上篇《基於數據安全的風險評估-脆弱性識別》,是從脆弱性識別內容、識別方式、脆弱性定級,三個部分進行介紹。與脆弱密切相關的是威脅,威脅是一種對組織及資產構成潛在破壞的可能性因素,威脅需要利用資產脆弱性才能產生危害。造成威脅的因素可分爲人爲因素(惡意和非惡意)和環境因素(不可抗力和其它)。本篇威脅性識別將從威脅來源、威脅識別與分類、威脅等級劃分三個部分進行介紹。
一、威脅來源
在對威脅進行分類前,首先需要考慮威脅來源,威脅來源包括環境因素及人爲因素,環境因素包括:斷電、靜電、溫度、溼度、地震、火災等,由於環境因素是共性因素(信息系統評估與數據安全品評估),本篇不過多做介紹。而認爲因素可參考如下示例圖。
數據威脅示例圖
二、威脅識別與分類
威脅識別在風險評估過程中至關重要,威脅識別的準確性直接影響識別風險評估及後續的安全建設方向,所以豐富的數據威脅識別內容或分類,影響整體風險評估質量。
威脅識別可分爲管理和技術兩大類,具體如下示例圖:
威脅識別示例圖
三、威脅等級劃分
判斷威脅出現的頻率是威脅識別的重要內容,在威脅等級評估中,需要從三個方面考慮:
1.發生在自身安全事件中出現過的威脅及頻率;
2.通過檢測工具及各種日誌主動發現的威脅及其頻率;
3.社會或特定行業威脅及其頻率。(如前幾年的攜程事件)。
通過對威脅頻率進行等級處理,不同等級分別代表威脅出現的頻率高低,等級數值越大,其威脅出現頻率越高,具體如下示例圖。
威脅等級劃分示例圖
下章介紹數據資產風險分析及綜合風險評估分析(結合資產識別、威脅識別、脆弱性識別、風險),主要包括風險計算、風險判定及綜合風險分析表。
資產識別與脆弱性識別請見:
基於數據安全的風險評估-脆弱性識別
