在本頁(yè)

• 1 .是否需要一種正式的方法來(lái)管理網(wǎng)絡(luò)風(fēng)險(xiǎn)？
• 2 .網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理工具箱中可能有什么？
• 3 .補(bǔ)充工具和方法

擁有正確的風(fēng)險(xiǎn)管理技術(shù)、工具或方法來(lái)應(yīng)對(duì)組織面臨的網(wǎng)絡(luò)安全挑戰(zhàn)。

每個(gè)組織都是不同的，他們面臨的風(fēng)險(xiǎn)管理挑戰(zhàn)也不同。這意味著組織將需要使用不同的風(fēng)險(xiǎn)管理工具、方法和途徑來(lái)幫助他們應(yīng)對(duì)不同的風(fēng)險(xiǎn)管理挑戰(zhàn)。組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理工具箱中可以包含許多途徑、方法和工具，但沒(méi)有任何一種工具、方法或途徑能夠提供有效管理所有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)所需的信息和觀點(diǎn)。

正如安全是組織內(nèi)每個(gè)人的責(zé)任一樣，安全決策也可以發(fā)生在各個(gè)級(jí)別。為了實(shí)現(xiàn)這一目標(biāo)，組織的高級(jí)領(lǐng)導(dǎo)層應(yīng)該使用安全治理來(lái)列出各種風(fēng)險(xiǎn)信息。

了解所做選擇的好處和局限性非常重要。最終，如果您使用的方法不能幫助您了解需要保護(hù)的內(nèi)容、原因和方式，那么應(yīng)該尋求替代方法。

對(duì)工具、方法和方法的選擇也可能受到業(yè)務(wù)限制的影響，例如可用的財(cái)務(wù)、資源和風(fēng)險(xiǎn)管理技能，并且可能需要組織的部門與合作伙伴組織使用的工具或方法保持一致。

有些工具、方法和方法是免費(fèi)的，并且相對(duì)易于使用，而另一些則需要訂閱、廣泛的培訓(xùn)和支持治理結(jié)構(gòu)，因此選擇適合風(fēng)險(xiǎn)挑戰(zhàn)的工具至關(guān)重要。

是否需要一種正式的方法來(lái)管理網(wǎng)絡(luò)風(fēng)險(xiǎn)？

在我們開始考慮網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理工具箱中可能包含的工具、方法和方法之前，值得說(shuō)明的是，在某些情況下，進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和分析可能幾乎沒(méi)有什么收獲。這些情況可能包括：

• 那些您面臨眾所周知和易于理解的問(wèn)題、已知良好架構(gòu)或風(fēng)險(xiǎn)處理模式的情況可以遵循和應(yīng)用。
• 已經(jīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估以支持您擁有或打算實(shí)施的安全基線的風(fēng)險(xiǎn)評(píng)估，例如《小型企業(yè)指南》或《網(wǎng)絡(luò)要點(diǎn)》
• 或者某些客戶、部門或業(yè)務(wù)的特定法規(guī)要求您應(yīng)用控制措施或控制措施集以符合合同和法規(guī)。

您應(yīng)該僅在您認(rèn)為風(fēng)險(xiǎn)管理挑戰(zhàn)超出任何預(yù)定義方案或控制集范圍以及可能存在風(fēng)險(xiǎn)管理差距或缺陷的領(lǐng)域應(yīng)用額外的風(fēng)險(xiǎn)評(píng)估和分析工具、方法和途徑。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理工具箱中可能有什么？

在開發(fā)風(fēng)險(xiǎn)管理工具箱時(shí)，請(qǐng)務(wù)必記住，這并不意味著您需要停止使用或扔掉已經(jīng)使用的任何東西。如果您當(dāng)前使用的途徑、方法和工具能夠有效解決您的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)挑戰(zhàn)并滿足您的組織的需求，那么您應(yīng)該繼續(xù)使用它們，并讓它們成為您的風(fēng)險(xiǎn)管理工具箱的基礎(chǔ)。但請(qǐng)考慮用新的或替代的方法、方法和工具來(lái)補(bǔ)充這些內(nèi)容，以提高您對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的看法和理解。

以下列表旨在提出任何組織都可以考慮添加到其風(fēng)險(xiǎn)管理工具箱中的一些工具、方法和途徑，無(wú)論它們是從頭開始還是在某些現(xiàn)有工具、方法和途徑的基礎(chǔ)上構(gòu)建。此列表無(wú)意以任何方式進(jìn)行優(yōu)先級(jí)、詳盡或完整，組織需要根據(jù)他們面臨的風(fēng)險(xiǎn)管理挑戰(zhàn)以及他們可用的資源來(lái)選擇他們使用的內(nèi)容。

通過(guò)以下提供的鏈接可以查看有關(guān)此處涵蓋的每個(gè)領(lǐng)域的更多信息：

• 風(fēng)險(xiǎn)管理信息。為了盡可能地了解風(fēng)險(xiǎn)，需要各種風(fēng)險(xiǎn)管理信息。
• 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)量化 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析和評(píng)估主要采用定性方法進(jìn)行。一種補(bǔ)充方法可能是在適當(dāng)且有用的情況下使用定量方法。
• 風(fēng)險(xiǎn)評(píng)估方法。從不同角度思考網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理挑戰(zhàn)有助于提供最佳信息來(lái)指導(dǎo)決策。系統(tǒng)方法與組成方法不同，每種方法都提供了不同的風(fēng)險(xiǎn)視角。

組件驅(qū)動(dòng)方法。這些是理解和管理網(wǎng)絡(luò)風(fēng)險(xiǎn)最常用的風(fēng)險(xiǎn)評(píng)估方法。這些分析了各個(gè)系統(tǒng)組件面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并且最好應(yīng)用于系統(tǒng)生命周期、運(yùn)行或設(shè)計(jì)和開發(fā)過(guò)程中的各個(gè)點(diǎn)，在這些點(diǎn)上可以很好地理解其組成部分及其之間的關(guān)系。

系統(tǒng)方法。這些方法提供了風(fēng)險(xiǎn)的系統(tǒng)視角，并且可以在系統(tǒng)的確切物理設(shè)計(jì)確定之前使用，例如在系統(tǒng)設(shè)計(jì)的概念階段。這些系統(tǒng)驅(qū)動(dòng)的方法可以幫助您識(shí)別系統(tǒng)組件之間的交互所產(chǎn)生的風(fēng)險(xiǎn)，并且當(dāng)系統(tǒng)組件之間的交互特別復(fù)雜或不太容易理解時(shí)（例如當(dāng)將新元素引入到先前的元素中時(shí)）可能會(huì)很有用。易于理解的系統(tǒng)）。這種方法還可以幫助您整合不同類型的風(fēng)險(xiǎn)評(píng)估，例如網(wǎng)絡(luò)安全和網(wǎng)絡(luò)物理系統(tǒng)中的安全風(fēng)險(xiǎn)。

•  應(yīng)不斷從您用于處理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的控制措施（無(wú)論是程序、人員、物理還是技術(shù)）中尋求保證。因此，（通過(guò)有效利用保障活動(dòng)）獲得對(duì)風(fēng)險(xiǎn)處理的信心對(duì)于管理網(wǎng)絡(luò)風(fēng)險(xiǎn)至關(guān)重要。

補(bǔ)充工具和方法

有許多補(bǔ)充工具、方法和技術(shù)可以幫助您了解和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。下面介紹了一些內(nèi)容，但您應(yīng)該根據(jù)自己的需要尋求擴(kuò)展工具箱，采用適合您的方法和技術(shù)。

• 攻擊樹 可用于探索可能導(dǎo)致成功攻擊的事件鏈，并可以幫助您了解對(duì)系統(tǒng)進(jìn)行一系列潛在攻擊的可行性。攻擊樹可以在敏捷環(huán)境中有效使用，因?yàn)楣魳淇梢耘c迭代開發(fā)一起構(gòu)建，從而使您能夠在開發(fā)的同時(shí)發(fā)現(xiàn)并解決安全風(fēng)險(xiǎn)。
• 威脅建模涉及使用多種不同的技術(shù)、工具和方法，幫助您更好地了解所面臨的技術(shù)威脅，了解您正在構(gòu)建或使用的系統(tǒng)或服務(wù)可能如何受到攻擊以及如何管理風(fēng)險(xiǎn)由那些攻擊所構(gòu)成。
• 網(wǎng)絡(luò)安全場(chǎng)景可以幫助您了解您可能面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)挑戰(zhàn)，并制定對(duì)網(wǎng)絡(luò)安全事件的響應(yīng)措施，為事件發(fā)生時(shí)做好準(zhǔn)備。

筆記

上述途徑、方法、工具和技術(shù)并不相互排斥，因此可以在系統(tǒng)生命周期的不同階段相互補(bǔ)充，或者對(duì)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、它們?nèi)绾螌?shí)現(xiàn)以及如何獲得不同的看法，將如何管理它們。