今天，我們回歸風(fēng)險(xiǎn)管理相應(yīng)的內(nèi)容，接下來的幾天我們也將援引英國國家網(wǎng)絡(luò)安全中心官網(wǎng)的內(nèi)容，討論完這部分內(nèi)容，不過今天你可以再在這個(gè)公眾號(hào)看到有關(guān)《英國國際戰(zhàn)略研究所：網(wǎng)絡(luò)能力與國家實(shí)力凈評(píng)估》這篇文章，讓我們看看網(wǎng)絡(luò)安全能力哪家強(qiáng)？當(dāng)然這里不是山東找藍(lán)翔了，但是這篇公眾號(hào)文章還真是山東一家公司的原創(chuàng)。下面，我們討論引入組件驅(qū)動(dòng)和系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)評(píng)估，為風(fēng)險(xiǎn)管理續(xù)航。

　　關(guān)于組件驅(qū)動(dòng)的方法

　　在網(wǎng)絡(luò)安全中，風(fēng)險(xiǎn)通常是根據(jù)系統(tǒng)的組成部分來描述的。在這種觀點(diǎn)中，風(fēng)險(xiǎn)被評(píng)估為給定系統(tǒng)組件的價(jià)值的某種組合，以及它以某種方式受到損害的可能性。更具體地說，這需要評(píng)估這些組件面臨的威脅、它們的漏洞以及入侵可能造成的業(yè)務(wù)影響。

　　這種類型的方法允許分析師識(shí)別系統(tǒng)內(nèi)特定組件面臨的特定風(fēng)險(xiǎn)。然后，允許根據(jù)風(fēng)險(xiǎn)影響的嚴(yán)重程度或威脅利用漏洞的難易程度對(duì)這些風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)排序。以這種方式對(duì)風(fēng)險(xiǎn)進(jìn)行優(yōu)先排序的目的是在可能的情況下首先減輕最嚴(yán)重的風(fēng)險(xiǎn)。　

　　關(guān)于系統(tǒng)驅(qū)動(dòng)的方法

　　另一種方法主要關(guān)注系統(tǒng)（而不是組件）的目標(biāo)或目的。我們稱這種方法為系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)視圖，因?yàn)樗鼈冎饕P(guān)注整個(gè)系統(tǒng)，而不是單個(gè)組件。

　　系統(tǒng)驅(qū)動(dòng)方法要求風(fēng)險(xiǎn)分析師首先說明系統(tǒng)的高級(jí)目的。從那里迭代地向該語句添加更多細(xì)節(jié)，作為設(shè)計(jì)如何實(shí)現(xiàn)高級(jí)目的的一種方式。重點(diǎn)是了解系統(tǒng)的各個(gè)部分如何相互交互。系統(tǒng)工程師和其他參與迭代設(shè)計(jì)技術(shù)的人會(huì)非常熟悉這樣的方法，因?yàn)檫@些想法很常見。

　　風(fēng)險(xiǎn)從何而來？除了思考的目的，一個(gè)系統(tǒng)應(yīng)該服務(wù)，系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)管理技術(shù)也將考慮高層次的目的，系統(tǒng)應(yīng)該沒有服務(wù)。我們根據(jù)系統(tǒng)運(yùn)行過程中可能發(fā)生的“損失”來討論這些。例如，如果正在設(shè)計(jì)一個(gè)控制自動(dòng)安全門的系統(tǒng)，該系統(tǒng)的目的可能是讓人們進(jìn)出，可能關(guān)心的損失是讓未經(jīng)授權(quán)的人通過，或?qū)⑷死г陂T的機(jī)械裝置中而受傷。

　　這種損失的概念似乎很明顯。然而，經(jīng)驗(yàn)表明，在項(xiàng)目生命周期的開始階段很少考慮系統(tǒng)不能做什么的這些高級(jí)描述，這與考慮的目的不同。損失通常只在系統(tǒng)設(shè)計(jì)相當(dāng)成熟時(shí)才考慮，當(dāng)已經(jīng)了解系統(tǒng)的邏輯外觀時(shí)。這就是人們普遍抱怨安全性“是固定的，而不是內(nèi)置的”的部分原因。

　　使用拉斯穆森的層次結(jié)構(gòu)來區(qū)分風(fēng)險(xiǎn)評(píng)估技術(shù)

　　為了幫助檢查組件驅(qū)動(dòng)和系統(tǒng)驅(qū)動(dòng)技術(shù)如何相互關(guān)聯(lián)，可以借鑒 Jens Rasmussen 的抽象層次結(jié)構(gòu)，如下所示。

　　該模型引入了這樣一種思想，即可以在不同抽象級(jí)別查看系統(tǒng)。僅考慮頂部的三層插圖就可以讓我們從概念上考慮系統(tǒng)。也就是說，將分析重點(diǎn)放在系統(tǒng)應(yīng)該實(shí)現(xiàn)什么（而不是應(yīng)該如何工作）上。組件驅(qū)動(dòng)技術(shù)是關(guān)于分析在這個(gè)層次結(jié)構(gòu)的底部兩層可能出現(xiàn)什么問題。在這里，關(guān)注物理上存在的事物或其表示，例如詳細(xì)說明特定技術(shù)決策的詳細(xì)架構(gòu)圖。

　　另外，系統(tǒng)驅(qū)動(dòng)技術(shù)考慮系統(tǒng)的高級(jí)目的和損失。目的是確定作為系統(tǒng)概念設(shè)計(jì)結(jié)果的損失的實(shí)現(xiàn)方式。在這個(gè)抽象級(jí)別，威脅和漏洞等概念在組件驅(qū)動(dòng)的方法中使用時(shí)沒有意義。在這里，正在尋找系統(tǒng)可以實(shí)現(xiàn)任何損失的方法

　　引入這個(gè)框架的原因是為了證明組件驅(qū)動(dòng)和系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)管理技術(shù)以根本不同的方式分析風(fēng)險(xiǎn)，但它們相互支持。當(dāng)應(yīng)用于正確的問題時(shí)，它們都是有價(jià)值的風(fēng)險(xiǎn)管理工具。

　　何時(shí)使用組件和系統(tǒng)驅(qū)動(dòng)技術(shù)

　　組件驅(qū)動(dòng)和系統(tǒng)驅(qū)動(dòng)的技術(shù)以不同的方式增加價(jià)值；兩者都不比另一個(gè)“更好”。但是，每種技術(shù)都更適合某些類型的風(fēng)險(xiǎn)管理問題：

　　組件驅(qū)動(dòng)的方法對(duì)于探索已知技術(shù)漏洞的暴露情況非常有用。例如，組織中可能有一臺(tái)計(jì)算機(jī)由于操作原因無法修補(bǔ)或升級(jí)。這在某些類型的操作技術(shù)中很常見。組件驅(qū)動(dòng)的風(fēng)險(xiǎn)分析可用于探索未打補(bǔ)丁的機(jī)器中的漏洞如何影響組織。這種分析可以確定可以圍繞這臺(tái)不可避免的易受攻擊的計(jì)算機(jī)采取的保護(hù)措施。

　　系統(tǒng)驅(qū)動(dòng)方法在分析大型復(fù)雜系統(tǒng)時(shí)很有用。特別是，可以幫助探索交互失敗。當(dāng)系統(tǒng)中的各個(gè)組件按其應(yīng)有的方式精確工作時(shí)，就會(huì)發(fā)生這種情況，但是這些組件彼此交互的方式存在一些缺陷，這使得可能發(fā)生安全漏洞。

　　下表對(duì)此進(jìn)行了總結(jié)。

　　組件驅(qū)動(dòng)和系統(tǒng)風(fēng)險(xiǎn)管理技術(shù)可以一起使用。例如，可以使用系統(tǒng)驅(qū)動(dòng)的方法來確保在做出任何特定技術(shù)決策之前從概念上識(shí)別安全風(fēng)險(xiǎn)，然后在承諾采用特定解決方案后切換到組件驅(qū)動(dòng)分析。