風險評估框架及流程風險要素關係
風險評估中各要素的關係如圖 1所示:
圖 1 中方框部分的內容為風險評估的基本要素,橢圓部分的內容是與這些要素相關的屬
性。風險評估圍繞著資產、威脅、脆弱性和安全措施這些基本要素展開,在對基本要素的評估
過程中,需要充分考慮業務戰略、資產價值、安全需求、安全事件、殘餘風險等與這些基本要
素相關的各類屬性。
圖1中的風險要素及屬性之間存在著以下關係:
a)業務戰略的實現對資產具有依賴性,依賴程度越高,要求其風險越小;
b)資產是有價值的,組織的業務戰略對資產的依賴程度越高,資產價值就越大;
c)風險是由威脅引發的,資產面臨的威脅越多則風險越大,並可能演變成為安全事件;
d)資產的脆弱性可能暴露資產的價值,資產具有的弱點越多則風險越大;
e)脆弱性是未被滿足的安全需求,威脅利用脆弱性危害資產;
f)風險的存在及對風險的認識匯出安全需求;
g)安全需求可通過安全措施得以滿足,需要結合資產價值考慮實施成本;
h)安全措施可抵禦威脅,降低風險;
i)殘餘風險有些是安全措施不當或無效,需要加強才可控制的風險;而有些則是在綜合考慮了安全
成本與效益後不去控制的風險;
j)殘餘風險應受到密切監視,它可能會在將來誘發新的安全事件。
風險分析原理
風險分析原理如圖2所示:
風險分析中要涉及資產、威脅、脆弱性三個基本要素。每個要素有各自的屬性,資產的屬性是資產
價值;威脅的屬性可以是威脅主體、影響物件、出現頻率、動機等;脆弱性的屬性是資產弱點的嚴重程
度。風險分析的主要內容為:
a)對資產進行識別,並對資產的價值進行賦值;
b)對威脅進行識別,描述威脅的屬性,並對威脅出現的頻率賦值;
c)對脆弱性進行識別,並對具體資產的脆弱性的嚴重程度賦值;
d)根據威脅及威脅利用脆弱性的難易程度判斷安全事件發生的可能性;
e)根據脆弱性的嚴重程度及安全事件所作用的資產的價值計算安全事件的損失;
f) 根據安全事件發生的可能性以及安全事件出現後的損失,計算安全事件一旦發生對組織的影響,
即風險值。
風險評估流程總結
風險評估重在對客戶存在的風險進行評估,發現隱患和危險之處。風險評估的流程究竟如何,聽在下一一道來。1 風險評估準備工作。這個準備工作很重要,主要是評估方與被評估方之間的準備。評估方需要安排人員,安排時間,安排工作內容,安排住宿,提前預定飛機票或者火車票,預定酒店。而被評估方則需要準備一些評估資料,安...
軟體測試風險評估分析
眾所周知,軟體測試是把控軟體質量的重要防線,但軟體測試過程中也會存在潛在的風險。軟體測試的風險是指軟體測試過程出現的或潛在的問題。造成的原因主要是 測試計畫不充分 測試方法有誤 測試過程偏離,造成測試的補充以及結果不準確 測試的不成功導致產品交付潛藏著問題,一旦在執行時爆發就會帶來巨大的商業風險。軟...
MyBatis框架及原理分析
封裝jdbc操作 利用反射打通j a類與sql語句之間的相互轉換 mybatis的主要設計目的就是讓我們對執行sql語句時對輸入輸出的資料管理更加方便,所以方便地寫出sql和方便地獲取sql的執行結果才是mybatis的核心競爭力。mybatis的配置 mybatis框架和其他絕大部分框架一樣,需要...