1.2 风险管理(Risk Management)
局域网交换机安全
大多数的人类行为都存在固有的危险性:就算漫步街头也会让你置身险境,比如被一颗来自天外的小行星击中或是滑倒在一块香蕉皮上。当然,前一种风险非常罕见。而后一种风险尽管可能性更大一些,但其后果也不会严重到哪里。此外,只要对落脚之处小心留意,也可以避免此类“香蕉皮事件”。这两个例子说明,并非所有的风险都是相同的,而有些风险是可以被控制的。风险管理包括以下两项。
风险分析:发现存在哪些风险,以及这些风险可能导致的潜在损失。
风险控制:采取措施将潜在损失控制在一个可接受的程度内(即在风险控制的成本与所减少的潜在损失之间要保有恰当的平衡)。
1.2.1 风险分析
可以用好几种方式来进行风险分析:定性和定量风险分析(这些已超出了本章的范围)。风险分析还可以由第三方(既非卖方也非买方)来实施。
风险分析依赖于一套特定的专业术语,如下所示。
脆弱性(Vulnerability)1:一个系统的缺陷(weakness)(通常非有意形成)。该缺陷可能存在于流程中(例如,未经批准擅自移动网络设备);存在于产品中(例如,一个软件的bug);存在于某些操作的工程实施中(例如,没有打开强加密选项(enable secret))。
注意:
Cisco公司设有特定流程来处理外部报告或内部发现的缺陷(vulnerability),由产品安全事件报告团队(Product Security Incident Report Team, PSIRT)负责。当你需要修复Cisco产品中的缺陷(vulnerability)时,可以访问http://www.cisco.com/go/psirt来获取更多信息,以熟悉流程、了解如何接收预警信息。
非常有意思的是,Cisco发布的第一个缺陷就与以太网交换机有关。由此可见,本书主题早已深入Cisco公司内外安全人士之心了。
威胁(Threat):蓄意利用(系统的)脆弱性的个人、组织或蠕虫病毒等。
风险(Risk):一个威胁利用(系统的)缺陷发起攻击并造成损失的概率。
暴露(Exposure):一个威胁事实上已经利用(系统的)缺陷发起了攻击。
可以运用某些概率学计算来导出年度损失预期值(loss expectancy)(例如,在一年的时间范围内估算的损失预期值)。该预期值需以美元(或其他流通货币)度量。相对于一个类似于“公司形象损失”之类的风险来说,这一损失并不总是那么显而易见,但是,必须确定一个合理的损失估算方法,以便于随后对降低风险所带来的收益进行评估。
1.2.2 风险控制
风险分析事关发现所有潜在的缺陷并评估与之相关的损失。风险控制则是指处理这些风险从而减轻它们带来的经济影响。风险可以进行以下处理。
降低:通过控制手段(也称为对策(countermeasures))来消除缺陷或威胁,降低风险概率,或者预防风险。风险降低不可能100%成功,剩余的风险被称为“留存风险”(residual risk)。
转移:转移到另外一个组织。比如,投保一份火险来防范火灾。
接受:当你在高速公路上驾车时,就要接受与之相关的风险——遭遇车祸。
忽略:即使风险分析显示风险存在,也不试图去控制它。这与接受风险是不同的,因为你甚至都没有考虑过它。这显然是一种不明智的行为。
通过技术控制手段来降低风险是本书的核心所在。然而,务必牢记:通过流程或行政手段等其他途径也可以降低风险。例如,让全体员工签署一份企业业务行为准则合同,对行为规范进行巨细靡遗地罗列,或者对全体员工进行安全意识的培训。
当然,对策(countermeasures)的成本必须小于损失的预期值。
1 vulnerability和weakness是同义词,都有“缺陷”和“脆弱”之意,我们在以后将根据上下文来决定如何翻译,对于weakness,如果不加注明,将统一翻译为“缺陷”,对于vulnerability,如果不加注明,将统一翻译为“脆弱性”。——译者注