D1-08 7–10 分钟 重要程度:高
风险术语与控制类型
风险管理是 CISSP 核心。要区分资产、威胁、威胁主体、脆弱性、暴露、风险、防护措施和剩余风险。
一、必须记住
- Asset 是对组织有价值的东西。
- Threat 是可能造成不良后果的事情。
- Threat agent 是执行威胁的主体。
- Vulnerability 是弱点或控制缺失。
- Risk 是威胁利用脆弱性导致损失的可能性。
- Safeguard / Countermeasure 是降低风险的控制。
二、核心概念
风险基本链条
资产有价值,脆弱性是弱点,威胁主体利用脆弱性产生威胁事件,造成暴露和损失,这就是风险管理要处理的对象。
控制类型
常见控制类型包括威慑、预防、检测、纠正、恢复、补偿、指令。考试常问某控制属于哪一类。
剩余风险
实施控制后仍存在的风险是剩余风险。剩余风险通常需要被业务或高级管理层接受。
三、CISSP 判断规则
- 找弱点选 Vulnerability。
- 找可能造成损害的来源选 Threat 或 Threat agent。
- 找降低风险的措施选 Safeguard / Countermeasure。
- 问实施控制后还剩什么,选 Residual risk。
四、常见陷阱
- Threat 和 Threat agent 不同:前者是威胁,后者是执行威胁的实体。
- 控制不能消除所有风险。
- 补偿控制是替代或增强控制,不等于纠正控制。
五、英文关键字
Asset (资产) 定义:对组织有价值的东西。 Threat (威胁) 定义:可能造成不良后果的事情。 Threat agent (威胁主体) 定义:执行威胁的人、系统或自然事件。 Vulnerability (脆弱性) 定义:弱点或控制缺失。 Exposure (暴露) 定义:资产处于可能受损的状态。 Risk (风险) 定义:威胁利用脆弱性造成损失的可能性。 Safeguard (防护措施) 定义:降低风险的控制。 Countermeasure (对策) 定义:与 safeguard 近义。 Residual risk (剩余风险) 定义:实施控制后仍存在的风险。
小测验
1. 系统缺少补丁,属于什么?
缺少补丁是弱点或控制缺失,属于 Vulnerability。
2. 攻击者利用漏洞入侵系统,攻击者属于什么?
执行攻击的人或实体是 Threat agent。
3. 实施防火墙后仍然存在的风险称为什么?
控制实施后仍存在的风险是 Residual risk。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成