风险分析一
2018-04-03 14:26:41 | 来源:中培企业IT培训网
6. 风险分析
在完成了资产识别、威胁识别、脆弱性识别、已有安全措施确认,以及确定风险分析方法后,将采用已确定的风险分析方法与工具,来分析威胁利用脆弱性导致安全事件发生的可能性,并综合安全事件所作用的资产价值及脆弱性的严重程度,分析安全事件造成的损失对组织的影响,即安全风险。风险计算原理,可以用下面的范式形式化地加以说明:
风险值=R (A,T,V)=R(L(T,V),F(Ia,Va))
其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件的可F}生;F表示安全事件发生后造成的损失。
1)计算安全事件发生的可船陛
根据威胁出现频率及脆弱性的状况,计算威胁利用脆弱性导致安全事件发生的可能性,即:安全事件的可能}生:L(威胁出现频率,脆弱性)=L (T,V)。
在具体评估中,应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公开程度等)、资产吸引力等因素来判断安全事件发生的可能性。
- 上一篇:确认已有的控制措施
- 下一篇:计算安全事件发生后造成的损失