在不断发展的网络安全格局中，准确测量控制强度对于理解和降低风险至关重要。业内普遍接受一个风险计算公式：

是计算剩余风险敞口的基础方法。然而，该模型在实际应用中存在局限性。通过多维度地审视控制强度，安全专家可以更深入地理解控制措施的运作方式，无论是单独运作还是作为更广泛的风险管理策略的一部分运作。

1. 理解固有风险和剩余风险

在探讨如何衡量控制强度之前，我们首先需要明白：为什么非得去衡量它？从网络风险的角度来看，这就意味着要审视上述基本风险公式的合理性：固有风险 - 控制强度 = 剩余风险，该等式假设剩余风险取决于初始风险和所用控制措施的有效性。这种观点在许多资料中广泛存在，通常代表了大多数从业人员的共同理解。

按照这种理解，固有风险代表组织在没有任何控制措施的情况下面临的风险水平，是识别无应对措施情况下风险暴露范围的基准。因此，固有风险是一种假设性的概念——一种理想化的脆弱性状态，难以直接测量。相反，剩余风险是实施控制措施后仍然存在的风险，这两个数字之间的差值代表了控制措施带来的附加值。这种风险测量方法的假设是，无法直接测量当前状态的风险；因此，该等式用于推导当前的风险暴露状态（尽管有些人也将剩余风险视为未来状态）。这种思维模式可能会导致一些问题。

首先，这种在过去时中未实施任何控制措施的前提下测量风险态势会更容易的假设是站不住脚的。相反，组织的风险态势对于当今关注和管理它的人来说是显而易见的。其次，它假设可以在没有任何控制措施的情况下部署技术。请记住，这个等式是绝对的；它不是指“几乎没有控制措施”或“最近没有控制措施”。它指的是没有控制措施，这意味着完全没有防御或恢复能力。部署的技术本身可能就内置了控制措施，这可以通过可靠的编码实践或将可选功能迁移到基本功能来实现。这意味着，组织要么得人为地把基础安全功能“降级”到不安全状态，要么就得接受这种测量方式本身存在偏差。

对这一等式的论证通常分为两派。第一派的逻辑是“既然一直都是这么做的，那就这么做吧”。这种逻辑体现在网络风险管理的时代思潮中，有时甚至会让人联想到常见的安全认证，其中就包含上述风险等式。这种“事实逻辑”未能检验本文提出的观点。

第二种论证则更具迷惑性。这种说法的论点是，网络风险团队应该因改善网络风险状况所做的工作而获得赞誉。其理由是，让这些报告的受众了解如果他们未能采取行动可能造成的损害至关重要。这种方法存在两个问题。首先，它假定在实施这些技术时，团队从未获得过任何赞誉。其次，也是最重要的一点，它预设了现任管理层会关注之前所做的工作。根本的矛盾在于风险团队的需求与管理团队的需求之间存在矛盾。即在前期阶段所做工作的自利性质与对可能影响组织使命的网络问题的可操作的前瞻性信息需求之间的矛盾。

ISACA的《风险IT从业者指南》提供了关于固有风险和剩余风险的另一种视角。该指南描述了当前风险及其与固有风险和剩余风险的关系。根据指南，固有风险源于理论的过去时，当前风险顾名思义，而剩余风险则是一种未来状态，其中应用了一些考虑中的额外控制选项。增加第三种风险状态解决了上述部分问题，即相关性问题，但未解决其他问题。它仍然包含一个虚构的无控制环境的起点，必须在此环境中添加当前控制才能达到当前风险值。然后，还要添加更多控制才能达到未来状态（假设正在进行面向未来的假设分析）。混合使用各种术语会造成混淆，因为许多人会将剩余风险视为当前状态，而另一些人则会将剩余风险视为未来状态。值得注意的是，图1中的图表已从新版《风险IT从业者指南》中删除，尽管该概念仍在讨论中。

假设可以直接测量当前的风险状态，而不是通过推导，那么问题就来了：为什么需要控制强度？在前面提到的例子中，它用于回答“如果我做一件事，我的风险会降低多少？”在未来风险计算中，有必要测量现在和未来控制措施之间的相对差异。当需要修改风险等式中的其他两个变量（概率和严重性）以更好地符合现实时，也可以使用控制强度。第一个用例非常简单，但第二个用例涉及根据使用数据的模型调整必要的参数。例如，网络保险承保人将能够访问为各个组织支付的确切索赔。他们可能希望引入一个参数，该参数可以反映一个组织在不同严重程度下遭遇索赔的可能性。在这种情况下，他们可能会使用控制来根据控制措施的有效性以某种比例来提高实际索赔数据（例如，对于使用多因素身份验证（MFA）的组织，比例为-5%等）。这是面向未来的剩余风险用例的一个非常特殊的例子。

2. 如何构建控制模型

风险与控制模型讲究简洁有效，因为它们的目的不是完全复制某个具体环境。这类模型建立在几个前提之上：首先，全面测量目标环境的每个方面既不现实也不经济；其次，所测量的因素必须能真实代表整体情况。如果模型包含的变量过多，超出了实际需要，就会变得“过度复杂”——不仅捕捉到了数据中的真实规律，也把噪音一并学了进去。换句话说，能测不代表非得测，否则反而会稀释数据中真正有价值的信号。一个简洁的控制模型，应当是对现实的高效概括。

该模型的数据收集可以通过三种方式进行。知情同意至关重要，因此在每种模型中，数据收集都必须以合法且可行的方式进行。第一种方法（外部方法）是仅收集组织外部的控制信号。通过这种方式，可以扫描公开可用的系统，从数据代理和其他收集组织及其员工活动数据的网站收集有关组织的信息。

第二种方法是深入组织内部，从关键人员收集信息（自我认证）。这可以通过多种方式实现，例如利用结构化调查（例如，标准化信息收集 (SIG) 或 SIG 精简问卷），以及云安全联盟的安全信任保证和风险 (STAR) 登记表。此外，还可以查阅包含安全策略或合规性声明的非结构化文档。这些文档由企业直接提供，且未经验证。

最后，第三种方法涉及一系列经过验证的文档，这些文档是通过抽样或实证检验从组织收集的。这些数据高度相关、经过验证且保真度高。

收集控制数据的地点取决于他们拥有的权限、用于测量的资源（例如时间、人员、工具）、他们正在做出的决策类型以及为最好地支持这些决策所需的数据。然而，在每种情况下，务必注意，任何来自这些来源的数据都能更好地为风险和控制模型提供信息。如果人们对某件事一无所知，即使一个数据点也能极大地提升他们对它的了解。在确定从何处收集控制模型的信息后，接下来就是确定应该测量哪些控制强度参数。

成熟度对于组织而言同样至关重要，尤其是在流程控制方面。如果覆盖范围不能完全满足安全流程的需求，那么成熟度往往能弥补这一差距。

3. 定义控制强度参数

尽管“控制强度”看似是一个单一指标，实则包含多个维度。在只需要一个参数的场景中，强度反映的是控制措施抵御攻击者（或防止内部人员犯错）的能力。但在多数实际应用中，控制强度是通过一个或多个参数计算得出的复合值：

• 强度——控制措施预防或缓解网络威胁（来自内部和外部参与者，包括有意和无意的）的有效性

• 覆盖范围——控制措施在组织基础设施中的部署程度，建立反映部署广度的基础

• 成熟度——安全控制措施在组织内部的一致实施、管理和优化程度，以确保长期可靠的性能

• 时间——控制措施的运行时长，允许潜在问题浮现并实现可靠性度量

• 设计质量——控制措施与最佳实践、政策和程序的契合程度，确定控制措施的概念基础是否健全

每个参数都贡献了独特的视角，能够洞察网络安全框架内控制措施的实用性和持久性的不同方面。然而，有些变量比其他变量更适合衡量强度。首先，强度是绝对必要的，因为它表示控制措施能够完成其既定任务的能力，即防止不良事件发生，并在发生时快速恢复（弹性）。覆盖范围也很重要，尤其是对于作为“事物”的控制措施而言。组织很少在其所有系统中都采用统一的控制措施，因此，一个能够反映控制措施覆盖范围（在不同强度下）的参数至关重要。成熟度对于组织而言同样重要，尤其是在流程控制方面。如果覆盖范围不能完全满足安全流程的需求，那么成熟度肯定可以。人们也可以将成熟度作为强度的代理变量，假设更成熟的控制措施代表更高的强度。

时间和设计变量通常用于运营风险实践，但其价值低于其他参数。时间变量自有其逻辑，它表示控制措施实施和运行的时间长度。通过这种方式，服务时间使组织有机会发现任何问题，这是质量管理中众所周知的原则。然而，有必要评估控制措施的这一方面是否会降低强度，还是仅仅是一个质量控制指标。表面上看，如果控制措施实施得当，则其实施时的强度与一年后的强度相同，在这种情况下，组织可能会低估其对风险的影响。同样，如果事实证明控制措施实施不当，组织也可能会高估风险。无论如何，最好通过安全架构、测试以及反思强度参数本身中任何已知的问题来解决这个问题。

最后，设计变量旨在确定控制措施的设计优劣，假设设计良好的控制措施比设计不良的控制措施对风险的影响更大。这一点可能显而易见，但纳入此控制措施实际上会过度参数化风险等式，因为它会两次有效地测量强度——一次直接测量，另一次通过这个代理变量测量。同样，它可以作为成熟度的另一种衡量标准（设计更好的控制措施可能也更成熟）。没有人愿意住在设计精良但建造粗糙的房子里，同样，也没有黑客会被设计精良但实施不力的控制措施所阻止。通常，与直接测量控制效果相比，此变量更适合于安全架构功能的质量管理。

如何测量每个参数也需要考虑。通常有两种成熟的量表可用于此目的。第一种是好与坏的绝对量表。当被测量的控制具有明显且被广泛认可的“好”与“坏”状态时，这种方法很有用。换句话说，当好坏分明时，使用绝对量表。另一种方法是使用相对量表。相对方法用于衡量一个组织相对于另一个组织的控制强度，并根据差异评估相对控制强度得分。当没有众所周知的最佳状态时，这种方法很有用，但必须将当前状态与其他状态进行比较。这可以比作曲线上的评分，其中表现最好的人得分最高（A），最低分最差（F）。这些通常用于基准测试。

4. 设计和评估控制效力模型

综合来看，大多数用户应基于强度、成熟度和覆盖范围来构建控制评级。将覆盖范围对强度的影响以乘法方式结合，是一种合理且简洁的模型。

以下问题可帮助确定合适的参数、数据来源和评分尺度：

第一方控制强度用例

1. 我们的控制措施是否足以管理风险？

2. 我们的控制措施是否适合保险承保？

3. 我们的控制措施是否符合监管要求？

4. 我们的控制措施在别人看来如何？

第三方控制强度用例

1. 我的控制措施与其他公司相比如何？

2. 我的供应商的网络安全管理是否足够完善？

3. 良好的网络安全控制措施能否保护我在该组织的投资？

4. 该企业的安全控制措施是否符合我们的监管要求？

5. 该企业的安全控制措施是否适合承保？

图 2 采用这些用例并提供了控制参数信息的推荐来源和评分量表。

对于第一方自我评估，三个参数（强度、覆盖范围、成熟度）的数据应从内部来源收集，可通过直接查询或实证检验。组织可根据需要依赖二次自我认证。由于存在内部批准的政策，代表内部政策的权威来源（例如，美国国家标准与技术研究院（NIST）、国际标准化组织（ISO））以及监管要求，因此也应使用绝对量表进行建模。

对于关注客户印象的第一方，或管理大量供应商组合的第一方，重点应该转移到利用外部控制评分，并根据需要补充自我认证。由于这项测量标准衡量的是他们与同行的相似度或差异度，因此相对评分模型是合理的。

下一组用例重点关注一系列第三方如何整体看待众多企业。例如，投资者希望了解其投资组合中某个组织相对于其他同行的表现。这将需要一个主要基于外部且具有相对量表的评分机制。保险公司也希望获得类似机构运营的外部视角。不过，出于法律原因，他们可能也需要自我认证，例如在索赔时裁定控制状态。此类评分通常是绝对的，由某种网络最低分数线（例如，是否承保）决定。最后，在监管审计期间，审查人员会将自我认证数据和内部收集的资料与绝对合规性量表进行比较（有时这意味着要根据最佳实践进行测试）。

5. 结论

测量控制强度是一项复杂的工作。传统风险模型依赖于固有风险和剩余风险的计算，但重要的是要质疑将固有风险作为基准假设的有效性，尤其在当今环境中，几乎没有系统是完全无防护的。

通过引入“当前风险”概念，以及成熟度、覆盖范围、设计质量等多维度参数，我们得以构建一个更稳健、更贴近现实的评估框架。无论是外部采集、自述信息还是验证数据，不同的数据收集方式都能提升评估的准确性。组织可利用这些多维指标，优化内外部控制评估，满足合规要求，并支持第三方审查。一个全面的控制强度衡量方法，不仅能为组织提供可操作的洞察，帮助其主动应对网络威胁，也能为利益相关方提供有意义的前瞻性信息。

作者：Jack Freund 博士，CISA、CISM、CRISC、CGEIT、CDPSE

翻译：谭辰菲（William Tan），CISA、CDPSE、CRISC、CISSP，ISACA中国翻译工作组志愿者，关注信息安全和数字化风险管理领域。

校对：尹杭宇，CISM，PMP, ISACA中国翻译工作组志愿者。