在信息安全風(fēng)險(xiǎn)管理領(lǐng)域，存在如下三個(gè)需求或問(wèn)題：

企業(yè)高層管理者需要從宏觀視角看到企業(yè)信息安全風(fēng)險(xiǎn)的整體態(tài)勢(shì)；

信息安全風(fēng)險(xiǎn)度量方法客觀性不足，現(xiàn)有度量方法包含的主觀因素太多，導(dǎo)致度量結(jié)果難以得到廣泛的認(rèn)可；

信息安全風(fēng)險(xiǎn)的處置策略和方案選擇缺少客觀的選擇依據(jù)，風(fēng)險(xiǎn)控制結(jié)果的有效性難以評(píng)價(jià)；

本文試圖提供一種相對(duì)客觀的信息安全風(fēng)險(xiǎn)度量方法，嘗試在一定程度上解決上述問(wèn)題。

度量模型

信息安全風(fēng)險(xiǎn)是威脅利用脆弱點(diǎn)對(duì)一個(gè)信息資產(chǎn)或一組信息資產(chǎn)造成損失的可能性。通常，信息安全風(fēng)險(xiǎn)值的大小和信息資產(chǎn)的價(jià)值、面臨的威脅及其具有的脆弱點(diǎn)相關(guān)。

難以獲得信息安全風(fēng)險(xiǎn)整體態(tài)勢(shì)的關(guān)鍵是難以識(shí)別信息資產(chǎn)面臨的所有風(fēng)險(xiǎn)。如果不能將信息資產(chǎn)面臨的所有風(fēng)險(xiǎn)都識(shí)別出來(lái)，所謂的整體態(tài)勢(shì)就失去了基礎(chǔ)。所以，要解決的第一個(gè)問(wèn)題是信息安全風(fēng)險(xiǎn)識(shí)別的完備性問(wèn)題，即如何將一個(gè)或一組信息資產(chǎn)面臨的所有風(fēng)險(xiǎn)都識(shí)別出來(lái)。

為解決這個(gè)問(wèn)題，多年實(shí)踐發(fā)現(xiàn)需要將信息安全風(fēng)險(xiǎn)度量模型進(jìn)行簡(jiǎn)化，而風(fēng)險(xiǎn)三要素中，信息資產(chǎn)價(jià)值及其面臨的威脅具有作為常量的可能。

將信息資產(chǎn)的價(jià)值及其面臨的威脅看作常量是具有現(xiàn)實(shí)意義的簡(jiǎn)化。一般情況下，描述整體風(fēng)險(xiǎn)態(tài)勢(shì)是針對(duì)具體信息資產(chǎn)展開的，也就是說(shuō)，在具體場(chǎng)景下，信息資產(chǎn)這個(gè)對(duì)象是明確的，其價(jià)值也是明確的，本來(lái)就是個(gè)常量。而威脅由于具體威脅方具有偶發(fā)性，它的不確定性導(dǎo)致對(duì)它的評(píng)估難以精準(zhǔn)，建議取最大值，因此，可以將它看作常量。這種簡(jiǎn)化本身也指明了信息安全風(fēng)險(xiǎn)處置的方向。通常來(lái)講，風(fēng)險(xiǎn)三要素中最能立竿見影見到成效的風(fēng)險(xiǎn)處置都是針對(duì)脆弱點(diǎn)進(jìn)行的。所以，對(duì)脆弱點(diǎn)的深入分析對(duì)降低信息安全風(fēng)險(xiǎn)具有現(xiàn)實(shí)意義，它能夠?yàn)樾畔踩L(fēng)險(xiǎn)處置提供具體可行的實(shí)現(xiàn)方案。

脆弱點(diǎn)vs安全漏洞

在現(xiàn)實(shí)的業(yè)務(wù)場(chǎng)景中，威脅利用單一脆弱點(diǎn)并不能對(duì)信息資產(chǎn)造成實(shí)際的危害。例如：某服務(wù)器存在0day漏洞，這是個(gè)脆弱點(diǎn)，但黑客要真能利用這個(gè)脆弱點(diǎn)對(duì)這臺(tái)服務(wù)器實(shí)施入侵，至少還需要具備另一個(gè)前提條件，能從網(wǎng)絡(luò)上或者物理上訪問(wèn)或接觸到存在0day漏洞的服務(wù)或應(yīng)用。也就是說(shuō)，任何一個(gè)實(shí)際的信息安全風(fēng)險(xiǎn)能發(fā)生至少需要具備兩個(gè)前提條件：路徑可達(dá)和權(quán)限可達(dá)。即，首先要能接觸到目標(biāo)對(duì)象，無(wú)論是網(wǎng)絡(luò)接觸還是物理接觸，至少需要某種形式上的接觸；另一方面，目標(biāo)對(duì)象上有能夠被利用的越權(quán)獲得訪問(wèn)目標(biāo)信息權(quán)限的脆弱點(diǎn)。就好像取錢，首先要能接觸到取款機(jī)，然后還得有銀行帳號(hào)和密碼，這兩個(gè)條件缺一不可。

因此，為了描述方便，給安全漏洞下了個(gè)新定義，即，安全漏洞是按照一定順序排列能被威脅利用且會(huì)對(duì)信息造成影響的充分必要的脆弱點(diǎn)集合。

舉例來(lái)講，某服務(wù)器對(duì)外網(wǎng)暴露了23端口，且該服務(wù)器管理員口令為弱口令。這種情況可稱之為，該服務(wù)器存在一個(gè)可被外部黑客利用的安全漏洞，該漏洞包含兩個(gè)脆弱點(diǎn)：1、對(duì)外網(wǎng)暴露23端口，2、管理員口令為弱口令。這兩個(gè)脆弱點(diǎn)中的任何一個(gè)不存在了，則該安全漏洞就不成立。也就是說(shuō)，如果這臺(tái)服務(wù)器的管理員口令雖然是弱口令，但因?yàn)闆](méi)有對(duì)外網(wǎng)暴露23端口，則該安全漏洞就不存在；同理，如果這臺(tái)服務(wù)器雖然對(duì)外網(wǎng)暴露了23端口，但管理員口令不是弱口令，該安全漏洞也一樣不存在。

由上可知，單一脆弱點(diǎn)并不能在實(shí)質(zhì)上造成信息資產(chǎn)的損失，需要不同類型的脆弱點(diǎn)按照一定的順序進(jìn)行適當(dāng)?shù)慕M合，才可能形成對(duì)信息資產(chǎn)的實(shí)際危害。這種按照一定順序進(jìn)行排序，能夠被威脅利用對(duì)信息資產(chǎn)產(chǎn)生實(shí)際危害的脆弱點(diǎn)的充分必要集合，稱之為安全漏洞。

安全風(fēng)險(xiǎn)的窮舉與比較

安全漏洞定義中引入的路徑概念，為完整的識(shí)別信息資產(chǎn)面臨的所有信息安全風(fēng)險(xiǎn)帶來(lái)理論和現(xiàn)實(shí)雙重意義上的可行性。網(wǎng)絡(luò)空間中，安全漏洞路徑天然地與網(wǎng)絡(luò)鏈路對(duì)應(yīng)，任意兩點(diǎn)間的有向網(wǎng)絡(luò)鏈路路徑在理論上是有限的，因此，從威脅到信息資產(chǎn)的安全漏洞路徑沿著網(wǎng)絡(luò)鏈路有了窮舉的可能性。

由于安全漏洞包含的各脆弱點(diǎn)之間是串行關(guān)系，因此，安全漏洞被利用的可能性為各脆弱點(diǎn)被利用可能性的乘積。

為簡(jiǎn)化風(fēng)險(xiǎn)比較，假設(shè)各脆弱點(diǎn)被利用的可能性相同，在這個(gè)前提下，能得到一個(gè)具有較強(qiáng)實(shí)際操作意義的風(fēng)險(xiǎn)比較原則：

風(fēng)險(xiǎn)比較原則：安全漏洞包含的脆弱點(diǎn)越少，被威脅利用的可能性越高，其安全風(fēng)險(xiǎn)也就越大。

這樣，不同安全風(fēng)險(xiǎn)的比較被轉(zhuǎn)化為比較不同安全漏洞包含的脆弱點(diǎn)數(shù)。

這種簡(jiǎn)化的現(xiàn)實(shí)意義在于，一方面，簡(jiǎn)化計(jì)算的結(jié)果與部分實(shí)際業(yè)務(wù)場(chǎng)景下的風(fēng)險(xiǎn)比較結(jié)果相一致。由3個(gè)高可能性脆弱點(diǎn)構(gòu)成的安全漏洞比由2個(gè)低可能性脆弱點(diǎn)構(gòu)成的安全漏洞風(fēng)險(xiǎn)大的場(chǎng)景的確存在，但這種場(chǎng)景相對(duì)較少。多數(shù)情況下，這種簡(jiǎn)化計(jì)算的結(jié)果符合實(shí)際；另一方面，這種簡(jiǎn)化將安全風(fēng)險(xiǎn)的計(jì)算過(guò)程客觀化和透明化，避免了不同人對(duì)同一個(gè)風(fēng)險(xiǎn)進(jìn)行評(píng)估，結(jié)果迥異的問(wèn)題，同時(shí)，過(guò)程的透明和客觀使得評(píng)估結(jié)果能夠獲得更為廣泛的理解和認(rèn)同，為后續(xù)如何選擇風(fēng)險(xiǎn)處置措施奠定了一個(gè)良好的基礎(chǔ)。

處置安全風(fēng)險(xiǎn)

基于安全漏洞的定義，可以得到如下風(fēng)險(xiǎn)處置原則：

風(fēng)險(xiǎn)處置原則1：構(gòu)成安全漏洞的任一脆弱點(diǎn)被破壞則該漏洞即被破壞。

即，消滅一個(gè)安全漏洞并不需要將構(gòu)成該安全漏洞的所有脆弱點(diǎn)都消滅，只要消滅其中的一個(gè)，該安全漏洞就可以說(shuō)被消滅了。

基于風(fēng)險(xiǎn)比較原則，可以得到另一個(gè)風(fēng)險(xiǎn)處置原則：

風(fēng)險(xiǎn)處置原則2：包含的脆弱點(diǎn)越少的安全漏洞處置優(yōu)先級(jí)越高。

既然包含的脆弱點(diǎn)越少的安全漏洞帶來(lái)的安全風(fēng)險(xiǎn)越大，那么，從處置的優(yōu)先級(jí)來(lái)看，當(dāng)然也就是包含的脆弱點(diǎn)越少的安全漏洞應(yīng)該越被優(yōu)先進(jìn)行處置。

如果同一個(gè)脆弱點(diǎn)被多個(gè)安全漏洞所包含，按照第一個(gè)風(fēng)險(xiǎn)處置原則，該脆弱點(diǎn)一旦被消滅，就會(huì)同時(shí)有多個(gè)安全漏洞被消滅。因此，可以得到第三個(gè)風(fēng)險(xiǎn)處置原則：

風(fēng)險(xiǎn)處置原則3：優(yōu)先處置多個(gè)安全漏洞路徑的匯聚點(diǎn)。

基于上述風(fēng)險(xiǎn)處置原則，安全風(fēng)險(xiǎn)的處置過(guò)程可歸納成如下幾個(gè)步驟：

第一步：基于威脅和信息資產(chǎn)之間的網(wǎng)絡(luò)鏈路，識(shí)別所有最短路徑，假設(shè)當(dāng)前最短路徑上包含n個(gè)節(jié)點(diǎn)；

第二步：對(duì)最短路徑逐一進(jìn)行審視，確認(rèn)最短路徑上的每個(gè)節(jié)點(diǎn)是否都具有權(quán)限可達(dá)的脆弱點(diǎn)，從而獲得所有安全漏洞，形成安全風(fēng)險(xiǎn)整體視圖；

第三步：處置安全風(fēng)險(xiǎn)：首先對(duì)安全漏洞路徑的匯聚點(diǎn)進(jìn)行處置，其次，遵從由易入難的原則，優(yōu)先處置路徑可達(dá)的脆弱點(diǎn)，最后處置權(quán)限可達(dá)的脆弱點(diǎn)，直到所有安全漏洞全部被消滅；

第四步：最短路徑為n的安全風(fēng)險(xiǎn)全部處理完畢，是否滿足業(yè)務(wù)需求，達(dá)到安全風(fēng)險(xiǎn)的可接受水平，如果達(dá)到，則終止，如果沒(méi)達(dá)到，則n+1，返回第一步，進(jìn)入下一輪循環(huán)。