瞭解安全性風險管理法則

  • 發行項

Overview

發佈日期: 2004 年 10 月 15 日 | 更新日期: 2006 年 3 月 15 日

本頁內容

本單元內容
目標
適用於
如何使用本單元
簡介
安全性風險管理與安全性架構作法
安全性風險管理架構
安全性風險管理法則
安全性風險追蹤、規劃、排程及報告
安全性風險補救發展
安全性補救測試
吸取安全性知識
總結
其他資訊

本單元內容

本單元概述已證實之風險分析及管理的方法。它利用 Microsoft® Solutions Framework (MSF) 及 Microsoft Operations Framework (MOF),提供在您組織中建立安全性管理原則的指引及建議。藉由正確地對風險加以識別、分類及量化,您可以採取最合適及最合乎成本效益的行動,來確保您環境的安全。您也可以將安全性原則及程序的開發整合到資訊技術 (IT) 基礎結構的開發生命週期。

回到頁首

目標

透過此單元即可:

  • 對您的環境風險進行識別及量化。

  • 對您的組織資產價值進行識別及量化。

  • 使用這些量化的值,識別出保護環境所需最合適且最合乎成本效益的活動。

  • 定義及管理正式的安全性風險管理原則。

  • 將安全性風險管理整合到您的 IT 基礎結構生命週期。

  • 透過反覆的風險管理週期,定義可發展出您組織之風險管理專門知識的程序。

回到頁首

適用於

本單元適用於下列產品及技術:

  • 所有 IT 基礎結構

回到頁首

如何使用本單元

使用本單元,提供您適合組織正式安全性風險管理原則的開發與整合的指引。

若要充分瞭解本單元:

  • 閱讀本單元之前的單元<定義 Windows 2000 安全性前景>。當中會介紹本單元中所使用的術語,並提供安全性問題的概觀。

  • 閱讀本單元之後,請參閱本單元最後一節<其他資訊>所列的資源,以取得特定問題的相關指引。

回到頁首

簡介

本單元利用現今運用 Microsoft Solutions Framework (MSF) 及 Microsoft Operations Framework (MOF) 中的安全性分析方法中已證實的作法。有關在企業架構及基礎結構部署範疇中規劃、建立、穩定及部署專案生命週期的階段,MSF 提供一些指引。MOF 提供如何針對資訊技術 (IT) 作業開發或增進管理系統的相關建議。有關 MSF 或 MOF 的明細,請參閱本單元結尾之<其他資訊>一節。

本單元定義了三個主要的指引程序: 從安全性專案生命週期中所發生的風險管理活動來看,是指「安全性風險管理法則 (SRMD)」及「安全性風險架構」。

組織可以利用三種主要的程序,來定義保護其安全所需進行的作業,以及保持安全的方式。下列定義了這些高層級的主要程序。

  1. 評估 此階段涉及到從公司的環境中收集一些相關的資訊,以執行安全性評估。必須獲得足夠的資料,才能有效地分析目前的環境狀況,然後再判斷組織的資訊資產對於可能的威脅所受到的保護程度。除了安全性評估之外,之後還會建立「安全性行動計劃」,以便在實作過程中執行。

  2. 開發與實作 此階段著重在執行「安全性行動計劃」,以實作對評估中所定義環境而建議的變更。除了「安全性行動計劃」之外,還開發了「安全性風險緊急應變計劃」。

  3. 運作 此階段涉及到針對環境進行一些修改及更新,以符合讓環境保持安全的需求。在運作過程中會執行滲入測試及意外事件回應策略,如此可以協助加強組織安全性專案實作的目標。在運作過程當中也會執行稽核及監視活動,讓基礎結構未受到損害並且受到保護。

回到頁首

安全性風險管理與安全性架構作法

在安全性計劃執行期間,有兩種風險管理活動會在專案生命週期中進行。第一種會管理沿自專案本身的風險,而第二種會管理與安全性元件相關的風險。專案風險只會在專案生命週期中評估,而安全性風險必須在整個解決方案或系統的生命週期中評估。「MSF 風險管理法則」可當作管理專案及安全性評估風險的基礎。安全性風險管理的指示性範例會進一步在本指南的<套用安全性風險管理法則>中說明。

在本解決方案指引中,會定義「安全性風險管理法則」,其是從「MSF風險管理法則」衍生。為了明顯區隔這兩種活動,在專案風險內容中會說明 RMD,而 SRMD 則是指安全性風險評估活動。RMD 會被當成開發 SRMD 的主要工具來使用。

RMD 及 SRMD 兩種程序在整個專案及環境運作中都提倡主動的方式、持續性的風險評估以及與決策的整合。

電腦系統安全性應主動且持續地進行,以確保資訊資產的安全性,以及監視新的威脅及弱點。每當您將新的功能加到您組織的技術基礎結構中時,一定要考慮到資訊的安全性。此外,有一些商業處理及程序可能也需加以更改,以便在修改過的環境中運作,並對這些新的資訊資產提供保護。

「安全性風險管理法則」中的九個步驟是:

評估

  1. 資產評估及估價

  2. 識別安全性風險

  3. 安全性風險之分析與優先處理順序

  4. 安全性風險追蹤、規劃及排程

    開發與實作

  5. 安全性補救開發

  6. 安全性補救測試

  7. 獲取安全性知識

    運作

  8. 重新評估全新和變更的資產與安全性風險

  9. 穩定及部署全新和變更的因應對策

這些步驟在 SRMD 當中具體呈現為下列三個主要階段: 評估、實作及運作。

評估

以下各節將組織評估作業合併成安全性分析開始的基礎。資產評估及驗證是朝向安全性分析的首要步驟,因為必須先瞭解您開始著手的項目,才能評估接著而來的風險。此安全性分析程序是一組策略,目的是讓您判斷哪些資產在您的環境中值得受到保護,以及您要對其進行安全性保護的優先順序。

資產評估及估價

資產評估是在與相關實體有關資訊上所估的價值,以及要花什麼樣的心力來發展此資訊。而估價則是在於需花多少成本來維護資產、在資產流失或遭破壞時代價為何,以及當他人取得此項資訊時會得到什麼好處。資產的價值應反映出,當資產受到實際的損害時,可能導致的所有可識別出來的損失。

安全性風險識別

安全性風險識別可以讓專案小組成員對可能發生的安全性風險進行腦力激盪及討論。收集有關威脅、削弱點、利用及因應對策的資訊。

安全性風險分析

安全性風險分析是用來分析可能用於利用潛在削弱點的潛在攻擊、工具、方法及技術。安全性風險分析是識別風險及評估可能的損害而促使安全性預防的調整。

安全性風險分析有三個主要的目標: 識別風險、將潛在威脅的影響量化,以及風險的影響與因應對策成本之間提供經濟平衡。所收集的資訊是用來評估風險的層級,以便讓小組針對哪些安全性風險應多加補救,做出明智的決策。

此項分析接著會用來排列安全性風險的優先順序,讓您的組織可以將資源用來解決最重要的安全性問題。

風險分析可以協助將安全性計劃目標與公司的商業目標及需求整合在一起。您的商業與安全性目標愈緊密地整合,您的組織在完全實現這兩個目標上就會愈成功。

此項分析也可以協助您的公司草擬出適合的安全性計劃預算,以及構成該計劃的安全性元件。一旦您知道貴公司的資產有多少價值,而且您也瞭解它們可能蒙受的威脅之後,就可以對保護那些資產要花多少錢作出明智的決定。

安全性風險追蹤、規劃及排程

安全性風險追蹤、規劃及排程會採用從安全性風險分析取得的資訊,並將它用來制定防治及預防緊急狀況的策略及達到這些策略的計劃。安全性風險排程則會試著針對安全性專案建立階段時所建構的各種補救策略,定義時程表。此時程表對於安全性計劃核准的方式,與如何併入資訊架構,以及必須實作的標準日常運作程序列入考量。

開發與實作

您在評估過程中執行的工作,可以讓您實作適當的因應對策發展及實作。評估過程的結果,提供簡單的轉變,以實作有效的因應對策部署及安全性學習策略。

安全性風險補救發展

安全性風險補救發展是採用「評估」階段建立的計劃,並利用它們來建立有關設定管理、修補程式管理、系統監視與稽核,以及操作原則與程序的新安全性策略的過程。隨著各種不同因應對策的發展,確保對此進度進行徹底的追蹤及報告是十分重要的。

安全性風險補救測試

安全性風險補救測試會在已進行補救策略發展及相關系統管理變更,並在撰寫出判斷其效益的原則與程序之後進行。測試程序可讓小組考量如何將這些變更部署到生產環境中。在測試過程中,會針對控制安全性風險的程度,進行效益因應對策的評估。

安全性風險學習

安全性風險學習將擷取有關小組如何保護資產的知識,以及記錄已探查到的弱點與削弱點的過程加以形式化。在 IT 部門學習的同時,必須獲取及重新部署新的安全性資訊,才能持續最佳化保護公司資產之安全性因應對策的效率。此外,還必須透過訓練或安全性感測佈告欄,為商業社群舉行安全性教育。

**注意:**這些步驟只是提供邏輯性的指導,並不需要逐字逐句加以遵循以專注在特定的安全性風險。安全性小組在針對其特定資訊資產的安全性問題、威脅及弱點發展出經驗前,會經常需要重複這些識別、分析和規劃的步驟。

您的組織必須定義一個正式的風險管理程序,以闡明如何開始及評估安全性因應對策,以及在什麼樣的情況下應該針對個別或一組安全性風險採取哪些轉換步驟。

運作

穩固而一致的運作週期可提供您的安全性小組一個能產生可靠且可預測結果的機制。藉由在安全性專案的早期執行評估程序,小組可以更加瞭解如何重新評估您整個企業中全新及變更的資產。針對全新及變更的資產,執行穩定及部署新因應對策或變更的因應對策,於是成為貴公司日常操作的一部份。

重新評估全新及變更的資產與安全性風險

雖然這些程序是必要的變更管理程序,但這也是執行安全性設定管理的所在。這可在完成新的因應對策及安全性原則時,導致成版本管理。

穩定及部署全新或變更的因應對策

在運作階段中,這些程序是由系統管理、安全性管理及網路管理小組所管理。服務監視、服務控制及工作排程是運作階段中的一些額外程序,而在運作階段中,安全性系統管理員會執行全新及改善過的因應對策。

安全性服務台、意外事件管理,以及問題管理學習

在支援階段中,IT 組織中的運作小組可透過安全性服務台及控制的意外事件和問題提升管理當中的健全安全性管理,來支援安全的環境。

服務等級、財務及可用性管理

MSF 及 MOF 是一些經證實的作法,專為協助您發展、部署及維護強大的安全性管理計劃而設計。若能順利地利用這些經證實的作法,則可以建立能提供資源之完整性、機密性與可用性的環境。

安全性管理是透過對服務等級管理、財務管理、服務社群管理、可用性管理、容量管理,以及人力管理進行妥善管理而最佳化。

回到頁首

安全性風險管理架構

概觀

此架構並非制定一套特定的程序,相反地它有足夠的彈性可以接受廣泛的 IT 程序。此架構並非制定一套特定的程序,相反地它有足夠的彈性可以接受廣泛的 IT 程序。此程序模型包含從專案開始到當前部署之解決方案的生命週期。

按階段劃分的安全性架構程序模型里程碑

[圖 1] 按階段劃分的安全性架構程序模型里程碑

MSF 可以用來開發軟體應用程式及部署基礎結構的技術。此程序模型遵循的重複性週期,是設計用來透過簡短的開發週期及遞增的解決方案版本,以因應專案需求變化。而持續不斷的風險管理及測試週期使這成為可能。

許多有關專案的關鍵問題都在程序模型當中的每個里程碑提出、解答或討論過,例如:小組是否同意專案範圍? 小組是否已計劃周全來進行? 小組是否已建立其討論要建立的事項? 對於您組織的客戶及合作夥伴,解決方案是否可以正常地運作? 下列與上圖有關之安全性專案的六個主要程序將在此進行簡要的討論。

  1. 開始專案定義
    專案的初始階段將提出成功安全性專案其中一個最基本的需要:統一專案小組及安全性計劃。小組的初始程序會持續到初始階段最後的精簡部份。所有小組成員都必須對他們在安全性解決方案想要達成什麼目標,以及有關安全性的商業需求有清楚的觀察。此階段著重在識別出安全性管理相關的商業問題或機會。所有涉及安全性管理的人都必須在這些程序期間定出目標、前提及限制。

  2. 安全性評估及分析
    安全性管理的評估及分析是在 MSF 方法之規劃階段中所進行的程序。這些程序包括組織評估、資產價值評定、威脅識別、弱點評估及安全性風險評估。它們也一起構成了與成功的因應對策部署密切關聯的規劃。

  3. 從安全性評估及分析階段所採納的意見,創造出了一套安全性補救開發的方法。在這些程序中,開發人員會不斷地在因應對策的開發、測試及驗證過程中努力,以矯正在專案早期階段中識別到的風險。這些安全性補救開發程序已經過開發小組的整體測試,而且也比對品質標準進行過評估。

  4. 安全性補救測試及資源功能測試
    安全性補救測試及資源功能測試程序包含比較不能預測的結果。功能性測試中無法預知的結果會在穩定階段中由各個測試程序進行標示及管理。雖然建立階段是建構在已知的計劃及規格上,不過會發現到的錯誤數目及嚴重性總是不得而知。Microsoft 採用了錯誤交集 (Bug Convergence) 及零錯誤彈回 (Zero Bug Bounce) 的技術來測量解決方案的品質狀況,以及預測此階段中的發行日期。

  5. 安全性原則及因應對策部署
    安全性原則及因應對策部署程序會在整個 MSF 方法部署階段中持續進行,同時會不斷地延續到 MOF 程序週期中。此因應對策部署程序會將因應對策類型及安全性原則組織成兩種類型,即核心與站台,以及其相關的安全性元件。核心特有的安全性元件是位在與整個安全性解決方案密切關聯的中央或主要位置。站台特有的元件則位在可以讓使用者存取及使用安全性解決方案的個別位置。

  6. 部署完成
    安全性風險管理知識是在接近部署完成里程碑時擷取到的程序。捕獲在接近部署時所學得的教訓,可將解決方案向前推進至運作狀態,並將完成的專案交到 MOF 程序週期。

有關安全性專案程序的進一步明細,請參閱《Microsoft Solution for Security Services》(英文) 的指引。

建立您的安全性計劃小組

在 MSF 程序模型的評估過程中,有一項保護您的環境的重要步驟,那就是建立安全性計劃。此安全性計劃一章的目的是要針對您組織中的整個安全性判定出其目標、範圍、原則、優先順序、標準及策略。安全性計劃的成員是公司中資深主管。而「安全性管理小組」則是由中間階級的管理者及其報告小組 (實作及管理由安全性計劃所支配的原則) 組成。

安全性計劃應採用一種由上到下的方式來開發,意思是說相關的初始、支援及指導都必須由上層管理階層開始,往下運作到中層管理,最後再包括所有的職員。然而支援方面可能是由上到下、由下到上或由中到外等組合來發展及支持安全性管理中的想法。今天許多的公司都採用由下到上的開發及支援方式,由 IT 部門開發出一套安全性計劃,而沒有適當的管理支援與指導。這可能會導致安全性計劃變得無法與您組織中更大的商業目標相互配合。

資深的管理應透過指定組織中讓計劃順利開始所需的各個角色及職責來開始建立安全性計劃。資深管理的投入可以讓計劃保持健全並隨著商業及技術環境的變遷演進。在安全性計劃中建立角色可以證實,組織會將安全性視為其事業凝聚的一部份,而不只是個關心的議題而已。

除了安全性計劃之外,管理部門還必須建立一個安全性管理小組。此安全性管理小組直接負責監視安全性計劃各個層面的絕大部份。組織中的安全性計劃通常會發展出一些安全性原則,而由安全性管理小組施行及監視安全性設定。

根據組織、其安全性需求及環境規模而定,安全性管理部門可由一個人或一群以集中或分散方式工作的人所組成。

評估

程序模型中所述之威脅評估其安全性架構設計的目的是,為了協助安全性專業人員發展出一套策略來保護組織 IT 基礎結構中資料的可用性、完整性及機密性。它對資訊資源管理者、電腦安全性高階人員及系統管理員可能很重要,而對試著建立電腦安全性原則的人可能有特別的價值。此架構為這項重要的工作提供了有系統的方式,而且也包括了設立在發生災害時的緊急應變計劃,作最後的防備。

機密性

組織的 IT 基礎結構可能包括一些需要受到保護以防未授權洩漏的資訊。這類的例子包括資訊的定時散佈,如農作物收成報告、個人資訊或獨佔事業資訊等。機密性可以確保在各資料處理的交接點,確保提供必要保密層級的能力,並防止未授權的洩漏行為。當資料存在網路中的系統及裝置中、在網路中傳送,以及當它到達其目的地時,都應保持一致的機密性層級。

完整性

IT 基礎結構包括必須受到保護的資訊,以防未經授權、突發或無意的修改行為。這類的例子包括戶口調查資訊、經濟指標,或財務交易系統等。當資訊及系統的正確性及可靠性得到保障,以及資料的未授權修改獲得抑制時,便可以維護其完整性。

可用性

IT 基礎結構包括的資訊,或提供的服務,都必須適時提供來滿足任務的需求,或避免實際上的損失。這類的例子包括最需要安全、維生,以及一致的網路連線能力的系統。可用性能確保經過授權的個人資料和資源的可靠性及適時存取。

安全性系統管理員必須確定要花多少時間、金錢及努力,才能發展出合適的安全性原則與控制。您的組織應分析其特定的需要,然後再確定其資源、排程需求及限制。電腦系統、環境及組織原則各不相同,使得組織中的電腦保全小組在制定策略上倍感困難。

雖然安全性策略可以為您的組織節省寶貴的時間,並提供需完成事項的重要提醒,但是安全性並不是一次性的活動。它是您的環境整個系統生命週期的整合部份。本單元中所述的活動通常都需要定期的更新或適當的修訂。當設定或其他條件有重大的變更,或組織的規定及原則需要變更時,便會進行這類的變更。這是一個持續不斷的重複過程,而且應該定期進行修訂及測試。

組織的評估

建立一套有效的安全性及原則與控制需要採取一項策略,來判斷在您電腦系統中及防衛它們之現行安全性原則及控制中存在的弱點。您必須注意審查環境中缺少原則的區域,同時還要檢查存在的原則文件。除了檢討原則之外,組織的法律小組還應確定所有的安全性原則都遵照公司的法律原則。您目前的電腦安全性原則狀況可透過審查下列清單來判斷:

  • 電腦安全性原則,如實體存取控制

  • 資料安全性原則 (存取控制及完整性控制)

  • 緊急應變事件及災害重建計劃與測試

  • 電腦安全性認知及訓練

  • 電腦安全性管理及協調原則

其他包含機密資訊的原則文件,包括:

  • 電腦基本輸入/輸出系統 (BIOS) 密碼

  • 路由器設定密碼

  • 存取控制文件

  • 其他裝置管理密碼

威脅分析

建立一份威脅清單,大部份的組織可以識別出好幾份清單,可以協助您的安全性系統管理員識別出可能被攻擊所利用的削弱點。系統管理員持續不斷地更新他們對這個領域的知識是很重要的,因為經常會設計出新的方法、工具及技術來圍攻安全性法則的。

威脅分析程序概述於 [圖 1] 中的規劃階段,以判斷出可預期的攻擊,接著再發展出一些防禦這些攻擊的方法。要針對所有攻擊做好準備是不可能的;因此應該針對組織最可能受到的攻擊作好防範準備。預防或減少攻擊一向比在遭到攻擊後才修復損失來得有利。

為了減少攻擊,瞭解各種引起系統危機的威脅、可能用來危害安全性控制的相對技術,以及存在於安全性原則中的弱點是必要的。若無法預測到攻擊發生的確切時間或位置,瞭解這三種攻擊的要素,可以協助您預測攻擊的發生。預測攻擊是攸關預測其可能性,而發生的可能性是根據對其各方面的瞭解而定。各種不同層面的攻擊可以用以下的等式來表示:

威脅的動機 + 利用的方法 + 資產的弱點 = 攻擊

惡意的攻擊者可能會採用不同的方式來發起相同的攻擊。因此,必須針對各種威脅者可能利用的各種方式,自訂安全性策略。

弱點評估

評估組織的安全性需求必須包括判斷它與已知威脅有關的弱點。此項評估需要知道組織所擁有的資產類型,以及可能對其造成何種損害。

判斷攻擊可能造成的損害

對您環境中的資產可能造成的損害,範圍可能包括從電腦的小故障到嚴重的資料流失不等。對系統所造成的損害將依照攻擊的種類而有所不同。可能的話,請利用測試或實驗室環境來釐清不同種類的攻擊所造成的損害。如此將可以讓安全人員正確地評估實際的損害。並非所有的攻擊都會造成同一種類或等量的損害。可以執行的測試包括:

  • 在實驗室系統上進行電子郵件病毒攻擊的模擬,之後再利用分析來判斷所造成的損害,以及所需的潛在復原程序。

  • 透過企圖從信任的員工中獲取使用者名稱及密碼的測試,來判斷員工是否易受到社交工程的攻擊。

  • 資料中心災難的演練或模擬。測量生產時間的損失及復原所花費的時間。

  • 惡意病毒攻擊的模擬。測量復原一部電腦所需的時間。接著可將此時間因素與系統內受病毒感染的電腦數量相乘,以得出停機或產能損失的數量。

此程序最好也請意外事件回應小組一起參與,因為一整個小組比一個人更可能偵察到發生的各種損害類型。意外事件回應小組可控制安全性事件的優先處理順序,以及解決它們擴大的途徑。

判斷攻擊可能利用的弱點或缺失

要是能夠觀察到特定攻擊所利用的弱點,就可以更改現行或實作新的安全性原則及控制,將弱點減到最少。判斷出攻擊、威脅及方法的種類,可更容易發現現有的弱點。藉由執行滲透測試可以證明這一點。

安全性風險計劃及排程

對於每一種利用的方式,組織的安全性計劃都應包括主動式及反應式策略。

主動式或預先攻擊的策略是協助將現有的安全性原則弱點減到最少,並發展出緊急應變計劃的步驟。判斷攻擊對於系統會造成的損害,以及攻擊時所利用的缺失與弱點,可以協助您發展出主動式的策略。

反應式策略或後置攻擊策略,可以協助安全性人員評估攻擊所造成的損害、修復損失或實作主動式策略中所發展出來的緊急應變計劃、記錄經驗並從中學習,以及取得商業功能的後援並儘速地執行。

主動式策略

主動式策略是應該在攻擊發生之前就採取的預先定義步驟,以防止遭受攻擊。這些步驟包括:注意攻擊可能會如何影響或破壞您的電腦,以及它所利用的弱點 (步驟 1 及 2)。在這些評估當中所獲得的知識,可以協助您實作能夠控制或減少攻擊的安全性原則。以下是主動式策略的四個步驟:

  1. 判斷攻擊會造成的損害。

  2. 判斷攻擊將利用的弱點與缺失。

  3. 將針對前兩個步驟所定義的這個特定攻擊,所判斷出的弱點與缺失減到最小。

  4. 判斷適當的因應對策層級進行實作。

照著這些步驟來分析各種攻擊,可產生邊際效益:某種模式會開始出現,指出不同攻擊相互重疊的因素。此模式有助於判斷出對企業呈現出最大風險的弱點部份。

**注意:**平衡遺失資料的成本損失與實作安全性控制的成本也是必要的。斟酌這些風險及成本是系統風險分析的一部份。

反應式策略

當針對攻擊採取的主動式策略失敗時,則會實作反應式策略。反應式策略定義了在攻擊期間或之後必須採取的步驟。它可協助識別出所造成的損害,以及攻擊中所利用的弱點。反應式策略也可以判斷攻擊發生的原因、如何修復因攻擊所造成的損害,以及如何實作緊急應變計劃。

反應式策略及主動式策略可以搭配運用,以發展出安全性原則及控制,進而讓攻擊及其造成的損害減到最小。意外事件回應小組應參與執行攻擊期間或之後所採取的步驟,以協助評估、記錄事件並從中學習。

反應式策略包括下列三個步驟:

  1. 限制損害。
    包含攻擊期間所造成的損害,可以限制進一步損害的數量。例如:若您的環境中感染到病毒,您會試著儘快中斷伺服器與網路的連線,以限制損害繼續發生,即使在您得知有多少部伺服器可能受到影響之前也會如此。此一動作應儘速進行。

  2. 評估損害。
    判斷攻擊期間所造成的損害。此一動作應儘快進行,這樣還原組織的營運才可能儘快開始。若無法及時評估損害,則應實施緊急應變計劃,這樣正常的營運及生產才能繼續。

  3. 判斷損害的原因。
    為了判斷損害的原因,有必要瞭解攻擊是瞄準何種資源,以及利用哪些弱點來取得存取權或破壞服務。查閱系統日誌、稽核日誌及審核記錄。這些查閱的動作通常可以協助您觀察到攻擊是從系統的什麼地方開始,以及有哪些其他的資源受到影響。

  4. 修復損害。
    儘快修復損害以恢復正常營運,以及還原攻擊時所造成的資料損失,是重要事宜。組織的災害重建計劃及程序應包含還原策略。意外事件回應小組也應該能處理還原及復原程序,並提供復原程序的相關指引。在此程序期間,會執行緊急應變程序來限制損害的進一步擴大。

緊急應變計劃

緊急應變計劃是預防攻擊滲透到您的系統並破壞資料及其他資產,進而對正常營運造成干擾或降低產能時,所發展出來的替代計劃。如果系統無法及時還原,則會遵照緊急應變計劃來執行。最後,本目標是為了保持資料的可用性、完整性及機密性,也就是說,您的緊急應變計劃就等於是「B 計劃」。

緊急應變計劃應加以建立,以解決每一種攻擊及威脅的問題。每一個計劃都應包括萬一有攻擊時可以採用的一套步驟。繄急應變計劃應持續地:

  • 提出誰必須做什麼、何時進行以及在何處執行的問題,使組織可以持續運作。

  • 定期演練,讓所有人員隨時瞭解最新的緊急事件預防步驟。

  • 包含來自備份伺服器的還原資訊。

  • 隨著更新病毒軟體、Service Pack 及 Hotfix。

  • 包含將生產伺服器移到另一個位置的程序。若有資金時,應在策略性緊急事件預防地點中收集生產伺服器複寫。

  • 包括現行安全性原則及緊急應變計劃的事後檢討。

下列各點概述各種不同的評估工作,在發展您的緊急應變計劃時應該進行:

  • 評估組織的安全性原則及控制,以利用任何機會使弱點減到最小。此項評估應該提出組織的現行緊急應變計劃及程序,以及其整合到緊急應變計劃的問題。

  • 評估現行的緊急回應程序及它們對營運的影響。

  • 發展出對攻擊的計劃性回應,並將它們整合到緊急應變計劃,注意它們足夠限制損害的程度,以及將攻擊對資料處理作業的影響減到最少。

  • 評估備份程序,包括最新的說明文件及災害重建測試以評估其適用性,並將評估所得的結果併入緊急應變計劃中。

  • 評估災害重建計劃,以判斷它們伴隨的步驟是否合適於提供暫時或長期的作業環境。災害重建計劃應包括測試組織所需的安全性層級,如此一來安全人員才能判斷他們是否可以繼續在整個復原過程中執行安全性、暫時的作業,以及移回組織原來的處理站台或回到新站台的動作。

  • 草擬一份條列執行上述工作所需各種工具的詳細文件。此文件應列示:

    • 測試緊急應變計劃之使用者案例的相關明細。

    • 相依關係,例如從組織及必要資源之外獲得的協助,會對緊急應變計劃造成影響的相關明細。

    • 在復原作業中觀察到優先處理順序的清單,以及用來建立它們的基本理論。

    • 提升途徑的相關明細,如此在緊急應變計劃執行時,任何可能因它引起的問題可以清楚提升到最有效率的 IT 或營運人員。

實作

小心不要實作過於嚴刻的控制程序,因為資訊的可用性可能會因而變成問題。安全性控制及資訊的存取之間必須要謹慎地權衡。

模擬攻擊測試

安全性策略最後一個要素,即測試與檢閱測試結果,會在反應式及主動式策略實行之後才執行。在測試或實驗室系統中執行模擬攻擊,能夠評估各種弱點存在的位置,因而可以調整組織的安全性原則及控制。

這些測試不應在現行的生產系統上執行,因為後果可能會很慘重。但是,若因預算的限制而沒有實驗室及測試用的電腦,可能排除模擬攻擊。為了確實保有測試用的必要資金,讓管理部門知道攻擊的風險及後果,以及可能需要採取以保護系統的安全性措施,包括測試程序是很重要的。可能的話,應實際測試和記錄所有的攻擊案例,以判斷最有可能實作的安全性原則及控制。

雖然模擬會有所幫助,然而某些攻擊,例如:天然災害,還是無法測試。例如:火災可以在伺服器室進行模擬,致使當中所有的伺服器受到損壞而無法運作。這類災害案例對於測試系統管理員及安全性人員的反應力,以及對於確定多久能讓組織恢復運作,十分有幫助。

根據測試結果來調整安全性原則及控制是一項重複的程序。此程序會持續不斷,而且應定期進行評估及修訂,如此改善的工作才能落實。

運作

清楚定義的提升途徑及問題管理是「意外事件回應」計劃的必要元素。藉由不斷地在安全性專案的初期中執行「意外事件回應」計劃,小組在解決整個企業中的問題上具有更大的效率。記錄結果以及從您的安全性專案中學習,對每位進行新專案的人員都有利。收集在操作程序中學到的一類教訓,可使評估、發展及實作下一個安全性專案的工作更加容易完成

意外事件回應

如果您的組織希望徹底實作安全性計劃最佳作法,需要建立意外事件回應小組。意外事件回應小組應該主動參與各項工作,以確保系統的安全性,其中包括:

  • 發展出處置意外事件的指導方針。

  • 針對電腦犯罪準備提升法律執行的途徑及程序。

  • 識別出回應意外事件及活動的軟體工具。

  • 研究與開發其他的電腦安全性工具。

  • 舉行訓練和認知活動。

  • 執行病毒的相關研究。

  • 進行系統攻擊研究。

這些努力將可提供知識給組織用來解決意外事件發生之前及期間的問題。

安全性系統管理員應處於在需要時監視及管理組織的安全性稽核的立場。安全性系統管理員應是權威代表,可以是一個人或一群人,負責實施安全性網域的安全性原則。在安全性系統管理員及意外事件回應小組完成這些主動式職務之後,系統管理員應將處理意外事件的責任轉交給意外事件回應小組。

但這不表示安全性系統管理員不用再繼續參與小組的工作。安全性系統管理員可能不一定隨時有空,因此意外事件回應小組應該能夠自行處理意外事件。小組將負責回應意外事件,也應參與分析任何可能涉及電腦或網路安全性的異常事件。

記錄與學習

在攻擊發生時,將其記錄下來是很重要的事。記錄資料應涵蓋已知的各個攻擊面,包括攻擊造成的損害:硬體、軟體、資料流失、產能損失等,攻擊時所利用的弱點與缺失、生產時間的損失量、修復損害所採取的程序以及修復所花的努力。記錄資料可協助修改主動式的策略,以防範進一步的攻擊並將損害減到最低。

實作緊急應變計劃

若已經有緊急應變計劃,則可予以實作,以節省時間並讓營運順利進行。若沒有緊急應變計劃,則需根據前面步驟中的記錄內容來研發出適當的計劃。

檢閱結果及執行模擬

在攻擊之後或在抵抗攻擊之後,應檢閱與系統及組織主動式策略相關的結果。檢閱的內容應包括,產能耗損、資料或硬體損失,以及從攻擊恢復所花的時間等詳細資料。您應該在測試環境中執行模擬作業,這應與生產環境類似以獲得最佳結果。

檢閱及調整原則效益

若有現行原則可防禦所發生的攻擊,則應該加以檢閱並檢查其效益。若沒有原則,則必須草擬新的原則以降低或防範未來的攻擊。

若現有原則的效益未達到標準,則應予以調整。原則的更新必須由相關管理人員、安全性系統管理員、IT 系統管理員及意外事件回應小組來協調。所有的原則都應符合組織的一般規則與指導方針。例如,組織的一般上班時間可能是從上午 8 點到下午 6 點。則可以更新或建立安全性原則,指定使用者只能在這個時段登入系統。

回到頁首

安全性風險管理法則

下列各節利用了現今運用 MSF 及 MOF 所採用的安全性分析方法中已經過證實的作法。MSF 提供了在企業架構及基礎結構部署範疇中規劃、建立、穩定及部署專案生命週期的階段方面的指引。MOF 提供如何針對資訊技術 (IT) 作業開發或增進管理系統的相關建議。「安全性風險管理法則」已在此詳細加以定義,提供您可以運用到您環境的知識。SRMD 是一套詳盡的程序,有助於判斷哪些威脅及弱點最有可能影響特定的組織。

識別安全性風險

安全性風險識別是評估組織安全性的第一個步驟。為了有效地管理安全性風險,必須清楚地加以說明,這樣專案小組才會有共識,進而往後繼續分析後果,以及建立解決風險問題的行動計劃。雖然安全性風險的範圍侷限在專案小組試著保護的技術,但是小組的焦點應該擴展到足以解決所有的安全性風險來源,包括:技術、程序、環境和人員。

腦力激盪是識別安全性風險的一種方法,而網際網路上有許多關於安全性問題的資訊來源。組織可能也有現存的弱點評估或滲透測試,可以針對攻擊表面安全性風險來加以檢閱。

目標

安全性風險識別步驟的目標是,讓小組建立使組織資產陷於易受攻擊處境的已知安全性風險清單。此清單應儘可能完整,涵蓋到企業架構的所有視界,包括技術、商業、人員及策略。

風險管理是識別風險、分析風險及建立管理風險計劃的程序。安全性風險被定義為是依據系統弱點及對相關威脅者之抵抗和判斷而造成的預期威脅所導致或影響的預期損失。

建議事項

對安全性風險識別的建議事項包括,收集現有的威脅知識、建立目前利用削弱點的方式及技術清單,以及分析有可能被利用來危害組織資產的系統和原則弱點。這些威脅包括任何對資訊及系統的外在可能危險。而弱點則是提供威脅攻擊點的軟體、硬體或程序缺失。這些風險通常是源自不同的企業環境視界,包括商業作法、應用程式、資料及基礎結構的架構。

您小組的經驗,以及組織在技術基礎結構現行的狀況上以原則、程序、指引、範本及資訊等形式對安全性規劃的現行對策,將可協助判斷此步驟的建議事項。

安全性小組可能會利用從資產本身,或從用來執行弱點分析或滲透測試之工具得到的結果中所獲得的資訊。為收集小組和主策者對於安全性問題的觀點而進行的集體自由討論、簡化的討論會,甚至是正式的安全性研討會,都證實有益於獲得建議。

風險識別活動

在安全性風險識別步驟中,小組會透過清楚地闡述組織所面臨的風險,來尋求建立安全性問題的明確聲明或清單。安排一系列的安全性小組研討會或自由討論會議,對於識別與新環境有關的風險十分有幫助。

由於技術及環境急速的變化,不將安全性風險識別視為是一次性活動是很重要的,此一過程應在組織的運作生命週期中定期重複進行。

結構化的途徑

對安全性風險管理使用結構化的途徑是必要的,因為它可以讓所有的小組成員採用一致的機制來看待安全性問題。在此步驟當中使用威脅分類有助於提供一致、可再產生及可測量的方式。

威脅分類

威脅分類 (也稱作類別或分類法) 為安全性小組提供很多目的。在風險識別期間,它們可以用來刺激對各種不同區域中所引起安全性風險的思考。在集體自由討論會中,分類也可以透過提供簡便的方式將相似的威脅歸納在一起而減低處理大量威脅的複雜性。威脅分類的採用也可以為小組提供共同的術語,以便用來監視及報告整個專案的風險狀況。

安全性風險陳述

安全性風險陳述是組織現有安全性狀況與未來可能、未實現安全性結果之間的因果關係的自然語言表達。

安全性風險陳述的第一個部份稱為「情況」,它提供現有狀況或小組覺得可能造成一些傷害之潛在威脅的說明。風險陳述的第二個部份稱為「結果」,它說明資產之機密性、完整性及可用性不想要有的損失。

這兩項陳述是由像「那麼」或「可能會造成」的字詞連結,它們暗示著不確定即小於百分之百或因果的關係。

以下介紹用於本指南中的風險陳述:

如果威脅者 運用工具、技巧或方式來利用弱點,那麼資產機密性、完整性或可用性的損失可能會造成衝擊。**

安全性風險陳述是經由風險分析發展出來的。有兩種不同的風險分析方式: 定質性及定量性。定質性與定量性方法不相上下,它們各自提供重要的工具來建構您的風險識別活動。定量法是根據定量程序中收集的資訊而建立的。

安全性情況與結果風險陳述

[圖 2] 安全性情況與結果風險陳述

下列各步驟詳述上圖程序的每一部份:

  1. 為每一個威脅定義情況及結果風險陳述。
    若威脅者帶來威脅及運用弱點,那麼攻擊就會導致風險。攻擊可能會透過降低機密性、完整性或可用性來破壞資產。因此,攻擊會造成公司損失的曝光。但是,這些曝光度可以由防範措施反向測量。

  2. 指定威脅可能性 (TP),0% 最低 – 100% 最高。威脅可能性是可能的威脅者進入您環境的可能性。

  3. 指定危急性因素 (CF),1 最低 – 10 最高。危急性因素是資產中可能遭威脅利用的程度。

  4. 評定努力 (E),1 最低 – 10 最高。努力代表攻擊利用削弱點所需的技能。

  5. 判斷風險因素 (Risk Factor,RF)。這是危急性因素除以努力得到的數字。

  6. 使用等式 (TP × RF) 來判斷威脅頻繁程度。

  7. 評定弱點因素 (VF),1 最低 – 10 最高。決定對資產的弱點會有多大的風險。

  8. 判斷資產優先順序 (AP),1 最低 – 10 最高。根據下列準則判斷每個公司資產的資產優先等級。資產的價值評定是複雜的過程,可能需要花時間才能漸趨完美。有關資產價值評定的詳細資訊,請參閱本單元最後有關這個主題的參考資料。排定組織資產的優先順序,對於判斷以可用的預算能保護多少資產是很重要的。

    為了協助您有系統地整理優先的資產清單,請依據您的組織內的環境,探究下列有關每項資產問題的解答:

    • 公司的資產價值為何?

    • 資產需要花多少錢來維護或保護?

    • 資產為公司帶來多少利潤?

    • 資產值多少競爭價值?

    • 資產要花多少錢來重建或復原?

    • 資產花了多少錢取得或開發?

  9. 使用等式 (VF × AP) 來判斷影響因素 (IF)。

  10. 使用等式 (威脅頻繁程度 × 影響因素,並除以 1,000) 來判斷曝光度因素 (EF)。曝光度因素是以百分比表示,以便在 [表 2] 下繼續的步驟中計算單一損失預期量 (Single Loss Expectancy,SLE)。

產生安全性風險陳述的兩個部份公式化程序,具有將資產可能的結果與組織中目前存在可觀察到以及可能可控制的情況相結合的優點。小組在識別安全性風險情況方面唯一關注的替代方法,可能需要小組在安全性風險管理計劃建立時,稍後於安全性風險分析程序中重新追蹤風險情況。

**注意:**安全性風險陳述不只是純粹的 "If-Then" 陳述而已;事實上,它們是探究風險可能造成卻未察覺結果的事實陳述。

考量假設性的 "If-Then" 陳述,並利用決策樹來斟酌使用替代方法及制定計劃,可能很有幫助。然而,您在安全性風險識別階段中的目標,純粹是要儘量找出安全性風險。要如何分析及管理它們則是延到此程序的稍後階段。

您建立的安全性風險陳述必須包含情況及結果。作為完全安全性風險分析的一部份,小組成員應尋找安全性問題情況的相似性及自然分類,然後再重新追蹤每一個的關係,以找出一般的根本主因。從情況的主因往下重新追蹤彼此的關係,也是很重要的。它會檢查對組織之外的資產所造成的影響,進而對於與安全性威脅相關的所有損失或失去的機會,獲得更好的評估。

在安全性風險識別期間,如果相同的情況擁有多個與其相關的結果是不太尋常的。但是,反過來倒有可能是真的 — 可能有許多情況全都產生相同結果。有時在組織某一部份中識別到的安全性風險結果,可能會成為另一個風險情況。這些情況應該要記錄下來,這樣在安全性風險分析及規劃期間才能作出適當的決策,以便考量安全性風險之間的相依性和關係。

根據組織的安全性風險關係而定,減少風險的錯誤,可能會促成整個相依風險群組的風險跟著降低,因而改變組織的整體風險概廓。在安全性風險識別階段的初期記錄這些關係,可提供有用的資訊,幫助引導有效的安全性風險計劃,也就是在分析資源時具有彈性、廣泛而且有效,可提出主因或下游原因。對於最重要的安全性風險,在識別步驟中擷取這些額外資訊的好處,應針對後續的分析及優先處理間的快速進展取得平衡,然後再於計劃階段重新檢查相依性和主因。

評定組織資產的價值

評定資產的金錢價值是風險管理重要的一部份。企業經理人通常有賴資產的價值來引導他們判斷應花多少金錢與時間來保護資產。有許多組織會將資產價值清單當作其災害重建計劃的一部份來維護。使用以下的價值判斷模型,可以幫助組織判斷如何排定資產的優先順序,如定量分析的步驟 8 中所詳述。

若要適當地為資產指定值,可計算以下三個主要的因素:

  • 組織的整體資產價值。以直接的金融關係計算或評估資產的價值。例如:若您有一個電子商務網站,一般運作時間為一週七天,每天 24 小時,而它從客戶的訂單中可以產生平均每小時 $2,000 美元的收益,則您可以有信心地表示,這個網站在銷售歲收上每年的產值會有 $17,520,000 美元。

  • 資產損失的直接財務影響。若相同的網站有六個小時不能運作,所計算的曝光度為一年 .000685 百分點。將這個曝光度百分點乘以每年的資產價值,您可以預測在此情況下直接可歸因的損失會是 $12,000 美元。

  • 資產損失的間接事業影響。在此例中,公司預估宣傳抵制此類意外事件的負面形象費要花 $10,000 美元。此外,公司也預估每年銷售量一個百分點有 .01 的損失,或 $17,520 美元。透過結合額外的宣傳費用及每年銷售歲收的損失,您可以預測在此案例中間接總損失會是 $27,520 美元。

[表 1]:資產價值評定範例 (以美元計)

資產 價值 曝光因素 直接影響 間接影響
電子商務網站 每年 $17,520,000 美元 每年六個小時或 .000685 $12,000 $27,520
您也應考量資產對競爭者的價值。例如:當您的網站不能運作時,若您的競爭者能夠從您的網站使用之前得到的客戶資訊,則您可能會有數百萬的歲收流向您的競爭者。 有許多方法及等式可用來執行定量風險分析,也有許多不同的變數可插入程序中。而下面是一些自上述步驟 10 繼續的額外步驟,以達到成功的定量安全性風險分析: 1. 判斷單一損失預期量 (SLE)。這是從單一出現的風險中失去的總收益量。SLE 是指定給單一事件的美元數目,代表在發生特定威脅時公司可能損失的金額。將資產價值 (AV) 乘以曝光度因素(EF)來計算 SLE。SLE 類似於定質風險分析的影響 使用等式 (AV × EF) 來決定 SLE。 曝光度因素代表已知的威脅對某項資產可能造成的損失百分比。若 Web 伺服陣列有 $150,000 美元的資產價值,而一場火災造成的損失,預估達到其價值的百分之二十五時,那麼此一案例的 SLE 會是 $37,500 美元。此推得的數字是要插入步驟 3 的 ALE 等式中。 2. 判斷每年的出現率 (ARO)。ARO 是您合理預測一年中發生風險的次數。若要預估 ARO,利用您過去的經驗,並詢問風險管理專家及安全性和企業顧問。ARO 類似於定質風險分析的可能性。ARO 的範圍從 0% (從未) 延伸到 100% (總是)。 例如,若同一公司的 Web 伺服陣列火災造成 $37,500 美元的損失,而發生火災的可能性 (或 ARO) 有 0.1 的 ARO 值 (表示十年有一次),那麼此案例中的 ALE 值會是 $3,750 ($37,500 x 0.1 = $3,750) 美元。 3. 判斷每年的損失預期量 (ALE)。ALE 是組織在未對風險作任何的減少錯誤工作下,一年之中會損失的金額。將 SLE 與 ARO 相乘來計算此值。ALE 類似於定質風險分析的相對分級。使用等式 (ARO × SLE) 來判斷 ALE。 ALE 會提供一個值,讓您的公司用來編列建立控制機制或防範措施以防止此類損失的預算 — 在此一案例中,為每年 $3,750 美元或更少 — 且會提供合適的保護層級。將風險實際發生的可能性與威脅可能造成的損失量 (係以錢計) 量化,以便瞭解可能要花多少錢才能防止威脅可能造成的後果損失,這是很重要的事。 4. 使用下列等式來估算因應對策或防範措施需花的成本: (因應對策之前的 ALE) – (因應對策之後的 ALE) – (每年的因應對策成本) = 公司防範措施的值 (VSC) 例如,攻擊者使 Web 伺服器停機的威脅 ALE 是 $12,000 美元,而在實施建議的防範措施之後,ALE 的價值在 $3,000 美元。防範措施每年的維護及運作成本是 $650 美元,所以此防範措施的價值每年是 $8,350 美元,如下列等式所示: ($12,000 - $3,000 - $650 = $8,350)。 來自定量風險分析的建議事項提供明確定義的目標及結果。下列簡要的清單定義一般從之前步驟結果衍生的項目: - 指定的資產貨幣值。 - 完整的重大威脅清單 - 各項威脅發生的可能性。 - 12 個月中各項威脅對公司可能造成的損失。 - 建議的防範措施、因應對策及行動。 ##### 獲得結果 從安全風險識別活動中獲得的最少結果,是一份記錄為安全性問題的清單,當中涵蓋安全性小組所面臨清楚、明確且一致的風險陳述。以表格形式呈現的安全性問題清單,是下一個階段「安全性風險管理」程序分析的主要建議事項。 安全性風險識別步驟時常會產生大量其他有用的資訊,包括識別主因和下游結果、受影響的一方、擁有者等等。 將安全性風險陳述及安全性小組發展的主因及下游結果資訊作成表格式的記錄,被認為是一個良好的作法。使用安全性風險資訊來建立或使用安全性知識庫時,按威脅來分類安全性風險的其他資訊可能也很有幫助 — 若您的組織定義了完善的分類法。 在風險識別程序期間,安全性小組可能要記錄的其他資訊包括: - 限制 - 情況 - 假設 - 造成的因素 - 安全性風險中的相依性 - 相關的問題 - 企業資產擁有者 - 小組關心事項 #### 安全性風險之分析與優先處理順序 安全性風險之分析與優先處理順序是安全性評估程序的第二大步驟。安全性風險分析涉及到將安全性風險資料 (威脅、削弱點及弱點) 轉換成有助於決策的形式。安全性優先處理順序可確保安全性小組成員會先處理最重要的安全性風險問題。 在此步驟中,安全性小組會檢查安全性風險識別步驟產生的安全性問題清單項目,以便加以優先處理,並組織成「安全性行動計劃」。 在「安全性行動計劃」中,組織的安全性小組可用安全性問題清單來規劃及動用資源,以執行針對管理環境中之問題的特定策略。 小組也可以識別哪些安全性問題,是屬於可能是從清單中降下來的這類低優先順序行動。當此安全性實作階段朝著完成進展,以及當組織環境改變時,必須重複安全性風險識別和安全性風險分析,以驗證「安全性行動計劃」的效果。可能會出現新的安全性風險,而不再具有極高優先順序的舊安全性風險可能會被移除、降低或「停止作用」。 ##### 目標 安全性風險分析步驟的主要目標是,排列「安全性行動計劃」中安全性問題的優先順序,以判斷哪些問題需要動用到組織的資源而減少錯誤。 ##### 建議事項 在風險分析程序中,小組會利用本身的經驗,以及從其他安全性風險陳述的相關來源衍生而來的資訊。有關如何將原始安全性風險陳述轉換成經過優先排列之主風險清單的資訊,請參閱組織的安全性原則及程序、業界知識安全性資料庫、弱點分析、安全性模擬及個別的資產擁有者。 #### 安全性風險分析活動 對於完成「安全性行動計劃」中優先順序的排定,存在著許多定質和定量性的技術其中一項簡單的安全性風險分析技術,是使用從下面兩個被廣為接受的風險元件衍生而來的一致小組評估:可能性與影響。這些評估值可以一起相乘,以計算稱為曝光度的單一度量值。 #### 安全性風險可能性 安全性風險可能性是對安全性風險陳述之風險情況中,所述事項狀況發生可能性的測量。您的風險陳述可能包括公司時間或金錢之外的因素,例如下列風險陳述部份中所述的因素: "**如果***威脅者*使用*工具、技巧或方式*來利用*弱點*..." 運用削弱點以利用弱點的威脅是風險陳述的情況部份。對於某些種類的威脅,可能沒有漏洞或已知的弱點,特別是在威脅是天然災害時。 使用數值的風險可能性比較適合風險分級若安全性風險可能性未大於零,那麼威脅就不會對安全性構成問題。若可能性是百分之百,則安全性風險是確定的事,而且可能是已知的問題。 雖然業界或企業風險資料庫在根據大量專案範例提供已知的可能性評估可能有所幫助,但可能性是出了名的難預估及套用。不過,由於專案小組可以用自然的語言術詞口述他們的經驗,所以將這些詞句對應到數字的可能性範圍 ,可能有幫助,如下表所示。 **\[表 2\]:風險可能性**

範圍 計算值 表示式 分數
1% 到 14% 7% 極不可能 1
15% 到 28% 21% 2
28% 到 42% 35% 不可能 3
43% 到 57% 50% 50 – 50 4
58% 到 72% 65% 可能 5
73% 到 86% 79% 高度可能 6
87% 到 99% 93% 幾乎確定 7
計算用的可能性值代表範圍的中點。藉由這些對應表的幫助,量化可能性的替代方式是將可能性範圍或小組同意的自然語言表達對應到數字分數。使用數字分數來代表安全性風險時,所有的安全性風險在優先處理順序的程序中都必須採用相同的數字分數以有效地運作。 無論使用何種技術來量化不確定性,小組都需要發展出一種方式來衍生出單一的風險可能性值,代表它與每個風險相關的一致視界。 #### 安全性風險影響 風險影響是因為對資產的不良影響,或導致資產失去機密性、完整性或可用性的大量損失所造成損失嚴重性的預估。它應該是安全性結果的直接測量,如安全性風險陳述第二個部份中所定義: "...**那麼**對*資產* (機密性、完整性或可用性) 的損失可能會造成影響。 損失可以用財務術語測量,或以與資產相關的主觀測量基準來測量。若所有的安全性風險影響都可以財務術語來表示,則使用金融值來量化大量的損失或機會成本,會有讓商業贊助者熟悉方面優勢。金融上的影響可能是長期營運及支援成本、市場佔有率成本、其他短期工作成本,或機會成本等。 在其他情況中,從 1 到 5 或從 1 到 10 的主觀衡量基準,比較適合測量安全性風險影響。一個可能會用到主觀衡量基準的範例是,無法快速地判斷適當的資產淨值的情況。只要「安全性行動計劃」中所有的安全性風險都使用相同的測量單位,通常簡單的優先處理技術就綽綽有餘。 **\[表 3\]:資產損失評分制度範例 (以美元計)**

分數 金錢損失
1 $100 以下
2 $100 – $1,000
3 $1,000 – $10,000
4 $10,000 – $100,000
5 $100,000 – $1,000,000
6 $1,000,000 – $10,000,000
7 $10,000,000 – $100,000,000
8 $100,000,000 – $1,000,000,000
9 $10 億 – $100 億
10 $100 億以上
評估影響的評分制度會依不同的組織而異,而且應該會反映組織的價值和原則。例如,對於一個小組或組織可以容忍的 $10,000 美元的金錢損失,可能對另一個小組或組織是無法接受的。以虛設的高值 (如 100 分) 來評分災難性的影響,可確保即使是極低可能性的風險也可能會上升到風險清單的首位,並留在該位置上。 #### 安全性風險曝光度 風險曝光度測量的是資產的整個安全性風險,它將表示實際損失的可能性與表示大量可能損失的資訊結合到單一數字評估中。安全性小組接著可以使用大量的風險曝光度來分級安全性問題。在形式最簡單的定量性風險分析中,風險曝光度可透過將風險可能性及影響相乘算出。 當使用分數將可能性及影響量化時,建立矩陣,來考慮可能的分數組合,並將分數指定為低、中及高風險種類,有時很方便。利用三種可能性分數評比 (其中 1 最低,而 3 最高),以及三種影響分數評比 (其中 1 最低,而 3 最高),其結果可以用表格的形式來表示,當中每一個儲存格都是可能的風險曝光度值。在此種安排下,容易根據它們在遞增分數之對角線中的位置,將風險分類為低、中及高。 **\[表 4\]:風險分數評比矩陣**

可能性影響 低 = 1 中 = 2 高 = 3
高 = 3 3 6 9
中 = 2 2 4 6
低 = 1 1 2 3
曝光度範圍: 低 =1 – 2; 中 =3 – 4; 高 = 6 – 9         
此種表格格式的優點是,它允許使用色彩將安全性風險程度併入贊助者和主策者的狀況報告中 (紅色表示右上角中的高風險區,綠色表示左下角中的低風險,而黃色表示沿著對角線的中度風險)。一個容易瞭解卻定義完整的術語可改進這些值的表達,就像「高風險」比「高曝光度」更易於瞭解。 #### 其他定量性技術 因為安全性風險分析的目標是,排列安全性風險的優先順序、推動「安全性行動計劃」,以及促成對安全性管理動用資源的相關決策,所以您的安全性小組應選擇方法來排列適合專案、小組及主策者風險的優先順序。 有時組織可受益於採用加重且多屬性的技術,將小組想要在分級過程中考慮的元素併列進來,例如:所需的時間範圍、大量的可能機會效益、可能性評估的可靠度,以及實體或資訊資產價值。 選擇「合適的」安全性風險分析方式或各種方式的組合,要看在執行安全性風險分析所作的努力,以及在「安全性行動計劃」中選擇不正確或無法辯駁的 (對主策者而言) 優先順序之間是否作出正確的權衡選擇,來決定。應著手進行安全性風險分析,以支援促使優先順序的決策,而且決不應該為分析而分析。 定量性或半定量性方法進行安全性風險優先順序所得到的結果,應在企業指導方針、原則及程序、資料及技術基礎結構的環境當中加以評估。半定量性方式是從使用某種定質性測量,讓公司提出可定量的安全性測量開始。 ##### 獲得結果 安全性風險分析提供您的小組經優先順序排列的安全性行動清單,以指引您進行安全性風險計劃的活動。包括用於排列優先順序的情況、環境、主因及度量值 (可能性、影響、曝光度) 的詳細安全性風險資訊,通常會針對各風險記錄在風險陳述表單中,本單元稍後會詳加說明。 #### 主安全性風險清單 行動計劃必須建立的主安全性風險清單是在您的「安全性行動計劃」中定義的。「安全性行動計劃」可識別造成安全性風險的情況、可能的不良效果 (結果),以及用於分級風險 (如其可能性、影響及曝光度) 的基準或資訊等。在此展示使用兩個因素 (可能性及影響),評估方式的範例主風險清單。 **\[表 5\]:主風險清單及優先順序排列範例**

優先順序 情況 結果 可能性 影響 曝光度
1 病毒感染電子商務網站 六小時重建伺服器。 80% 3 2.4
2 新程式設計語言沒有編碼標準 出貨時可能帶有更多的安全性弱點。 45% 2 0.9
3 沒有書面規格 有些產品安全性功能未實作 30% 2 0.6
曝光度的計算方式為:可能性 x 影響。低影響 = 1,中影響 = 2 及高影響 = 3。 主安全性風險清單是所有安全性風險評估資訊的彙編。它是一份活文件,構成進行中安全性風險管理程序的基礎,而且應在整個 IT 生命週期 (包括評估、計劃、建置、部署及運作) 中隨時保持最新的資訊。 安全性主風險清單是支援主動式或反應式風險管理的基本文件。它提供下列的基礎讓小組作出決策: - 將努力按優先順序排列。 - 識別出重大的行動。 - 強調相依性。 用來計算風險呈現曝光度的方式應在風險管理計劃中小心記錄,而且應謹慎地確定計算後可以正確地得到小組想要的事項,權衡不同因素的重要性。 若要識別資產的威脅,您可以執行風險分析。對於各個您識別出來的威脅,建立風險陳述。如果發生威脅時,風險陳述會將威脅的相關資訊與威脅影響的相關資訊相結合。 **\[表 6\]:主安全性風險清單內容**

項目 目的 狀態
安全性風險陳述 清楚闡述風險。 必要
可能性 量化威脅出現的可能性。 必要
影響 量化損失的嚴重性或大量的機會成本。 必要
分級基準 重要性的單一測量。 必要
優先順序 (排列) 排列行動的優先順序。 必要
擁有者 確定完全照著風險行動計劃執行。 必要
減少錯誤的計劃 說明預防措施。 必要
緊急應變計劃及觸發器 說明更正措施。 必要
主因 指引有效的介入計劃。 必要
下游效果 確定合適的影響評估。 選擇性的
環境 記錄背景資訊以捕捉小組在表面風險中的意向。 選擇性的
實作時間 捕捉在某些時間範圍內實作風險控制的重要性。 選擇性的
#### 風險陳述表單 分析各個個別的安全性風險時,或在與特定威脅、削弱點或弱點相關的安全性計劃活動期間,以文件檢視 (稱為安全性風險陳述表單) 來查看所有的資訊相當方便。有關安全性專案程序的進一步明細,請參閱《Microsoft Solution for Security Services》(英文)。 安全性風險陳述清單一般包含在識別及評估階段中建立的主安全性風險清單中的欄位,而且可在安全性風險管理程序中,以小組所需的額外資訊來增加。如果會將風險指定給安全性小組進行後續動作,則將安全性風險陳述清單視為主風險清單中的個別文件,可能會比較簡單。撰寫風險陳述時,小組應考慮到的資訊包括: **\[表 7\]:風險陳述表單**

項目 目的
安全性風險識別元 小組為了報告及追蹤目的用來專門識別風險的名稱。
安全性風險來源 安全性風險所源自基本區域的廣泛分類。用來識別應尋找安全性風險重複出現的主因所在。
安全性風險情況 (威脅/削弱點) 說明可能造成損失現有情況的詞語。這構成安全性風險陳述的第一個部份。
風險結果 (弱點/對資產的影響) 說明當風險產生結果時會發生損失的詞語。這構成安全性風險陳述的第二個部份。
安全性風險可能性 大於零而小於百分之一百的可能性,代表風險情況實際上會發生而導致損失之可能性。
資產影響分類 風險可能產生影響種類的廣泛分類。
資產曝光度 整個風險的威脅,平衡實際損失的可能性與大量可能的損失。小組可使用風險曝光度來分等和分級風險。曝光度透過將風險可能性和影響相乘算出。
風險環境 包含可協助釐清安全性風險情況之額外背景資訊的段落。
相關的安全性風險 小組用來追蹤相互依存風險的風險識別元清單。
##### 最高安全性風險清單 安全性風險分析會權衡各安全性風險的威脅,以協助安全性小組判斷哪些問題值得處理。由於管理與其相關的安全性及計劃耗時又耗力,而無法進行其他的活動,所以安全性小組採取絕對必要的行動來保護最有價值的資產,是很重要的。 監視安全性風險的簡單而有效的方法,就是建立主要安全性問題的最高安全性風險清單。最高安全性風險清單接著可以供外部的所有主策者查看,以便用於其他安全性可能會受影響的 IT 專案中。 組織必須根據一些因素 (包括時間、資源及資產) 來判斷會列入最高安全性風險清單中的項目。一旦您選擇了許多必須管理的主要安全性風險時,您必須分配小組資源以開發與其相關的計劃。 在分級安全性風險之後,小組應注意安全性風險管理策略,以及如何將安全性行動計劃合併到整個安全性評估計劃中。 ##### 停用安全性風險 安全性風險可能被停用或分類為無作用,讓小組專注在其他需要更積極主動管理的問題上。將安全性風險分類為無作用,是指評估小組已決定它不值得花所需的努力,來追蹤此特定時間內該項特定的威脅。決定停用安全性風險是在安全性風險分析期間進行。 有些安全性威脅之所以停用是因為其威脅可能性事實上是零,而且因為具有非常不可能的情況而可能保留此一狀態。而其他安全性風險之所以停用,是因為它們對資產的影響低於值得費精神來規劃主動式的減少錯誤作業或反應式的緊急應變策略的臨界點。在這些情況下,直接承受這些安全性風險可能造成的後果,確實具有較高的成本效益。 停用超過此資產影響臨界點的安全性風險,可能是不太明智,即使其曝光度很低也一樣,除非安全性小組相信可能性及曝光度,在所有可預測的環境下都會保持得很低。請記得停用安全性風險跟解決安全性風險不一樣。停用的安全性風險在某些情況可能會再出現,而安全性小組可能會選擇將風險重新歸類為作用中,並重新該使安全性風險評估活動。 [](#mainsection)[回到頁首](#mainsection) ### 安全性風險追蹤、規劃、排程及報告 追蹤已在「安全性行動計劃」中識別的安全性風險,然後再實作計劃、排程及報告程序來補救之,這是此程序接下來的步驟。根據上一個步驟中識別的優先順序,小組會透過修改技術基礎結構及實作新的安全性程序和過程,來進行主動式變更。 若有無法主動管理的風險,則會產生反應式計劃,在事件觸發時執行。在計劃建立之後,會針對提議之修改內容產生實作排程。最後,會指定小組成員處理各種的補救作業。 排程包括將實作安全性行動計劃所需的工作透過將它們指定給每個人並主動地追蹤其狀態,以整合到評估專案排程中。 報告則包含重新定義一些因專案及程序已在範圍或定義上有所變更而跟著變更的風險。此類的報告也稱為風險變更管理。報告也包含結束來自專案中前幾大受管理風險的安全性風險。下圖以圖形方式描繪出這整個步驟。 ![風險追蹤、計劃、排程及報告](images/Dd548204.secmod134_03(zh-tw,TechNet.10).jpg) **\[圖 3\]** *風險追蹤、計劃、排程及報告* #### 目標 安全性風險計劃和排程步驟的主要目標在於,發展出詳細的行動計劃以控制在安全性風險分析期間識別出的最高安全性風險,然後再將它們與標準專案管理程序整合在一起,以確定它們已完成。 #### 建議事項 安全性風險計劃應緊密地整合到標準專案計劃程序及基礎結構中。注意與安全性評估專案本身相關的風險是很重要的,但是這些風險本身並不與實際的安全性風險相同。安全性行動計劃的實作會將風險帶入整個專案,應使用「MSF 風險管理法則」的方法來管理。實作「安全性行動計劃」的專案風險通常包括時間、金錢及資源。 對安全性風險計劃程序的建議事項不但包含了主要的安全性風險清單、最高安全性風險清單,以及安全性知識庫中的資訊,而且也包括安全性行動計劃和安全性實作排程。 #### 規劃活動 發展減少資產曝光度的計劃時,您應: - 著重在高曝光度安全性風險。 - 處理威脅情況,如:威脅及削弱點以降低可能性。 - 比照徵兆來找出安全性問題的主因。 - 處理資產造成的後果 (弱點及資產) 將資產的影響減少到最小。 - 判斷安全性問題的主因,接著再找出可能影響相同或其他因相同原因引起資產的類似情況。 - 注意來自安全性風險中之威脅、削弱點及弱點的相依性和相互影響關係。 還有幾種規劃方法可減少其中包含下列內容不同專案風險的情況: - 對於小組可以控制的專案風險,套用降低威脅情況可能性所需的小組資源。這是主動式安全性風險管理方式。 - 對於小組無法控制的專案風險,找出可能的暫行解決方案,或將安全性風險移轉或提升到有權限介入的個人。 - 對於小組無法控制且無法移轉或以主動方式來管理的專案風險,小組應發展出一些計劃來,以降低對資產的影響或損失。這是一種反應式的安全性風險管理方式。 ##### 安全性行動計劃 安全性行動計劃有六種主要的執行方式,當您的小組在制定安全性風險行動計劃時,應注意與此處簡單列出各種方式有關的問題。各種方式都詳細定義如下。 - **研究**。安全性小組是否充分瞭解此安全性風險? 您是否需要進一步研究威脅、削弱點、弱點或資產,以便在決定採取行動之前,可以更充分地判斷這些元件的特性? - **接受**。您是否願意接受風險,而除了制定緊急應變計劃,不執行任何主動式的動作?假設資產的 ALE 值小於資產的價值,以及假設對企業影響偏低時,您可以考慮接受風險。若安全性風險實際發生時,組織可容忍後果嗎? - **避免**。是否有方法可透過排除風險來源或資產的風險曝光度,來避免風險?這是對風險最極端的反應,只有在風險的影響超過從資產獲得的利益時,才應執行。您的組織是否可以藉由變更實作專案的範圍來避免風險? - **移轉**。您是否可能透過將風險的部份責任移轉給另一方 (如保險公司或受管理的服務公司) 來移轉風險?移轉風險漸漸變成相形重要的安全性策略。您的組織可以藉由將安全性風險移轉給另一個團體、小組、個人或外部組織,來避免安全性風險嗎? - **減少錯誤**。您可以透過主動地變更資產的風險曝光度,或變更組織對資產的依賴度,來降低風險嗎?若 ALE 小於資產的價值,而且您能事先採取主動式動作時,可考慮風險減少錯誤策略。減少錯誤是主要的風險管理策略。您可以執行任何動作來降低威脅可能性或資產的安全性風險影響嗎? - **緊急應變計劃**。是否可以透過計劃的意外事件回應來降低影響?適當建構而成的緊急應變計劃,可在風險變成問題或意外事件時減低影響。在安全性意外事件發生之後,可以使用觸發器適當地執行緊急應變計劃。 **研究** 安全性專案中的許多風險,是與不完整資訊周圍的不確定性有關。與缺少知識相關的安全性風險,通常可以透過在繼續之前進一步瞭解威脅、削弱點、弱點或資產本身,而得到有效地解決或管理。 例如,在完成安全性實作計劃之前,小組可以選擇尋找弱點評估,或進行安全性訓練更深入瞭解環境,或小組對安全性漏洞的反應能力。若小組作的決定是要執行研究,那麼「安全性行動計劃」應涵蓋適當的研究提案,包括要測試的區域及要解答的問題,包含人事及任何必要的設備。 **接受** 有些安全性風險,特別是與天災有關,處在即使是使用有效的預防性或更正性措施也不可能介入的情況。因此,安全性小組可能會選擇乾脆接受安全性問題。但是,主動式減少錯誤或反應式緊急應變計劃仍舊要繼續發展。對監視安全性風險的持續努力應該能促進合適資源及追蹤衡量標準的建成。 **注意:**接受並不是「什麼都不做」的策略。組織的「安全性行動計劃」應包含為何小組選擇接受風險的記錄解釋。 **避免** 安全性風險可能被識別成透過變更評估範圍,就能輕鬆地加以控制的風險。用此種方式變更評估的範圍以便一併「排除」安全性風險,就稱為避免技巧。在這些情況中,「安全性行動計劃」應包括此類決定的解釋文件,而安全性實作計劃應以任何需要的設計變更或範圍變更程序來更新。 **移轉** 有時安全性風險可能會移轉給組織外的另一個實體來管理。安全性風險移轉的實例包括: - 保險。 - 使用具備更多專門知識的外部顧問。 - 委外服務。 移轉安全性風險不是指風險已經被排除。一般說來,移轉策略會產生仍需要主動式管理的新安全性風險,但是移轉風險會將威脅降為更可接受的程度。例如,委外的 IT 基礎結構可能將安全性風險移轉到安全性小組之外,但可能會引入與您的組織嘗試保護的資產機密性有關的新安全性風險。 **減少錯誤** 安全性風險減少錯誤包括,採取主動式的動作來防止安全性風險發生,或將影響或後果減到可接受的程度。透過減少錯誤的主動式安全性風險管理與避免方式不同,因為減少錯誤著重在預防及降低威脅到可接受的程度,而安全性風險避免會改變評估的範圍,以防止涉及無法接受風險的活動發生。 安全性風險減少錯誤的主要目標是要降低威脅出現的可能性。例如:使用強性密碼原則,可降低外部使用找到密碼來存取薪資系統的可能性。 **緊急應變計劃** 安全性風險緊急應變計劃涉及到建立一或多個可在努力防止攻擊而失敗時,加以成立的意外事件回應計劃。為所有安全性風險 (包括有減少錯誤計劃的風險),建立緊急應變計劃是不錯的作法。這麼做的原因很簡單 — 無論組織發展的主動式安全性計劃有多完善,未知的威脅、削弱點或弱點仍然可能存在,而且可能傷害資產。 若威脅發生時,安全性緊急應變計劃必須提出該採取的動作,而且它必須著重在後果,以及如何降低資產的影響。您的小組應建立意外事件回應計劃及企業恢復計劃,以確保您能夠在攻擊期間及之後有效地反應。 您可以根據可能遇到的威脅、削弱點或弱點種類,來建立緊急應變計劃之觸發器的值。對於安全性而言,觸發器通常是一個事件。這表示必須要有一種方法來捕捉該事件並通知合適的回應小組來執行緊急應變計劃。 有兩種緊急應變計劃觸發器: - **時間點觸發器**。時間點觸發器是根據日期建立,通常是必須進行某件事的最近日期。日期可以根據在特定安全性措施必須實行而禁止組織或法律規定來設定。 - **臨界點觸發器。**臨界點觸發器依賴的是可測量或計算的事項。例如:入侵偵測系統捕捉到的稽核事件,可保證某些檢查及可能的緊急應變計劃的啟用。 安全性小組與組織內的其他小組在緊急應變計劃觸發器及其相關的衡量標準達成共識十分重要,因為這樣在執行緊急應變計劃時,就不會有所延誤。 #### 排程活動 排定安全性風險管理及控制活動的時程,與 MSF 一般對排定專案活動的時程所建議的標準方式並無不同。安全性小組一定要瞭解安全性補救或控制活動是安全性風險評估及管理的預期部份。 #### 獲得結果 使用上面討論的六種方式之一,從產生「安全性行動計劃」中得到的結果應包括,主動式和反應式安全性管理計劃:緊急應變計劃的研究、接受、避免、移轉、減少錯誤或發展。實作這些安全性計劃的特定作業應整合到標準安全性實作排程。若技術環境有任何的改變,則應在功能性規格中記錄這些變更內容。 您的「安全性行動計劃」及排程應說明動用之資源及範圍,使指定要由安全性小組成員完成的個別工作的安全性行動項目所進行的調整。主要的安全性風險清單應進行更新以反映主動式 (減少錯誤) 及反應式緊急應變計劃中所包含的其他資訊。將安全性風險管理計劃總結到安全性風險動作表單中的單一文件檢視十分方便。 ##### 更新安全性實作排程及安全性實作計劃 您的安全性實作動作必須包括主動式及反應式計劃。更新您的安全性實作計劃時,應考慮下列事項: - 風險情況,包括風險出現及影響的可能性 改變一些情況,例如:風險發生增加的可能性,或風險減少的金錢影響,將需要小組更新風險管理計劃。 - 減少錯誤的努力之有效性 小組可能發覺它的減少錯誤努力並沒有效果。這通常會發生在所實作的技術原則與企業程序相衝突的情況下。有時,員工會利用其他方式來使用技術原則以達到其商業目標,而破壞了技術原則。 - 緊急應變計劃及觸發器的有效性 風險管理計劃中識別的安全性風險會在經過一段時間之後發生。在安全性意外事件發生之後,可判斷緊急應變計劃有多大的功效,以及起始回應的觸發器是否有效。 您的小組應在下列三個時段中監視安全性風險: - **即時**。使用像入侵偵測軟體的應用程式,持續監視電腦及網路裝置,並根據風險來作出預先判斷的決定。 - **定期**。依定期排定的時程,如每兩個月或每季,評估風險。 - **特定**。在非排定的時段間評估風險。通常會執行特定的監視,以回應主要的安全性意外事件或網路的變更。 [](#mainsection)[回到頁首](#mainsection) ### 安全性風險補救發展 因應對策及運作的程序發展對於組織的安全性策略是必要的。安全性風險可以透過技術的加強程序或發展整個組織的原則進行主動管理。 通常操作系統、應用程式或資料庫的安裝,有彈性的安全性設定,讓 IT 系統管理員或軟體開發人員可以簡化事情。在這些技術的生產部署之前,要部署的技術必須是「加強程序」的一部份。 伺服器加強程序可能牽涉到移除預設的安全性設定及不需要的軟體元件。IT 人員應該知道已知的技術弱點及目前的削弱點的最新狀態,以安裝最新版的軟體和安全性 Hotfix。 安全性策略發展程序也可包括系統、原則及程序的開發,以追蹤及報告未被察覺的安全性風險。這可協助確定技術基礎結構中的預防性措施可行,且可驗證新原則及程序的效果。 也應該安排報告系統,以捕捉需立即注意的可疑事件或可能的威脅。除了安全性風險追蹤的自動化系統之外,也可以採用手動程序。追蹤安全性風險允許專案小組對計劃作調整,以順應新的安全性風險。 追蹤是風險行動計劃的監視功能。追蹤對於有效實作安全性行動計劃是必要的。追蹤可確定預防性措施或緊急應變計劃會適時且在專案資源限制之內完成。在風險追蹤期間,小組執行的主要活動會監視風險衡量標準,並確定事件已觸發,如此計劃的風險動作才會生效。 #### 目標 補救發展程序的目標是記錄必要的架構變更,以及程序中的任何新程序或變更。 #### 建議事項 安全性風險補救發展程序的主要建議事項是:包含特定安全性減少錯誤的安全性風險計劃,以及指定組織安全性風險之威脅、削弱點和弱點的緊急應變計劃。補救發展還需要開發系統和程序,來針對可能執行的緊急應變計劃監視其識別出的觸發器。 #### 開發活動 安全性風險補救程序中的開發活動類似於一般基礎結構部署專案中的開發活動。例如,系統修補程式變更管理的開發方式。基礎結構的設計變更必須記錄在功能性規格中,而原則及程序可能必須加以修改,以順應新的安全性需求。在此程序中,若實作的新系統是要提供監視及稽核功能,也應指定這些系統的設計及管理。 可能指定有時間點觸發器衡量標準並持續追蹤的專案衡量標準的範例包括: - 應用程式、服務或操作系統未解決的開放安全性佈告欄。 - 每週由基礎結構工程師記載的平均加班時數。 - 每週的需求修訂或變更管理要求數。 在此階段也應開發風險狀況報告程序。風險報告應在下列兩個層次中作業:針對小組本身,以及針對給專案委員會的外部報告。 對於安全性小組,正常的風險狀況報告,應注意到下列四種可能可能套用於每個風險中的風險管理情況: - 解決風險問題,完成風險行動計劃。 所有解決的風險都應在「安全性行動計劃」中記錄為已關閉及已完成。 - 風險行動是一致的,且會照著風險管理計劃定期執行。 - 有一些風險行動與風險管理計劃有差異,在此情況中應定義及實作更正措施。 - 風險情況已就一或多個風險而大幅度地改變,因此風險行動計劃應重新制定。 對於給專案委員會及其他專案主策者的外部報告,小組應報告最高的風險,然後再總結風險管理行動的狀況。指出之前的風險分級,以及每一個風險在最高風險清單中的次數,也蠻有用的。 如同專案小組採取行動來管理風險,專案的總風險曝光度應開始朝著可接受的程度前進。 #### 獲得結果 補救階段中所得到的結果是必須在下列地方中更新之安全性變更的規格: - 功能性規格 - 操作性原則及程序 - 更新的安全性實作計劃 - 更新的安全性實作排程 [](#mainsection)[回到頁首](#mainsection) ### 安全性補救測試 安全性及補救測試步驟設計的目的是,為了確定已測試安全性計劃的效果。小組應主動地執行與主動式和反應式策略 (因應對策和程序) 測試相關的活動,以判斷「安全性行動計劃」的效果。 為了衡量剛開發之因應對策、原則和程序的效果,您應檢查各個指定的風險,然後再針對組織中與威脅、削弱點、弱點和資產有關的風險測試其相關的策略。 可能有必要根據安全性風險補救測試來修改安全性行動計劃,以改善其效果、合法性及對安全性觸發事件的反應性。 接下來,從執行安全性測試計劃中學到的結果和教訓便會合併到測試文件中,變成組織安全性知識庫的一部份。在測試中儘量擷取資訊來判斷這些計劃的功效是很重要的。 #### 目標 安全性補救測試程序的目標是要測試專案小組為最高安全性風險而建立各種安全性計劃的效果。安全性行動計劃應評估及測試下列項目: - 緊急應變及減少錯誤計劃的效果。 - 與緊急應變計劃觸發器或事件相關的安全性衡量標準。 - 技術因應對策。這可能包括第二次的弱點評估,以判斷它們是否已正確地實作。 #### 建議事項 對安全性風險控制程序的建議事項是使用安全性行動表單,當中詳述了專案小組成員要完成的活動,以協助解決各個安全性問題。測試結果應記錄主動式及反應式計劃的效果,以判斷它們是否適合組織的安全性需求。 #### 測試活動 安全性補救測試活動應衡量已發展之因應對策及意外事件計劃的效果。保持持續不斷的安全性風險補救測試,以偵測可能因全新因應對策而出現的全新次要安全性風險。 #### 獲得結果 從安全性補救測試步驟中得到的結果,是結果文件或「問題資料庫」,它可以協助文件朝著完成組織安全性行動計劃實作的進度前進。測試小組若也彙總哪些安全性策略有效、哪些無效,以及剛建立之原則和程序的效果,將很有幫助。 [](#mainsection)[回到頁首](#mainsection) ### 吸取安全性知識 應吸取在安全性評估及實作程序中獲得的知識以供將來使用。這是安全性風險評估程序的第六個階段,也是最後一個階段,此階段會將策略性、企業或組織的願景加入安全性風險管理活動。 而最主要的重點是,會擷取在此安全性評估期間開發的因應對策、原則和程序,以便供以後的專案小組重複使用。隨著組織開始投資未來的 IT 創新事業,這些專案可以使用評估中所獲得的知識,以確保實作的新解決方案是安全的。 從安全性風險評估中學到的經驗應適時加以擷取,以提供最新的現行資訊。擷取安全性知識時應著重三個主要的目標: - 擷取學到的教訓,特別是有關安全性風險識別及成功的減少錯誤策略,以有益於其他小組,進而貢獻到安全性知識庫中。 - 從組織執行意外事件回應計劃及將之重複用於其他區域的能力方面,增加操作整備狀態的效果。 - 透過擷取小組的意見來改善安全性風險評估程序。 #### 擷取安全性風險知識 安全性風險分類是確保從以前經驗中學得的教訓的有力方式,可供小組用來執行未來的安全性風險評估。以下是學習知識的三個主要層面,通常會使用下列的風險分類來記錄: 1. **新風險**。若小組遇到之前未識別為安全性風險的問題時,它應檢閱是否有任何徵兆,例如:威脅、削弱點、弱點或其他指標,可能已預測到安全性風險。有可能是現有的安全性風險清單需要更新,以協助識別未來的安全性風險情況。或者,小組可能已識別到應加入現有的安全性知識庫的新安全性風險。 2. **成功的減少錯誤策略**。同時汲取減少錯誤安全性風險成功及失敗策略的經驗。使用標準安全性風險分類可提供有意義的方式來歸納相關風險,這樣小組才能輕鬆地找出過去曾經成功應用的安全性風險管理策略明細。 3. **成功的緊急事件預防策略**。若緊急應變計劃可透過防衛某項資產的特定類型的弱點而奏效,則可能有助於保護另一個資產。 #### 管理安全性風險知識 使用安全性風險管理技術的組織經常會發現,他們需要建立結構化的方式來管理安全性風險。若要促進順利達成此一目的,必須符合以下三種情況: 1. 透過給予特定安全性風險分類區域的擁有權,並允許進行變更,與安全性小組中的每個人分擔責任。有關應賦予誰擁有權的決定與資產的種類及資產的分類有關。 2. 依複雜性和可用性來平衡安全性風險的分類以及完整因應對策的需求。 有時為不同專案類型建立不同的風險分類可用性上可能會有驚人的提升。 3. 維護安全性知識庫以說明安全性風險分類、定義、測試、監視效果基準及衡量標準,以擷取新安全性措施的使用者和操作經驗。 #### 環境特有的安全性風險分類 安全性風險識別可以透過針對特定解決方案之實作開發風險分類,而更加完善。例如:在應用程式開發專案中,可能有該專案的特定安全性風險分類,與基礎結構部署專案的安全性風險分類相對。隨著在安全性環境中獲得更多的經驗,安全性策略及程序可以變得更具體,且與成功地減少錯誤策略更加相關。 #### 安全性知識庫 安全性知識庫是用來保存經驗的正式或非正式機制,目的是為了協助進行未來的安全性風險評估。若沒有某種形式的知識庫,您的組織可能會有困難採用主動式的安全性管理方式。 若在此知識庫中擷取到已知威脅、削弱點及弱點集合,將因保存的研究而更容易開發對抗它們的減少錯誤計劃。安全性知識庫與安全性風險管理資料庫不同,後者是用來儲存及追蹤個別的安全性風險項目、計劃及狀況。 #### 開發安全性風險的知識管理 安全性風險知識庫是安全性風險管理中不斷改進的主要驅動力。 剛開始時,您的組織安全性專案及程序小組很有可能沒有知識庫。小組必須在每次開始進行安全性風險評估時從頭開始。在此環境中,安全性風險管理的方式一般是反應式的,在出現缺口或一些觸發專案的事件後才行動。這種情況下的目標,是要讓您的組織轉接到下一個更高階的主動安全性風險管理。 您的組織可能在稍後會利用熟悉或對關於人員、程序及技術之安全性問題有主題專門知識更有經驗之成員,根據他們所獲得的內在知識,發展出非正式的安全性知識庫。這通常可透過實作安全性委員達成。此方式可鼓勵積極的安全性風險評估管理,且可透過引用安全性原則來促成主動式管理。 達成知識庫的第一個開發層,證實為安全性風險識別提供了更具結構化的方式。藉由正式擷取及編制安全性問題的索引,您的組織將能夠在安全性風險的基本原因開始被識別時,採取更加主動式管理。 最後,成熟的組織不但記錄了有可能導致安全性風險的指標,還記錄了管理這些安全性風險及其成功率所採用的策略。利用這種形式的知識庫,安全性風險程序的安全性識別及計劃步驟,可以許多小組共享的經驗為基礎,而您的組織也可以開始最佳化安全性風險管理的成本。 當思索如何實作組織的安全性風險知識庫時,相關經驗指出: - 安全性風險知識庫的價值會隨著更多工作變得可重複,例如:著重在其他影響安全性或進行中作業程序的專案而增加。 - 當您的組織在執行類似的安全性檢閱動作時,較不複雜的知識庫比較容易維護。 - 安全性風險管理不應變成一種自動化的程序,因為當中會排除小組對考量安全性風險的需要。即使在反覆的環境中,商業環境、攻擊者的能力及技術總是會不停地改變。安全性小組必須根據安排的人員、程序及技術,來評估其環境的適當安全性風險管理策略。 [](#mainsection)[回到頁首](#mainsection) ### 總結 本單元已說明在 MSF 及 MOF 中成形的安全性分析方法和其中衍生出來程序的實證作法。它詳述 SRMD 中所使用的程序,以判斷保護組織資產所需的成本。最後,它建議運用組織安全性小組的步驟來建立和執行安全性行動計劃,以防禦並及反應破壞您的組織環境的攻擊。 [](#mainsection)[回到頁首](#mainsection) ### 其他資訊 有關 MSF 的資訊,請參閱: