Risk 风险
任何可能影响资产的 C/I/A 的因素。 安全工作的核心就是搞 risk —— 识别、评估、应对。
公式
Risk = Threat × Vulnerability × Impact
- Threat —— 谁可能攻击你
- Vulnerability —— 你哪里弱
- Impact —— 真的出事损失多大
任一项为 0,risk 就为 0。 没有 threat 的 vulnerability 不算高风险;没有 vulnerability 的 threat 也打不进来。
4 种应对方式
| 方式 | 说人话 |
|---|---|
| Accept | 知道有风险,接受。比如小损失不值得花大钱防 |
| Avoid | 不做这件事了。比如关掉那个服务 |
| Transfer | 转移给第三方。比如买网络保险 |
| Mitigate | 降低风险。装防火墙、补漏洞 |
不是所有风险都要”降到 0”。Accept 也是合法选项,关键是有意识地选,不是糊里糊涂。
Inherent vs Residual
- Inherent risk —— 啥都不做时的风险
- Residual risk —— 上了控制项之后还剩的风险
NIST RMF 第 6 步 Authorize 就是高层签字接受 residual risk。