08-27：当我们谈论风险时，到底是在谈什么？

你好，我是你的朋友晓兵。又到了周四的时间，这里是锐安全《安全到底》栏目的第166篇、总第222篇原创文章《当我们谈论风险时，到底是在谈什么？》，今天大约需要4分钟时间，希望能给你带来启发。

科学理论的提出，往往是想要解释发现的一些诡异现象。

1900年，开尔文男爵在英国皇家学会上发表了一个名为《在热和光动力理论上空的十九世纪的乌云》的演讲,提出了“物理学上空的两朵乌云”的说法。就在这次演讲后5年，解决第一朵乌云的方法衍生出了相对论，解决第二朵乌云的方法衍生出了量子力学。

但是，安全理论的提出，不能基于已发现的威胁，那有点来不及，而是要分析产生安全问题的要素。

于是我产生了一个问题：安全的要素到底是什么？

首先应该是身份，因为物理世界的人映射到数字世界的时候，它应该有一些自己的特性；二是终端，因为终端即是连接数字世界与物理世界的交点，又是安全的最后一公里；三是网络，终端会通过网络进行相互连接；四是数据，人与终端、网络进行互动时就会产生数据；五是威胁，是威胁让安全得以存在。

如果说安全的本质是威胁对抗，那么，身份、终端、网络、数据这些又是什么呢？

于是我想到了风险。

过去谈到“风险”，心里总有一个模糊的形象，就象王朔《橡皮人》里写的那样：反反复复地做一个梦，梦见一个无脸、丰腴的女人……

之前我对风险（risk）做了一个定义:小概率发生的或低等级的威胁事件。很明显，这样的说法有点简单。

我国的国家标准化委员会也对“信息安全风险（information security risk）”做了这样的定义:特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。这里的风险定义是用“资产”来描述的，而在标准里却没有资产的定义，因此风险在我心中的形象依然是模糊的。

美国国家标准技术研究所NIST则提出了“信息系统（information system）风险”的概念。

这里的信息系统是：为收集、处理、维护、使用、共享、传播或处置信息而组织的一组离散信息资源集，这其中包括信息系统运行的上下文（context）（即人员、流程、技术、设施和网络空间）。信息系统可以包括各种各样的实体，比如计算机、移动电话、武器系统、工业/过程控制系统等。

所以，信息系统风险就是威胁对这些信息或信息系统施加的不利影响。信息系统受到严重威胁，可能会利用已知和未知的漏洞来损害正在处理、存储的信息的机密性（Confidentiality）、完整性（Integrity）或可用性（Availability），从而对组织运营（即任务、职能、形象或声誉）、组织资产、个人、其他组织和国家产生不利影响。

这里对信息和信息系统的威胁可能包括有目的的攻击、环境破坏和人机错误等，这里的信息安全风险管理是要支撑组织使命和业务单元的。

所以，风险就是威胁、身份、终端、网络、数据这些安全要素本身的特性与它们之间的关系总和。

因此，网络空间看威胁，数字安全谈风险。

恭喜你，又看完了一篇文章。从今天起，和我一起洞察安全本质，这里是锐安全，今天就到这里，咱们下周四再见。

[1]  张晓兵.构建新型网络形态下的网络空间安全体系,2023-06.机械工业出版社

[2]  锐安全.当谈论威胁时，我们到底是在谈什么?(上), 2021-03-18.https://mp.weixin.qq.com/s/PzqhKxUGVvrzn-6FiOIwCg

[3]  国家标准化管理委员会.GB/T 20984-2022 信息安全技术信息安全风险评估方法

[4]  NIST.NIST Special Publication 800-39 ManagingInformation Security Risk Organization, Mission, and Information System View