32、快速风险评估：轻量级安全保障之道

快速风险评估：轻量级安全保障之道

1. 风险评估方法的现状

风险评估方法常因缺乏严谨性而受到批评。许多专家对CIA三元组的适用性、DREAD级别测量的准确性，以及STRIDE中威胁的冗余性提出了质疑。甚至风险公式R = T x V x I也时常引发争议。

实际上，这些模型都并非完美无缺，没有任何预定义的风险管理框架能够得出详尽且准确的结果。这些模型旨在为风险管理过程带来方法和连贯性，但并不能防止做出糟糕的评估。风险管理远非一门精确的科学，事实上，在框架中融入的数学元素越多，使用起来就越困难。

对于小型组织而言，通常更倾向于保持简单，让人员进行评估。开发人员、运维人员、项目经理和安全工程师之间关于风险的讨论，往往比严格的公式更具成效。最终，两者都有其用处，我们需要在科学严谨性和框架的灵活性之间找到合适的平衡。

STRIDE和DREAD是推动风险评估的有用工具，但随着系统规模的扩大，测量点的数量会使评估的运行时间显著增加。因此，在风险准确性和评估成本之间找到平衡至关重要。在快速发展且安全资源有限的组织中，对每个新服务进行复杂的评估往往不切实际。

2. 传统风险评估方法的困境

传统的风险评估方法，如FMECA（故障模式、影响及关键性分析方法），由美国陆军在20世纪40年代开发，用于评估系统的抗故障能力，甚至在阿波罗计划中也被NASA采用。然而，在实际应用中，它存在诸多问题。

例如，在大学课堂上进行的一次FMECA实践中，学生们被要求评估一个虚构化工厂中关键组件（如温度或CO2传感器）的故障风险。大家花了两天时间试图理解该方法，最终为每个组件生成了巨大的故障场景表，并按照以下因素进行排名：
-