网络云风险管理中主要涉及哪些要素
网络云风险管理中主要涉及以下要素:
资产:对组织而言,具有价值的任何事物。它是安全策略的保护对象。对资产的评估要从价值、重要性或敏感度等方面来考虑。在云服务中,资产是指云服务提供商的包括服务器、网络等物理实体和服务等非物理实体在内的一切资源。
威胁:可能对系统、组织或资产造成损害的潜在攻击或风险事件。威胁可以通过威胁主体、资源、动机和途径等多种属性来刻画。比如自然灾害可能威胁到信息资产的可用性及完整性。人为因素如非法存取数据、偷窃及篡改数据等,可能威胁到信息资产的可用性及机密性。在云服务中,威胁是指能够引起云服务商服务系统运行质量下降或者终止的因素。例如黑客入侵事件就是一个威胁。
脆弱性:脆弱性也称为漏洞或弱点,是指可能会被威胁利用对资产造成损害的薄弱环节或瑕疵。脆弱性本身并不会造成伤害。但如果没有妥善管理或处理,或将促使威胁形成。例如软件系统漏洞,如果不及时打补丁,则可能会导致系统出现严重的后果。在云服务中,脆弱性是指能被威胁利用并造成服务资产性能下降或者损坏的因素。例如操作系统的漏洞可以被偷偷放进木马程序。
风险:风险是指特定威胁利用资产的弱点给资产带来损害的潜在可能性。风险是威胁事件发生的可能性与影响综合作用的结果。比如黑客入侵并偷走数据,造成商家资产受影响。这整件事情就称为一个风险。
可能性:对威胁事件发生的概率(Probability)或频度(Frequency)的定性描述。
影响:影响也称为后果(Consequence),是指意外事件发生时给组织带来的直接或间接的损失或伤害。例如受到黑客入侵窃取数据后商家所损失的资产。
安全措施:安全措施也称作控制措施(Control)或对策(Countermeasure),是指通过防范威胁、减少脆弱性以及限制意外事件带来影响等途径来消减风险的机制、方法和措施的总称。
残留风险:采取安全措施后,仍然可能存在的风险。
资产价值:资产价值是指资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。
安全需求:为保证组织业务战略的正常运作而在安全措施方面提出的要求。