论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 3 篇帖子 ] 
作者 内容
 文章标题 : 关于威胁出现的频率?
帖子发表于 : 2011-08-02 09:20 
离线
新手

注册: 2010-10-15 22:19
最近: 2013-06-26 20:06
拥有: 586.00 安全币

奖励: 0 安全币
在线: 723 点
帖子: 18
初学风险评估,GB20984里计算风险考虑到资产价值和威胁出现的频率,但我在这块纠结了,个人认为资产价值和威胁出现频率也是存在某种关联,比如说一个普通的小网站和美国五角大楼的网站相比,资产的价值肯定不一样,而五角大楼网站由于资产价值较高,必然会增加其威胁出现的频率(比如说每天吸引着无数的黑客尝试入侵),倘若这样的话,风险计算模型的各个元素就无法独立,那计算出的风险值也就不能体现出真正的风险,恳请各位解惑!


--------本帖迄今已累计获得20安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于威胁出现的频率?
帖子发表于 : 2011-08-04 13:48 
离线
初级用户

注册: 2006-10-20 13:50
最近: 2012-04-13 11:57
拥有: 470.00 安全币

奖励: 11 安全币
在线: 530 点
帖子: 33
风险评估的方法不同导致算法也是各有差异。但是资产价值,威胁和脆弱性是要考虑的
当然有些方法论也把现有的控制措施放在里面一起计算
其中威胁和脆弱性在评估时,是用来计算风险等级,包括威胁的频率,脆弱性中关于是否有适当的控制措施
但这些并不能把资产的价值抛开, 但是怎么样体现资产的价值呢?一般常见的就是给资产的CIA赋值。有根据重要性的 有根据影响的 也有根据不同性质的资产 单独赋值的(如物理资产影响的FTE,购买重新获得需要的成本 等等)
把一个资产放在一个经常出现的威胁环境下, 且脆弱性又没有特别好的管控,自然这个资产面临的风险也就很高,如果恰好这个资产优势重要资产,那它对公司来说就是一个迫切需要解决的点,需要出现在你的风险处理报告上。


--------本帖迄今已累计获得40安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于威胁出现的频率?
帖子发表于 : 2011-08-08 15:24 
离线
高级用户

注册: 2011-01-17 09:26
最近: 2015-10-16 17:01
拥有: 1,342.00 安全币

奖励: 1084 安全币
在线: 296 点
帖子: 174
地址: 杭州
没啥,都换算成钱就可以比较了。


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 3 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012