论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 4 篇帖子 ] 
作者 内容
 文章标题 : 请教关于威胁频率的赋值,是否应考虑其他因素
帖子发表于 : 2011-06-22 09:36 
离线
新手

注册: 2011-01-28 09:34
最近: 2012-11-03 15:15
拥有: 57.00 安全币

奖励: 0 安全币
在线: 343 点
帖子: 18
资料上评估威胁出现的频率时要求从以下三个方面出发:
1 以往安全事件报告中出现过的威胁及其频率的统计;
2 实际环境中通过检测工具及各种日志发现的威胁及其频率统计;
3 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,及发布的威胁预警。
那么我的理解是在赋值威胁频率时,仅考虑行业及组织自身的威胁频率,而不考虑漏洞、控制措施效果等因素,即独立识别威胁频率。

但是在吴亚非编写的《信息安全风险评估》一书中写:威胁识别要从威胁源、事件发生后对信息资产的影响程度、事件发生可能性等多方面来识别。并且对威胁的赋值是威胁来源值和影响程度值的总和。
谢宗晓系列的书都是对于威胁频率的独立赋值。

针对以上的情况,是否可以理解为风险评估的方法不同导致。那么如果按照谢宗晓书籍上的方法,在后续的工作中会识别暴露等级、控制措施有效性,是不是在威胁这一步评估威胁的频率时就应该抛开其他因素?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教关于威胁频率的赋值,是否应考虑其他因素
帖子发表于 : 2011-06-22 10:28 
离线
初级用户

注册: 2009-03-05 21:27
最近: 2014-05-08 10:33
拥有: 799.30 安全币

奖励: 999 安全币
在线: 747 点
帖子: 58
个人觉得如果只计算威胁发生的频率,做独立赋值就可以了,不用评估威胁发生后果因为那是风险计算的范畴。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教关于威胁频率的赋值,是否应考虑其他因素
帖子发表于 : 2011-06-22 15:28 
离线
新手

注册: 2011-01-28 09:34
最近: 2012-11-03 15:15
拥有: 57.00 安全币

奖励: 0 安全币
在线: 343 点
帖子: 18
再问个问题:威胁的可能性和威胁发生的频率是不是一个概念,有什么不同吗?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教关于威胁频率的赋值,是否应考虑其他因素
帖子发表于 : 2011-06-22 16:52 
离线
初级用户

注册: 2009-03-05 21:27
最近: 2014-05-08 10:33
拥有: 799.30 安全币

奖励: 999 安全币
在线: 747 点
帖子: 58
aimier579 写道:
再问个问题:威胁的可能性和威胁发生的频率是不是一个概念,有什么不同吗?

可能性从小到大可以是1-5(打比方),频率是年/月/周/田发生n次


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 4 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012