風險分析包括那三個部分_風險分析的三個要素

本文摘自CISSP官方學習指南第八版

在安全環(huán)境下部署系統(tǒng)是一個良好開端。不過，讓系統(tǒng)保持相同的安全級別也非常重要。變更管理可減少因未經(jīng)授權(quán)修改導致的意外中斷。

變更管理的主要目標是保證變更不會導致意外中斷。變更管理流程確保相應人員在變更實施前對變更進行審核和批準，確保有人對變更進行測試和記錄。

未經(jīng)授權(quán)變更可能直接影響CIA三元組中的A，即可用性。變更管理流程使得各方IT專家有機會在技術(shù)人員實施更改前審查提出的更改，考慮變更可能帶來的意外副作用。在生產(chǎn)環(huán)境實施變更前，變更管理流程使管理員有時間在受控環(huán)境中檢查變更。

1.0 安全影響分析

變更管理流程幫助員工執(zhí)行安全影響分析。在生產(chǎn)環(huán)境中實施變更之前，專家會評估變更，從而識別所有的安全影響。

變更管理控制提供一種流程，實現(xiàn)控制、記錄、跟蹤和審計所有系統(tǒng)變更。這涵蓋對系統(tǒng)任何方面的變更，包括硬件和軟件配置。組織需要在所有系統(tǒng)的生命周期中實施變更管理流程。

變更管理流程的常見步驟如下：

1. 請求變更。
2. 審核變更。 - 組織內(nèi)專家會審核變更。
3. 批準/拒絕變更
4. 測試變更
5. 安排并實施變更
6. 記錄變更

可能存在需要實施緊急變更的情況。這種情況下，管理員仍需要記錄變更。這么做使確保變更審核委員可以審查變更，以便發(fā)現(xiàn)潛在問題。此外，記錄緊急變更可確保受影響的系統(tǒng)在需要重建時能夠包含新的配置。

在執(zhí)行更改管理流程時，會為系統(tǒng)的所有變更創(chuàng)建文檔。

變更管理控制是ISO通用標準中一些安全保障要求（Security Assurance Requirement，SAR）的強制性內(nèi)容。

2.0 版本控制

版本控制通常指軟件配置管理所使用的版本控制。

3.0 配置文檔

配置文檔明確了系統(tǒng)的當前配置。它明確了哪些人負責系統(tǒng)，明確了系統(tǒng)的目的，并列舉了基線之后的所有變更。

補丁管理和漏洞減少

補丁管理和漏洞管理過程協(xié)同工作，幫助保護組織防御新出現(xiàn)的威脅。

1.0 系統(tǒng)管理

補丁和漏洞管理不僅適用于工作站和服務器，也適用于運行操作系統(tǒng)的所有計算設備。諸如路由器、交換機、防火墻、打印機等網(wǎng)絡基礎設施設備。

2.0 補丁管理

補丁是糾正程序缺陷及漏洞或提高現(xiàn)有軟件性能的所有代碼類型的總稱。在安全方面，管理員主要關(guān)注修復系統(tǒng)漏洞的安全補丁。

有效的補丁管理程序可以確保系統(tǒng)的當前補丁更新至最新。有效的補丁管理計劃包含常見步驟：

• 評估補丁：當供應商公布或發(fā)布補丁時，管理員會對補丁進行評估，確定其是否適用于自己維護的系統(tǒng)。
• 測試補丁：管理員應盡可能在隔離的非生產(chǎn)系統(tǒng)上測試補丁，確定補丁是否導致任何不必要的副作用。最糟糕的情況是安裝補丁之后系統(tǒng)將無法再啟動。
• 審批補丁：管理員測試補丁，并確認補丁時安全的，接下來便批準補丁的部署。通常變更管理流程會作為審批流程的一部分。
• 部署補丁：經(jīng)過測試和審批，管理員可以著手部署補丁。
• 驗證補丁已完成部署：部署補丁后，管理員會定期測試和審計系統(tǒng)，確保系統(tǒng)已保持更新狀態(tài)。

3.0 漏洞管理

漏洞管理是指定期識別漏洞、評估漏洞并采取措施減輕相關(guān)的風險。消除風險時不可能的。同樣，也不可能消滅所有漏洞。

• 漏洞掃描

漏洞掃描器時測試系統(tǒng)和網(wǎng)絡是否存在已知安全問題的軟件工具。

• 漏洞評估

漏洞評估通常包含漏洞掃描的結(jié)果，但漏洞評估會做更多工作。

漏洞評估通常作為風險分析或風險評估的一部分執(zhí)行，識別系統(tǒng)再某個時間點的漏洞。

4.0 常見的漏洞和風險

漏洞通常使用“通用漏洞和批露”（CVE）字典來標識。