风险评估的基本过程-识别并评估威胁

来源： 作者： 出处：巧巧读书 2006-09-22 进入讨论组

• 关 键 词：
• 网络攻击
• 恶意代码
• 风险评估

　　风险评估的基本过程-识别并评估威胁
    识别并评价资产之后，组织应该识别每项（类）资产可能面临的威胁。识别威胁时，应
该根据资产目前所处的环境条件和以前的记录情况来判断。需要注意的是，一项资产可能面
临多个威胁，而一个威胁也可能对不同的资产造成影响。
识别威胁的关键在于确认引发威胁的人或事物，即所谓的威胁源或威胁代理。威胁源可
能是蓄意也可能是偶然的因素，通常包括人、系统、环境和自然等类型。

• 人员威胁 —— 包括故意破坏（网络攻击、恶意代码传播、邮件炸弹、非授权访
  问等）和无意失误（比如误操作、维护错误）。
  
• 系统威胁 —— 系统、网络或服务的故障（软件故障、硬件故障、介质老化等）。
  
• 环境威胁 —— 电源故障、污染、液体泄漏、火灾等。
  
• 自然威胁 —— 洪水、地震、台风、滑坡、雷电等。

识别资产面临的威胁后，还应该评估威胁发生的可能性。组织应该根据经验或者相关的
统计数据来判断威胁发生的频率或概率。就威胁本身来说，评估威胁可能性时有两个关键因
素需要考虑，一个是威胁源的动机（Motivation）（利益趋势、报复心理、玩笑等），另一个
是威胁源的能力（Capability）（包括其技能、环境、机会等），这两个因素决定了不带外部
条件时威胁发生的可能性（这里没有考虑弱点被利用的容易程度和现有控制的效力等外部条
件），是威胁发生的内因。
通常来讲，威胁源的能力和动机都可以用“高”、“中”、“低”这三级来衡量。

• 用Photoshop给漂亮的烫发MM抠图 
• Photoshop透明婚纱抠图大法 
• Photoshop:让MM做个“变色龙” 
• 用Photoshop来制作一款精美的宝宝照片墙 
• Photoshop绝色美女通道抠图法 
• 用Photoshop教你打造绚丽光芒效果 

   巧巧读书:http://www.qqread.com/net-saft/b232216.html

进入讨论组讨论。

【收藏此文】【大 中 小】【打印】【关闭】

较早的文章：风险评估的基本过程-识别并评估弱点

较新的文章：风险评估工具