金融有三個要素:安全性收益性流動性
而這三者有壹壹個***通之處,即現在與未來在空間和時間,上的沖突。沖突就是不安定的因素,必須通過權力的設計進行約束,而這個權力設計的約束就是控制。這個控制的過程,對應的是等價的交換原則,或者說是沖突性的防禦性設計。 原文鏈接
下面看壹看這個防禦性設計的原理:
首先,我們需要做評估。先看壹下風險評估的定義:
在風險事件發生之前或之後(但還沒有結束),對該事件給人們的生活、生命、財產等各個方面造成的影響和損失的可能性進行量化評估的工作。
也就是說,風險評估就是量化地測評某壹事件或事物帶來的影響或損失的可能程度。從信息安全的角度講,風險評估是對信息資產(即某壹事件或事物所具有的信息集)所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎,風險評估是組織確定信息安全需求的壹個重要途徑,屬於組織信息安全管理體系策劃的過程。我們需要意識到,人是有動機的,而機器和程序只有指令。這是人和機器的重要差別。
下面是在風險控制之防禦性設計的過程管理中所面臨的問題:
要確定保護的對象(或者資產)是什麽?它的直接和間接價值如何?
資產面臨哪些潛在威脅?是什麽導致了威脅?威脅發生的可能性有多大?
資產中存在哪些弱點可能會被威脅所利用?利用的容易程度又如何?
壹旦威脅事件發生,則組織會遭受怎樣的損失或者面臨怎樣的負面影響?
組織應該采取怎樣的安全措施才能將風險帶來的損失降到最低?
而解決以上問題的過程,就是風險評估的過程。
在進行風險評估時,有幾個對應關系必須要考慮:
每項資產可能面臨多種威脅
威脅源(威脅代理)可能不止壹個
每種威脅可能利用壹個或多個系統弱點
風控系統就是關於動機及過程管理的體系。而動機和過程管理正是風控體系的基本邏輯。妳有沒有發現,這些都是人的設計。人的設計,基於知識結構和經驗判斷。基於案例和統計學的原理,就有了盡職調查。
然而調查的根源是空間和時間的不確定性;調查的動機是為了使未來和現在達成***識。請註意,這依然還是人的設計。正如所有的調查報告都是人寫的,人參考的資料和數據也是人寫的。那麽,重點來了,人設定的程序,能不能被技術取代?這個問題在過去可能是無解的,如今它有了答案。
這個答案可能就是區塊鏈。