赋值
➢ 风险值=风险发生的可能性×风险产生后果 <br>➢ 风险发生的可能性=SQRT(资产威胁×资产脆弱性) <br>➢ 风险产生后果=SQRT(资产价值×资产脆弱性) <br>
威胁分类与赋值<br>
操作失误
滥用权限
行为抵赖
身份假冒
密码分析
安全漏洞<br>
拒绝服务
恶意代码
窃听数据
物理破坏
社会工程
意外故障
通信中断
电源中断
脆弱性分类与赋值
根据实际脆弱性进行赋值
安全设备有无
密码复杂度
登录失败处理等
参考标准<br>
《ISO/IEC 27001-2013 信息技术-安全技术-信息安全管理体系》
《GB/T 20984-2007 信息安全技术-信息安全风险评估规范》
《信息安全技术 信息系统安全等级保护测评要求》
《信息安全技术 信息系统安全等级保护测评过程指南》
