表格 2-5危害级别定义
在进行影响分析时,应该考虑定性和定量评估的优缺点。定性影响分析的优点是它对风险进行排序并对那些需要立即改善的环节进行标识。定性影响分析的缺点是它没有对影响大小给出具体的定量度量,因此使得对控制进行成本收益分析很困难。
定量影响分析的主要优点是它对影响大小给出了一个度量,它可以用在对控制进行的成本收益分析中。缺点是它依赖于用来表示度量的数字范围,定量影响分析的方法可能不清楚,可能还要将结果转换成定性方式。在确定影响大小时还经常要考虑其它因素,这些因素包括但不限于以下:
- 对威胁源在一段时间内(比如一年)攻击弱点的频率的估计
- 每次威胁源攻击弱点的一个近似成本
- 基于对具体威胁攻击具体弱点的相对影响的主观分析给出的加权因素。
步骤六的输出--影响大小(高、中或低)
2.7 步骤七:风险确定
这一步的目的是评估IT系统的风险级别。针对特定威胁/弱点对风险的确定可以表示为以下参数的一个函数:
- 给定的威胁源试图攻击一个给定系统弱点的可能性
- 如果一个威胁源成功攻击了这个系统弱点后所造成危害的大小
- 计划或现有的安全控制降低或消除风险充分性
为了度量风险,必须制定一个风险尺度和风险级别矩阵。2.7.1节中给出了一个标准的风险级别矩阵;2.7.2节描述了风险级别。
2.7.1风险级别矩阵
将威胁可能性等级(比如概率)乘以威胁影响就得出了对最终的使命风险。表2-6显示了如何根据威胁可能性和威胁影响确定总的风险等级。下面是一个关于威胁可能性(高、中、低)和威胁影响(高、中、低)的3×3的矩阵。取决于现场要求和风险评估要求的粒度,有些情况下可能使用一个4×4或5×5的矩阵,后者可以包括一个很低/很高的威胁可能性和一个很低/很高的威胁影响,从而产生一个很低/狠高的风险级别。"很高"的风险级别可能要求系统关机或停止所有的IT系统集成和测试工作。
表2-6中的矩阵样例描述了一个高、中、或低的总体风险级别是如何产生的。这种风险级别或等级的确定可能是主观性的。这种判断的基本原理可以用分配到每个威胁可能性级别上的概率和对每个影响级别所赋的值来解释。比如:
- 赋给每个威胁可能性级别的概率为1.0时表示高,0.5表示中,0.1表示低
- 赋给每个影响级别的值为100时表示高,50表示中,10表示低
表格 2-6风险等级矩阵
风险尺度:高(100-50);中(50-10);低(1-10)
2.7.2 风险级别描述
表2-7描述了上述矩阵中的风险级别。这种表示为高、中、低的风险尺度代表了如果给定弱点被攻击时,IT系统、设施、或流程可能暴露的风险程度或级别。风险尺度也表示了高级管理人员和系统所有者对每种风险级别必须采取的行动。
表格 2-7风险尺度和必要行动
步骤七的输出--风险级别(高、中、低)
