世界事物是變化和發展的,每個事物都有一個發展的過程,風險的形成也是一樣。ISO27000信息安全風險的形成,首先要具備風險存在的內在條件;其次要具備風險存在的外在條件;最后還要具備外因與內因轉化為風險事件的條件。通過下圖,可以清晰反映出ISO27000信息安全風險因素的相互作用的情況(kuang)。
信息安全風險因素的作用機制
從上圖,風(feng)險(xian)(xian)(xian)(xian)(xian)的(de)構成包括五個(ge)(ge)方(fang)面:風(feng)險(xian)(xian)(xian)(xian)(xian)源、風(feng)險(xian)(xian)(xian)(xian)(xian)方(fang)式(shi)、風(feng)險(xian)(xian)(xian)(xian)(xian)途(tu)徑、風(feng)險(xian)(xian)(xian)(xian)(xian)受(shou)體和風(feng)險(xian)(xian)(xian)(xian)(xian)損失。它們之間相互依賴、相互作(zuo)用,是一種因果(guo)關系,可(ke)以表達為:風(feng)險(xian)(xian)(xian)(xian)(xian)的(de)一個(ge)(ge)或(huo)多個(ge)(ge)起�����源,采(cai)用一種或(huo)多種途(tu)徑,侵害一個(ge)(ge)或(huo)多個(ge)(ge)風(feng)險(xian)(xian)(xian)(xian)(xian)受(shou)體,造成風(feng)險(������xian)(xian)(xian)(xian)(xian)損失。
風險源(yuan)是威(wei)脅(xie)的發(fa)起方,稱(cheng)為威(wei)脅(xie)源(yuan)或威(wei��������)脅(xie)主體。
風險方式是威(wei)����脅(xie)源實施(shi)威(wei)脅(xie)所采取的手段,稱為威(w�������ei)脅(xie)行為。
風險途徑(jing)是(shi)威(wei)脅源實施威(wei)脅利用(yong)的薄弱(ruo)環節(jie),稱為脆弱(ruo)������性或漏������洞。
風險受體(ti)是(shi)威脅的(de)承受方,即信息系統。
風(feng)險損失(shi)是威脅源實施(shi)威脅所造成的損失(shi),稱為影響。
(1)ISO27000信(xin)息(xi)(xi)(xi)安全(quan)威(wei)(wei)脅(xie)的(de)(de)存(cun)在(zai)方(fang)式、存(cun)在(zai)條件、存(cun)在(zai)概率是形(xing)成風險(xian)的(de)(de)外(wai)在(zai)動(dong)力。信(xin)息(xi)(xi)(xi)安全(quan)威(wei)(wei)脅(xie)是以不同方(fang)式、不同條件,動(dong)態存(cun)在(zai)于信(xin)息(xi)(xi)(xi)系統(tong)生(sheng)命周期(qi)的(de)(de��)每一個階段。威(wei)(wei)脅(xie)來 源復(fu)雜,有(you)(you)來自內部(bu)的(de)(de)惡意和(he)無意的(de)(de)員(yuan)工、顧問、第三方(fang)人員(yuan),外(wai)部(bu)的(de)(de)黑客、情報(bao)組(zu)織、敵(di)對(dui)國家、恐怖組(zu)織、間諜(die)等;也有(you)(you)來自非人為的(de)(de)自然災害(hai)、事故或故障 等。這(zhe)些威(wei)(wei)脅(xie)主體有(you)(you)著不同的(de)(de)動(dong)機(ji)和(he)攻擊能力,或出于報(bao)復(fu),或出于經濟利(li)益(yi),或出于政治(zhi)目的(de)(de),或具有(you)(you)高技能攻擊能力、或是使用(yong)簡單的(de)(de)攻擊工具。這(zhe)些影響因素 交織在(zai)一起(qi)決定著威(wei)(wei)脅(xie)對(dui)信(xin)息(xi)(xi)(xi)系統(tong)的(de)(de)作用(yong)強度和(he)發生(sheng)概率。
(2)威脅通過脆(cui)弱(ruo)性(xing) 作用(yong)于信息系(xi)(xi)統(tong)是(shi)(shi)形成風險(xian)的(de)(de)(de)必經途徑(jing)。如果信息系(xi)(xi)統(tong)安全狀況良好,不存在(zai)可(ke)被(bei)利用(yong)的(de)(de)(de)弱(ruo)點,任何威脅都是(shi)(shi)無能(neng)為力的(de)(de)(de)。但絕對安全的(de)(de)(de)系(xi)(xi)統(tong)是(shi)(shi)不存在(zai)的(de)(de)(de),脆(cui)弱(ruo)性(xing)是(shi)(shi) 信息系(xi)(xi)統(tong)固有(you)的(de)(de)(de)客觀現象,既有(you)技術,又有(you)管(guan)理(li)和(he)環(huan)(huan)境方面的(de)(de)(de)脆(cui)弱(ruo)性(xing)。在(zai)外來(lai)威脅的(de)(de)(de)作用(yong)下,這(zhe)些脆(cui)弱(ruo)性(xing)的(de)(de)(de)強弱(ruo)成為誘發(fa)、導(dao)致、加速和(he)減緩風險(xian)發(fa)生(sheng)的������(de)(de)(de)內在(zai)動力。 風險(xian)環(huan)(huan)境的(de)(de)(de)脆(cui)弱(ruo)性(xing)程度(du)決定著其被(bei)威脅利用(yong)的(de)(de)(de)概率。
(3)信息(xi)系(xi)統的(de)(de)(de)風(feng)(feng)險承(cheng)受(shou)力(li)(li)(li)(li)(li) 是(shi)(shi)(shi)威脅(xie)通過脆弱(ruo)性作(zuo)用于信息(xi)系(xi)統形成(cheng)風(feng)(feng)險的(de)(de)(de)轉化(hua)條件(jian)(jian)。信息(xi)系(xi)統的(de)(de)(de)風(feng)(fen������g)險承(cheng)受(shou)力(li)(li)(li)(li)(li)反映(ying)的(de)(de)(de)是(shi)(shi)(shi)信息(xi)系(xi)統受(shou)到(dao)攻擊等情況(kuang)時(shi),維(wei)持業(ye)(ye)務運(yun)行(xing)最基(ji)本(ben)的(de)(de)(de)服(fu)務和保護信息(xi)資(zi)產的(de)(de)(de) 抵抗(kang)力(li)(li)(li)(li)(li)、識(shi)(shi)別力(li)(li)(li)(li)(li)、恢復力(li)(li)(li)(li)(li)和自適應力(li)(li)(li)(li)(li)。抵抗(kang)力(li)(li)(li)(li)(li)是(shi)(shi)(shi)一個系(xi)統抵抗(kang)攻擊的(de)(de)(de)能(neng)(neng)(neng)力(li)(li)(li)(li)(li),識(shi)(shi)別力(li)(li)(li)(li)(li)是(shi)(shi)(shi)系(xi)統識(shi)(shi)別攻擊和損(sun)壞程度的(de)(de)(de)能(neng)(neng)(neng)力(li)(li)(li)(li)(li),恢復力(li)(li)(li)(li)(li)是(shi)(shi)(shi)在受(shou)到(dao)攻擊后恢復系(xi)統的(de)(de)(de)能(neng)(neng)(neng)力(li)(li)(li)(li)(li),自適 應力(li)(li)(li)(li)(li)是(shi)(shi)(shi)根據歷史上(shang)受(shou)到(dao)攻擊或故障發(fa)生(sheng)情況(kuang)下防御(yu)和抵抗(kang)類似情況(kuang)的(de)(de)(de)能(neng)(neng)(neng)力(li)(li)(li)(li)(li)。不同(tong)(tong)的(de)(de)(de)組(zu)(zu)織(zhi)(zhi)(zhi)的(de)(de)(de)業(ye)(ye)務特(te)點、規模(mo)、技術人(ren)員水平、安(an)(an)(an)全(quan)(quan)需求標準、安(an)(an)(an)全(quan)(quan)培訓教育水平能(neng)(neng)(neng)力(li)(li)(li)(li)(li)、 員工安(an)(an)(an)全(quan)(quan)意識(shi)(shi)強(qiang)弱(ruo)、實施的(de)(de)(de)安(an)(an)(a�����n)全(quan)(quan)控(kong)制狀態、安(an)(an)(an)全(quan)(quan)事(shi)件(jian)(jian)預警水平、應急響應能(neng)(neng)(neng)力(li)(li)(li)(li)(li)都是(shi)(shi)(shi)不同(tong)(tong),對(dui)風(feng)(feng)險的(de)(de)(de)抵抗(kang)和防御(yu)表現也是(shi)(shi)(shi)不同(tong)(tong)的(de)(de)(de)。當風(feng)(feng)險事(shi)件(jian)(jian)發(fa)生(sheng)時(shi),風(feng)(feng)險承(cheng)受(shou)力(li)(li)(li)(li)(li)相(xiang)對(dui) 較強(qiang)的(de)(de)(de)組(zu)(zu)織(zhi)(zhi)(zhi)可(ke)能(neng)(neng)(neng)會啟(qi)動(dong)應急方案、組(zu)(zu)織(zhi)(zhi)(zhi)高水平的(de)(de)(de)搶救團隊,使(shi)風(feng)(feng)險損(sun)失降低到(dao)組(zu)(zu)織(zhi)(zhi)(zhi)可(ke)承(cheng)受(shou)的(de)(de)(de)范圍內;而風(feng)(feng)險承(cheng)受(shou)力(li)(li)(li)(li)(li)相(xiang)對(dui)較弱(ruo)的(de)(de)(de)組(zu)(zu)織(zhi)(zhi)(zhi),可(ke)能(neng)(neng)(neng)會因為沒有方法來控(kong)制風(feng)(feng)險 而放任風(feng)(feng)險發(fa)生(sheng),造成(cheng)巨(ju)大損(sun)失。
(4)風(feng)(feng)險(xian)(xian)(xian)的(de)(de)(de)直接和(he)間(jian)接損(sun)失(shi)是信(xin)(xin)息(xi)系(xi)統(tong)風(feng)(feng)��������險(xian)(xian)(xian)形 成(cheng)的(de)(de)(de)后果(guo)。在(zai)�������對(dui)威脅強(qiang)度(du)和(he)威脅發(fa)生概(gai)率(lv)、脆弱性被威脅利用的(de)(de)(de)概(gai)率(lv)、風(feng)(feng)險(xian)(xian)(xian)承(cheng)(cheng)受(shou)力的(de)(de)(de)轉化(hua)概(gai)率(lv)進行分(fen)析估算的(de)(de)(de)基(ji)礎上(shang),預(yu)估信(xin)(xin)息(xi)系(xi)統(tong)風(feng)(feng)險(xian)(xian)(xian)發(fa)生時的(de)(de)(de)直接和(he)間(jian)接損(sun)失(shi), 可以確(que)定系(xi)統(tong)風(feng)(feng)險(xian)(xian)(xian)等(deng)級,為安全(quan)決策提供科(ke)學依(yi)據,采取相應(ying)的(de)(de)(de)安全(quan)控(kong)制措施,提高(gao)信(xin)(xin)息(xi)系(xi)統(tong)的(de)(de)(de)風(feng)(feng)險(xian)(xian)(xian)承(cheng)(cheng)受(shou)能力。
