网络安全中组件驱动的风险管理原则。

　　组件驱动的风险评估是网络安全行业中最成熟和最常见的评估类型。本文描述了组件驱动技术的共同点，它们在哪些方面增加了价值，哪些方面没有。

　　一旦了解了这些基础知识，应该能够掌握任何组件驱动的标准或框架（因为它们基于类似的风险观点）并了解它们与系统驱动方法的区别。

　　如果还没有这样做，请在阅读本文之前阅读组件驱动和系统驱动的风险评估简介。

　　范围和资产

　　不出所料，组件驱动的风险评估侧重于系统组件。那么我们所说的“系统组件”是什么意思呢？典型的例子包括：

　　硬件（计算机、服务器等）

　　软件

　　数据集

　　服务

　　个人信息

　　关键业务信息

　　职员

　　对系统组件的关注要求您首先定义正在分析的功能（例如，工资单功能）。此功能称为评估的“范围”。然后，您需要说明在对范围的风险评估中考虑了哪些组件，哪些不是。这通常被称为“资产清单”或“资产登记册”。

　　无法控制的组件（但您自己的系统所依赖的组件）称为依赖项，并且可以包含在资产列表中，前提是这些依赖项如何影响可以控制的组件。范围有时最好以图表的形式呈现，它清楚地显示了哪些内容、哪些内容以及关键资产是如何连接的。

　　风险要素

　　一旦确定了范围，大多数组件驱动的方法都需要风险分析师评估风险的三个要素。这三个要素通常用影响、脆弱性和威胁这三个术语来描述。

　　影响

　　影响是风险被实现的后果。在进行组件驱动的风险评估时，影响通常是根据给定资产以给定方式受到损害的后果来描述的。这种影响以不同的方式描述，但更常见的技术之一是评估对信息的机密性、完整性和可用性的影响。例如，可能会根据客户数据集的机密性丢失或公司帐户的损坏（完整性丢失）来描述影响。这些财产之一的损失可能与其他类型的后果有关，例如金钱损失、生命损失、项目延误或任何其他类型的不良后果。

　　漏洞

　　漏洞是组件中的一个弱点，可以有意或无意地实现影响。例如，漏洞可能是允许用户非法增加其用户账户权限的软件，或业务流程中的弱点（例如，在向某人颁发访问在线系统的凭据之前未正确检查某人的身份或服务）。无论所讨论的漏洞类型如何，它都可以用来造成影响。

　　威胁

　　威胁是导致特定影响发生的个人、团体或环境。例如，这可能是：

　　一个孤独的黑客，或一个国家资助的团体

　　犯了诚实错误的员工

　　组织无法控制的情况（例如高影响天气）

　　评估威胁的目的是改进对给定风险实现可能性的评估。通常，在评估人类威胁行为者时，分析师会考虑可能想要伤害组织的人。这使他们能够同时考虑这些团体的能力和意图。风险专家使用威胁分类法和分类方法来提供威胁能力的通用语言。

　　威胁评估的弱点之一是威胁的能力可以迅速变化，并且很难获得关于这些变化的可靠信息。因此，不要对威胁能力的评估视为静态评估，并确保认识到威胁评估中的不确定性和可变性。

　　应用和传达威胁、脆弱性和影响

　　一旦评估了这些风险要素，下一步就是将这些评估结合起来，以确定哪些风险最令人担忧。一些技术通过将威胁、脆弱性和影响的评估组合到每个系统组件的单一风险度量中来实现这一点。这并不像某些标准声称的那样简单。风险的三个组成部分彼此根本不同，比较它们就像比较苹果和橙子。一些方法建议使用风险矩阵来结合对威胁、脆弱性和影响的评估。

　　优先考虑的风险

　　一旦对各种威胁、脆弱性和影响进行评估并组合以创建风险列表，就可以根据它们的相关程度对它们进行优先级排序。可以首先管理最相关的风险。可以通过多种方式传达风险的优先级。例如，可以：

　　估计影响的财务损失（如果要实现）

　　提供资产受到损害时需要发生的事件链的叙述

　　许多标准化的组件驱动风险管理技术使用定性标签来描述影响级别，通常带有“高”、“中”和“低”等标签。虽然这些相当直观，但研究表明，不同的人对这些标签的解释方式存在巨大差异。当考虑到这种理解上缺乏一致性时，应该非常谨慎地使用这些标签（以及类似的“红绿灯”方法）。使用的技术应该适合风险评估的受众；它想影响谁？你想告知什么决定？从评估中提供的信息是否有助于或阻碍决策？

　　有些方法有一个现成的任务或目标列表，可用于减轻已识别的风险。这些被称为“控制集”，可以从中为每个风险选择最合适的缓解措施。

　　常用的组件驱动网络风险管理方法和框架

　　本节简要介绍常用的组件驱动的网络风险管理方法和框架。

　　选择适合技术

　　在选择风险方法或框架时，需要考虑：

　　使用该方法的总成本。例如，工具、许可和专业知识的采购。

　　项目范围。风险方法是否与正在评估的内容相称？

　　确保所需的资源是相称的和可持续的。需要哪些专业资源，现实有吗？

　　是否有任何许可限制？