上篇《基于数据安全的风险评估-脆弱性识别》,是从脆弱性识别内容、识别方式、脆弱性定级,三个部分进行介绍。与脆弱密切相关的是威胁,威胁是一种对组织及资产构成潜在破坏的可能性因素,威胁需要利用资产脆弱性才能产生危害。造成威胁的因素可分为人为因素(恶意和非恶意)和环境因素(不可抗力和其它)。本篇威胁性识别将从威胁来源、威胁识别与分类、威胁等级划分三个部分进行介绍。
一、威胁来源
在对威胁进行分类前,首先需要考虑威胁来源,威胁来源包括环境因素及人为因素,环境因素包括:断电、静电、温度、湿度、地震、火灾等,由于环境因素是共性因素(信息系统评估与数据安全品评估),本篇不过多做介绍。而认为因素可参考如下示例图。
数据威胁示例图
二、威胁识别与分类
威胁识别在风险评估过程中至关重要,威胁识别的准确性直接影响识别风险评估及后续的安全建设方向,所以丰富的数据威胁识别内容或分类,影响整体风险评估质量。
威胁识别可分为管理和技术两大类,具体如下示例图:
威胁识别示例图
三、威胁等级划分
判断威胁出现的频率是威胁识别的重要内容,在威胁等级评估中,需要从三个方面考虑:
1.发生在自身安全事件中出现过的威胁及频率;
2.通过检测工具及各种日志主动发现的威胁及其频率;
3.社会或特定行业威胁及其频率。(如前几年的携程事件)。
通过对威胁频率进行等级处理,不同等级分别代表威胁出现的频率高低,等级数值越大,其威胁出现频率越高,具体如下示例图。
威胁等级划分示例图
下章介绍数据资产风险分析及综合风险评估分析(结合资产识别、威胁识别、脆弱性识别、风险),主要包括风险计算、风险判定及综合风险分析表。
资产识别与脆弱性识别请见:
基于数据安全的风险评估-脆弱性识别
4911