在安全领域，风险分析是很常见的。“风险”这个概念不仅在安全领域出现，也存在于生活中的各个方面。但是定义风险是十分困难的，本文想要厘清各种学术表述与各种标准中“风险”的概念，同时加深对“风险”的理解。

定义

首先来探讨风险的定义。根据 ISO/IEC 27005 信息安全技术风险管理标准，风险被定义为：

给定威胁利用单个或多个资产的脆弱性对组织造成危害的可能性，根据事件发生的可能性以及后果进行衡量。

该定义认为假定的威胁利用资产的脆弱性对组织产生不良影响的可能性要通过事件发生的概率与产生的结果进行组合评估。

定义包括两种类型的定义，接着逐个进行讨论。

定义一：概率×影响

上述定义已经被业界认为是风险的标准定义，可以表示为：

风险=发生概率×影响

首先，事件发生的概率是指安全事件实际发生的可能性。另一方面，影响是指由安全事件引发的损失。如果这两个因素已知确定，那么就可以定量的衡量安全风险。

风险分析的结果将可以在发生概率与影响程度矩阵中进行可视化，该矩阵被称为 R-Map（风险坐标图）。这样两个坐标轴都可以尽可能地保持简单，而且可用非安全领域人士可以理解的术语（概率与影响）来表达风险。因此，本类图表通常用于向管理层进行解释描述。

定义二：威胁/资产/漏洞

现在，我们确定风险可以用发生概率与影响程度进行衡量。接着的问题是如何评估发生的概率和影响程度。老实说，这是一个棘手的问题，没人能够清楚地解释网络风险发生的可能性。

因此，我们采用风险的另一部分定义来分析风险本身，并用于考了事件发生的可能性和影响程度。回顾 ISO 标准对风险的早期定义，风险由三个因素确定：

风险=威胁×脆弱性×资产

现在可能对威胁、资产、与漏洞不甚了解，但是稍后我们将会逐一介绍。由于可以更具体地进行评估，因此该定义在实践中更易于使用。

在对每个元素进行具体解释前，重新回顾一下定义一与定义二的关系。在实际风险分析中，可以说首先调查了威胁、漏洞与资产，然后从结果中得出了安全事件发生的可能性与影响程度。

出现概率=威胁×漏洞

影响程度=资产

现在，应该已经解释清楚这两种定义的关系了：

风险=概率×影响=威胁×脆弱性×资产

资产

要搞清楚的第一个定义就是资产。资产是“受到信息安全保护的对象”，包括以下内容：

个人信息（PII/PHI）

客户的信息/机密的信息

认证信息

财务信息（银行账户信息、信用 卡信息）

知识产权信息（产品文档、专利文档、源代码）

企业品牌形象

在考虑安全时，首先要确切地知道要保护什么。如果不知道资产都有哪些，最终将会出现错位。例如，在没有资产需要保护的情况下购买防火保险箱或者在储物柜中存放稀有宝石。要保护的资产被称为 Crown Jewel，识别此类资产的分析方法被称为 CJA（Crown Jewel Analysis）。确实需要一种方法来让我们知道要保护什么、列出拥有的资产并对优先级进行排序。

漏洞

漏洞意味着存在固有的安全缺陷或不足。值得注意的是，漏洞是防御者可以控制的部分。经过多次风险分析后，漏洞应该是着力改善的部分。

需要在三个层次（3P）考虑缺陷：

产品：产品缺陷包括“未修复的 Web 服务器”、“网络未部署 IDS”、“信息资产对外暴露”等

流程：流程缺陷意味着可能存在未正确管理的资产或未打补丁的服务器

人：人的缺陷包括诸如社会工程学和网络钓鱼之类的问题。但是人的缺陷通常要在安全意识上进行改进

威胁

威胁有多种定义，但最重要的是必须从攻击者的角度思考威胁。威胁定义为：

威胁=攻击意图×机会×能力

但是从风险分析的角度来看，应该指出机会与前面提到的脆弱性是相同的。从攻击者的角度来看，有能力进行攻击等同于从防御者的角度看的脆弱性。基于以上描述，在风险分析中考虑威胁时，通常可以只通过攻击意图×能力继续评估（将机会的部分留给脆弱性评估）。

风险管理流程

在深入探讨风险分析方法的细节之前，首先探讨下上层概念风险管理。根据 NIST SP 800-30 信息技术系统风险管理指南的描述，风险管理遵循如下流程：

在评估（ASSES）阶段评估存在哪些风险；在响应（RESPOND）阶段对存在的风险进行评估；在监控（MONITOR）阶段对风险进行相应的监控。FRAME 是一个支持风险管理的框架，表示应该循环迭代该过程而非一次性的工作。

扩展

本文引入了“发生概率×影响程度=威胁×脆弱性×资产”作为风险的定义，但这个定义并不是唯一的。

例如，某些定义采用“威胁×漏洞”的表述。分析特定资产的风险，通过两个部分来简化风险分析也可以可行的。

FAIR Institute 发布的 FAIR框架来使用了一个以“发生概率×影响”为核心的框架概念。

无论使用哪种定义，正确理解风险都是很重要的。

总结

本文介绍了风险的定义、风险的三要素（资产、脆弱性和威胁）、风险管理流程。后续将会介绍风险管理的流程与特定的风险分析方法。

参考来源

Scientia-Security