突破屏障：深入理解网络安全风险分析中的蝴蝶结图

最近在与同行讨论蝴蝶结图的价值时，我意识到需要详细解释这些术语的使用方式。蝴蝶结图能够清晰地区分控制措施和缓解措施。

屏障模型基础

屏障模型风险方法源自安全和可靠性领域，其中危险被定义为对我们想要保护的资产构成威胁的来源，或是我们希望避免的不期望事件或事故的触发器。屏障可以是技术性、操作性或组织性的，且应该相互独立。根据在事故序列中的位置，屏障可以是主动的预防性或被动的反应性。

“在最基本的层面上，屏障的功能要么是阻止某个行动发生，要么是保护系统及其中的成员免受后果影响。"——Erik Hollnagel, 1999 [PDF]

蝴蝶结图详解

蝴蝶结图是一种更复杂的屏障分析可视化工具，它结合了故障树（左侧）和事件树（右侧）。左侧的故障树显示特定风险场景可能如何发生，右侧的事件树显示风险场景发生后的可能后果。

• 风险场景来源与场景发生之间的左侧屏障是预防性和主动性的控制措施
• 风险场景与后果之间的右侧屏障是反应性的缓解措施，旨在事件发生后限制或减少后果

实践价值

从风险登记册中固有的有限"风险与控制"视角，转向更详细的"来源→事件→控制→场景→缓解→后果"视角具有实际价值。这不仅能够突出支撑每个风险陈述的各种"来源→事件→后果"三元组之间的相互依赖关系，还能揭示各种控制和缓解措施在影响环境中多个风险时的相互依赖关系。

特别有价值的是识别那些拥有适当控制措施来降低风险场景概率，但在缓解措施方面较弱的风险场景；或者环境中新出现的风险虽然缺乏针对性控制措施，但仍被现有缓解措施覆盖的情况。