在信息安全風(fēng)險(xiǎn)管理領(lǐng)域，存在如下三個(gè)需求或問題：

企業(yè)高層管理者需要從宏觀視角看到企業(yè)信息安全風(fēng)險(xiǎn)的整體態(tài)勢；

信息安全風(fēng)險(xiǎn)度量方法客觀性不足，現(xiàn)有度量方法包含的主觀因素太多，導(dǎo)致度量結(jié)果難以得到廣泛的認(rèn)可；

信息安全風(fēng)險(xiǎn)的處置策略和方案選擇缺少客觀的選擇依據(jù)，風(fēng)險(xiǎn)控制結(jié)果的有效性難以評價(jià)；

本文試圖提供一種相對客觀的信息安全風(fēng)險(xiǎn)度量方法，嘗試在一定程度上解決上述問題。

度量模型

信息安全風(fēng)險(xiǎn)是威脅利用脆弱點(diǎn)對一個(gè)信息資產(chǎn)或一組信息資產(chǎn)造成損失的可能性。通常，信息安全風(fēng)險(xiǎn)值的大小和信息資產(chǎn)的價(jià)值、面臨的威脅及其具有的脆弱點(diǎn)相關(guān)。

難以獲得信息安全風(fēng)險(xiǎn)整體態(tài)勢的關(guān)鍵是難以識別信息資產(chǎn)面臨的所有風(fēng)險(xiǎn)。如果不能將信息資產(chǎn)面臨的所有風(fēng)險(xiǎn)都識別出來，所謂的整體態(tài)勢就失去了基礎(chǔ)。所以，要解決的第一個(gè)問題是信息安全風(fēng)險(xiǎn)識別的完備性問題，即如何將一個(gè)或一組信息資產(chǎn)面臨的所有風(fēng)險(xiǎn)都識別出來。

為解決這個(gè)問題，多年實(shí)踐發(fā)現(xiàn)需要將信息安全風(fēng)險(xiǎn)度量模型進(jìn)行簡化，而風(fēng)險(xiǎn)三要素中，信息資產(chǎn)價(jià)值及其面臨的威脅具有作為常量的可能。

將信息資產(chǎn)的價(jià)值及其面臨的威脅看作常量是具有現(xiàn)實(shí)意義的簡化。一般情況下，描述整體風(fēng)險(xiǎn)態(tài)勢是針對具體信息資產(chǎn)展開的，也就是說，在具體場景下，信息資產(chǎn)這個(gè)對象是明確的，其價(jià)值也是明確的，本來就是個(gè)常量。而威脅由于具體威脅方具有偶發(fā)性，它的不確定性導(dǎo)致對它的評估難以精準(zhǔn)，建議取最大值，因此，可以將它看作常量。這種簡化本身也指明了信息安全風(fēng)險(xiǎn)處置的方向。通常來講，風(fēng)險(xiǎn)三要素中最能立竿見影見到成效的風(fēng)險(xiǎn)處置都是針對脆弱點(diǎn)進(jìn)行的。所以，對脆弱點(diǎn)的深入分析對降低信息安全風(fēng)險(xiǎn)具有現(xiàn)實(shí)意義，它能夠?yàn)樾畔踩L(fēng)險(xiǎn)處置提供具體可行的實(shí)現(xiàn)方案。

脆弱點(diǎn)vs安全漏洞

在現(xiàn)實(shí)的業(yè)務(wù)場景中，威脅利用單一脆弱點(diǎn)并不能對信息資產(chǎn)造成實(shí)際的危害。例如：某服務(wù)器存在0day漏洞，這是個(gè)脆弱點(diǎn)，但黑客要真能利用這個(gè)脆弱點(diǎn)對這臺服務(wù)器實(shí)施入侵，至少還需要具備另一個(gè)前提條件，能從網(wǎng)絡(luò)上或者物理上訪問或接觸到存在0day漏洞的服務(wù)或應(yīng)用。也就是說，任何一個(gè)實(shí)際的信息安全風(fēng)險(xiǎn)能發(fā)生至少需要具備兩個(gè)前提條件：路徑可達(dá)和權(quán)限可達(dá)。即，首先要能接觸到目標(biāo)對象，無論是網(wǎng)絡(luò)接觸還是物理接觸，至少需要某種形式上的接觸；另一方面，目標(biāo)對象上有能夠被利用的越權(quán)獲得訪問目標(biāo)信息權(quán)限的脆弱點(diǎn)。就好像取錢，首先要能接觸到取款機(jī)，然后還得有銀行帳號和密碼，這兩個(gè)條件缺一不可。

因此，為了描述方便，給安全漏洞下了個(gè)新定義，即，安全漏洞是按照一定順序排列能被威脅利用且會對信息造成影響的充分必要的脆弱點(diǎn)集合。

舉例來講，某服務(wù)器對外網(wǎng)暴露了23端口，且該服務(wù)器管理員口令為弱口令。這種情況可稱之為，該服務(wù)器存在一個(gè)可被外部黑客利用的安全漏洞，該漏洞包含兩個(gè)脆弱點(diǎn)：1、對外網(wǎng)暴露23端口，2、管理員口令為弱口令。這兩個(gè)脆弱點(diǎn)中的任何一個(gè)不存在了，則該安全漏洞就不成立。也就是說，如果這臺服務(wù)器的管理員口令雖然是弱口令，但因?yàn)闆]有對外網(wǎng)暴露23端口，則該安全漏洞就不存在；同理，如果這臺服務(wù)器雖然對外網(wǎng)暴露了23端口，但管理員口令不是弱口令，該安全漏洞也一樣不存在。

由上可知，單一脆弱點(diǎn)并不能在實(shí)質(zhì)上造成信息資產(chǎn)的損失，需要不同類型的脆弱點(diǎn)按照一定的順序進(jìn)行適當(dāng)?shù)慕M合，才可能形成對信息資產(chǎn)的實(shí)際危害。這種按照一定順序進(jìn)行排序，能夠被威脅利用對信息資產(chǎn)產(chǎn)生實(shí)際危害的脆弱點(diǎn)的充分必要集合，稱之為安全漏洞。

安全風(fēng)險(xiǎn)的窮舉與比較

安全漏洞定義中引入的路徑概念，為完整的識別信息資產(chǎn)面臨的所有信息安全風(fēng)險(xiǎn)帶來理論和現(xiàn)實(shí)雙重意義上的可行性。網(wǎng)絡(luò)空間中，安全漏洞路徑天然地與網(wǎng)絡(luò)鏈路對應(yīng)，任意兩點(diǎn)間的有向網(wǎng)絡(luò)鏈路路徑在理論上是有限的，因此，從威脅到信息資產(chǎn)的安全漏洞路徑沿著網(wǎng)絡(luò)鏈路有了窮舉的可能性。

由于安全漏洞包含的各脆弱點(diǎn)之間是串行關(guān)系，因此，安全漏洞被利用的可能性為各脆弱點(diǎn)被利用可能性的乘積。

為簡化風(fēng)險(xiǎn)比較，假設(shè)各脆弱點(diǎn)被利用的可能性相同，在這個(gè)前提下，能得到一個(gè)具有較強(qiáng)實(shí)際操作意義的風(fēng)險(xiǎn)比較原則：

風(fēng)險(xiǎn)比較原則：安全漏洞包含的脆弱點(diǎn)越少，被威脅利用的可能性越高，其安全風(fēng)險(xiǎn)也就越大。

這樣，不同安全風(fēng)險(xiǎn)的比較被轉(zhuǎn)化為比較不同安全漏洞包含的脆弱點(diǎn)數(shù)。

這種簡化的現(xiàn)實(shí)意義在于，一方面，簡化計(jì)算的結(jié)果與部分實(shí)際業(yè)務(wù)場景下的風(fēng)險(xiǎn)比較結(jié)果相一致。由3個(gè)高可能性脆弱點(diǎn)構(gòu)成的安全漏洞比由2個(gè)低可能性脆弱點(diǎn)構(gòu)成的安全漏洞風(fēng)險(xiǎn)大的場景的確存在，但這種場景相對較少。多數(shù)情況下，這種簡化計(jì)算的結(jié)果符合實(shí)際；另一方面，這種簡化將安全風(fēng)險(xiǎn)的計(jì)算過程客觀化和透明化，避免了不同人對同一個(gè)風(fēng)險(xiǎn)進(jìn)行評估，結(jié)果迥異的問題，同時(shí)，過程的透明和客觀使得評估結(jié)果能夠獲得更為廣泛的理解和認(rèn)同，為后續(xù)如何選擇風(fēng)險(xiǎn)處置措施奠定了一個(gè)良好的基礎(chǔ)。

處置安全風(fēng)險(xiǎn)

基于安全漏洞的定義，可以得到如下風(fēng)險(xiǎn)處置原則：

風(fēng)險(xiǎn)處置原則1：構(gòu)成安全漏洞的任一脆弱點(diǎn)被破壞則該漏洞即被破壞。

即，消滅一個(gè)安全漏洞并不需要將構(gòu)成該安全漏洞的所有脆弱點(diǎn)都消滅，只要消滅其中的一個(gè)，該安全漏洞就可以說被消滅了。

基于風(fēng)險(xiǎn)比較原則，可以得到另一個(gè)風(fēng)險(xiǎn)處置原則：

風(fēng)險(xiǎn)處置原則2：包含的脆弱點(diǎn)越少的安全漏洞處置優(yōu)先級越高。

既然包含的脆弱點(diǎn)越少的安全漏洞帶來的安全風(fēng)險(xiǎn)越大，那么，從處置的優(yōu)先級來看，當(dāng)然也就是包含的脆弱點(diǎn)越少的安全漏洞應(yīng)該越被優(yōu)先進(jìn)行處置。

如果同一個(gè)脆弱點(diǎn)被多個(gè)安全漏洞所包含，按照第一個(gè)風(fēng)險(xiǎn)處置原則，該脆弱點(diǎn)一旦被消滅，就會同時(shí)有多個(gè)安全漏洞被消滅。因此，可以得到第三個(gè)風(fēng)險(xiǎn)處置原則：

風(fēng)險(xiǎn)處置原則3：優(yōu)先處置多個(gè)安全漏洞路徑的匯聚點(diǎn)。

基于上述風(fēng)險(xiǎn)處置原則，安全風(fēng)險(xiǎn)的處置過程可歸納成如下幾個(gè)步驟：

第一步：基于威脅和信息資產(chǎn)之間的網(wǎng)絡(luò)鏈路，識別所有最短路徑，假設(shè)當(dāng)前最短路徑上包含n個(gè)節(jié)點(diǎn)；

第二步：對最短路徑逐一進(jìn)行審視，確認(rèn)最短路徑上的每個(gè)節(jié)點(diǎn)是否都具有權(quán)限可達(dá)的脆弱點(diǎn)，從而獲得所有安全漏洞，形成安全風(fēng)險(xiǎn)整體視圖；

第三步：處置安全風(fēng)險(xiǎn)：首先對安全漏洞路徑的匯聚點(diǎn)進(jìn)行處置，其次，遵從由易入難的原則，優(yōu)先處置路徑可達(dá)的脆弱點(diǎn)，最后處置權(quán)限可達(dá)的脆弱點(diǎn)，直到所有安全漏洞全部被消滅；

第四步：最短路徑為n的安全風(fēng)險(xiǎn)全部處理完畢，是否滿足業(yè)務(wù)需求，達(dá)到安全風(fēng)險(xiǎn)的可接受水平，如果達(dá)到，則終止，如果沒達(dá)到，則n+1，返回第一步，進(jìn)入下一輪循環(huán)。