风险评估的基本过程-识别并评估弱点
光有威胁还构不成风险,威胁只有利用了特定的弱点才可能对资产造成影响,所以,组
织应该针对每一项需要保护的信息资产,找到可被威胁利用的弱点。常见的弱点有三类:
- 技术性弱点 —— 系统、程序、设备中存在的漏洞或缺陷,比如结构设计问题和
编程漏洞。
- 操作性弱点 —— 软件和系统在配置、操作、使用中的缺陷,包括人员日常工作
中的不良习惯,审计或备份的缺乏。
- 管理性弱点 —— 策略、程序、规章制度、人员意识、组织结构等方面的不足。
估报告等,还可以利用专业机构发布的列表信息,当然,许多技术性和操作性弱点,可以借
助自动化的漏洞扫描工具和渗透测试等方法来识别和评估。
评估弱点时需要考虑两个因素,一个是弱点的严重程度(Severity),另一个是弱点的暴
露程度(Exposure),即被利用的容易程度,当然,这两个因素也可以用“高”、“中”、“低”三个等级来衡量。
需要注意的是,弱点是威胁发生的直接条件,如果资产没有弱点或者弱点很轻微,威胁
源就很难利用其损害资产,哪怕它的能力多高动机多么强烈。正文:http://www.qqread.com/net-saft/b232215.html进入讨论组讨论。
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
相关专题
- 实战:ARP攻击原理及解决方法 (31669次浏览)
- 局域网受到ARP欺骗攻击的解决办法 (26609次浏览)
- 综合方法解决防制ARP欺骗问题 (11747次浏览)
- 互联网发现计算机“ARP”病毒的新变种 (1147次浏览)
- 端口·木马·安全·扫描应用知识 (980次浏览)
- 计算机网络安全隐患与防范策略的探讨 (880次浏览)
- 数字证书的基础知识 (631次浏览)
- 远程盗ADSL帐号密码竟如此简单? (613次浏览)
- 安全连接方式SSL (577次浏览)
- 贵重物品及物资仓库安全管理制度 (524次浏览)
