【摘要】:使用该方法时,首先需要确定威胁对资产的影响,可以用等级来表示。例如,可以将威胁的影响值分为5个等级,威胁发生的可能性也分为5个等级,风险值的计算采用以上两值的积,具体计算如表4-17所示。经过计算,风险可分为15个等级。在具体评估中,可以根据该方法来明确表示“资产—威胁—风险”之间的对应关系。
4.5.3 威胁分级法
该方法通过直接考虑威胁、威胁对资产产生的影响以及威胁发生的可能性来确定风险。使用该方法时,首先需要确定威胁对资产的影响,可以用等级来表示。识别威胁的过程可以通过两种方式来完成:一是准备一个威胁列表,让用户去选择确定相应的资产威胁;二是由分析团队人员来确定相关的资产威胁,而后进行分析与归类。
识别、确定威胁后,接下来需要评价威胁发生的可能性;在确定威胁的影响值和威胁发生的可能性后,计算风险值。
风险值的计算方法可以是影响值与可能性之积,也可以是之和,具体算法由用户确定,只要满足是增函数即可。
例如,可以将威胁的影响值分为5个等级,威胁发生的可能性也分为5个等级,风险值的计算采用以上两值的积,具体计算如表4-17所示。经过计算,风险可分为15个等级。在具体评估中,可以根据该方法来明确表示“资产—威胁—风险”之间的对应关系。
表4-17 威胁分级法
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
