D1-08 7–10 分钟 重要程度:高

风险术语与控制类型

风险管理是 CISSP 核心。要区分资产、威胁、威胁主体、脆弱性、暴露、风险、防护措施和剩余风险。

一、必须记住

  • Asset 是对组织有价值的东西。
  • Threat 是可能造成不良后果的事情。
  • Threat agent 是执行威胁的主体。
  • Vulnerability 是弱点或控制缺失。
  • Risk 是威胁利用脆弱性导致损失的可能性。
  • Safeguard / Countermeasure 是降低风险的控制。

二、核心概念

风险基本链条

资产有价值,脆弱性是弱点,威胁主体利用脆弱性产生威胁事件,造成暴露和损失,这就是风险管理要处理的对象。

控制类型

常见控制类型包括威慑、预防、检测、纠正、恢复、补偿、指令。考试常问某控制属于哪一类。

剩余风险

实施控制后仍存在的风险是剩余风险。剩余风险通常需要被业务或高级管理层接受。

三、CISSP 判断规则

  • 找弱点选 Vulnerability。
  • 找可能造成损害的来源选 Threat 或 Threat agent。
  • 找降低风险的措施选 Safeguard / Countermeasure。
  • 问实施控制后还剩什么,选 Residual risk。

四、常见陷阱

  • Threat 和 Threat agent 不同:前者是威胁,后者是执行威胁的实体。
  • 控制不能消除所有风险。
  • 补偿控制是替代或增强控制,不等于纠正控制。

五、英文关键字

Asset (资产) Threat (威胁) Threat agent (威胁主体) Vulnerability (脆弱性) Exposure (暴露) Risk (风险) Safeguard (防护措施) Countermeasure (对策) Residual risk (剩余风险)

小测验

1. 系统缺少补丁,属于什么?

缺少补丁是弱点或控制缺失,属于 Vulnerability。

2. 攻击者利用漏洞入侵系统,攻击者属于什么?

执行攻击的人或实体是 Threat agent。

3. 实施防火墙后仍然存在的风险称为什么?

控制实施后仍存在的风险是 Residual risk。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成