錢來(lái)避免威脅的潛在后果的影響，量化風(fēng)險(xiǎn)的實(shí)際可能性和威脅造成的損失（以貨幣尺度計(jì)量）是重要的。. 確定控制成本確定控制成本要求精確估計(jì)購(gòu)買、測(cè)試、部署、操作和維護(hù)各個(gè)控制措施所需的成本。 此類成本包含購(gòu)買或部署控制解決方案、部署和配置控制解決方案、維護(hù)控制解決方案、向用戶通告與新控制措施有關(guān)的新政策或程序、對(duì)用戶和 IT 員工進(jìn)行如何使用及支持控制措施的培訓(xùn)、監(jiān)督控制措施、應(yīng)對(duì)控制措施可能造成的不方便性或生產(chǎn)率損失。 例如，為了降低火災(zāi)損害網(wǎng)吧的風(fēng)險(xiǎn)，假設(shè)的組織可能考慮部署一個(gè)自動(dòng)消防系統(tǒng)。 組織可能需要聘請(qǐng)一個(gè)承包商來(lái)設(shè)計(jì)和安裝系統(tǒng)，然后需要持續(xù)監(jiān)控系統(tǒng)。 組織還可能需要定期檢查系統(tǒng)，并且偶爾補(bǔ)充系統(tǒng)使用的滅火劑。. ROSI請(qǐng)使用以下等式估計(jì)控制成本：實(shí)施控制前的 ALE）–（實(shí)施控制后的 ALE）–（年控制成本）= ROSI例如，攻擊者對(duì) Web 服務(wù)器的威脅的 ALE 為 12,000 元，在實(shí)施了建議的安全措施后，估計(jì) ALE 為 3,000 元。 安全措施每年的維護(hù)與操作成本為 650 元，因此，ROSI 為每年 8,350 元，如以下表達(dá)式所示：12,000 元 3,000 元 650 元 = 8,350 元。. 定量風(fēng)險(xiǎn)分析的結(jié)果定量風(fēng)險(xiǎn)分析的輸入項(xiàng)目提供了明確定義的目標(biāo)和結(jié)果。 前述幾個(gè)步驟的結(jié)果通常得出以下各項(xiàng)：?分配給資產(chǎn)的貨幣值?詳細(xì)的重要威脅列表?每個(gè)威脅發(fā)生的可能性?在 12 個(gè)月內(nèi)每項(xiàng)危險(xiǎn)對(duì)公司的潛在損失?推薦的安全措施、控制措施和行為您已經(jīng)了解所有這些計(jì)算都是建立在主觀估計(jì)之上的。 為結(jié)果提供基礎(chǔ)的關(guān)鍵數(shù)字并不是來(lái)自客觀等式或定義良好的實(shí)際數(shù)據(jù)集，而是來(lái)自評(píng)估人員的意見。 AV、SLE、ARO 和控制成本均是參與者自己插入的數(shù)字（通常在多次討論和折衷以后）。. 定性風(fēng)險(xiǎn)評(píng)估定性風(fēng)險(xiǎn)評(píng)估與定量風(fēng)險(xiǎn)評(píng)估的區(qū)別在于在前一方法中不用向資產(chǎn)分配難以確定的財(cái)務(wù)價(jià)值、預(yù)期損失和控制成本。 取而代之的是計(jì)算相對(duì)值。 通常通過(guò)調(diào)查表和合作研討會(huì)的組合形式進(jìn)行風(fēng)險(xiǎn)分析，涉及來(lái)自組織內(nèi)各個(gè)部門的人員，例如信息安全專家、信息技術(shù)經(jīng)理和員工、企業(yè)資產(chǎn)所有者和用戶以及高級(jí)經(jīng)理。 如果使用，調(diào)查表通常在第一次研討會(huì)之前幾天或幾周內(nèi)發(fā)放。 調(diào)查表專為發(fā)現(xiàn)已經(jīng)部署了什么資產(chǎn)和控制措施而制定，收集的信息在隨后舉行的研討會(huì)期間非常有用。 在研討會(huì)中，參與者確定資產(chǎn)并評(píng)估資產(chǎn)的相對(duì)價(jià)值。 接下來(lái)，參與者嘗試指出各個(gè)資產(chǎn)可能面臨的威脅，然后嘗試描述這些威脅在將來(lái)可能利用的漏洞類型。 信息安全專家和系統(tǒng)管理員通常準(zhǔn)備好緩解風(fēng)險(xiǎn)的控制措施參加會(huì)議，以便各部門考慮并估計(jì)各個(gè)控制措施的成本。 最后，結(jié)果被交給管理層以便在成本效益分析期間進(jìn)行考慮。 您可以看出，定性評(píng)估的流程非常類似于定量方法。 區(qū)別在于細(xì)節(jié)處。 一個(gè)資產(chǎn)和另一個(gè)資產(chǎn)的價(jià)值之間的比較是相對(duì)的，參與者不會(huì)用