减小字体
增大字体- ·上一篇文章:风险评估 让安全尽在掌握(基于主机篇)
- ·下一篇文章:风险评估的基本过程-识别并评估威胁
风险评估的基本过程-识别并评估弱点
风险评估的基本过程-识别并评估弱点
光有威胁还构不成风险,威胁只有利用了特定的弱点才可能对资产造成影响,所以,组
织应该针对每一项需要保护的信息资产,找到可被威胁利用的弱点。常见的弱点有三类:
识别弱点的途径有很多,包括各种审计报告、事件报告、安全复查报告、系统测试及评
编程漏洞。
中的不良习惯,审计或备份的缺乏。
估报告等,还可以利用专业机构发布的列表信息,当然,许多技术性和操作性弱点,可以借
助自动化的漏洞扫描工具和渗透测试等方法来识别和评估。
评估弱点时需要考虑两个因素,一个是弱点的严重程度(Severity),另一个是弱点的暴
露程度(Exposure),即被利用的容易程度,当然,这两个因素也可以用“高”、“中”、“低”三个等级来衡量。
需要注意的是,弱点是威胁发生的直接条件,如果资产没有弱点或者弱点很轻微,威胁
源就很难利用其损害资产,哪怕它的能力多高动机多么强烈。
