一、威胁和脆弱性之间的关系
| 威胁主体 | 可能利用的脆弱性 | 导致的风险 |
|---|---|---|
| 恶意软件 | 缺少防病毒软件 | 病毒感染 |
| 黑客 | 服务器上运行的功能强大的服务 | 对机密信息的未授权访问 |
| 用户 | 操作系统中配置错误的参数 | 系统故障 |
| 火灾 | 缺少灭火器材 | 设施和计算机受到破坏,可能付出生命代价 |
| 雇员 | 缺少训练或实施标准 缺少审计 |
共享至关重要的信息 在数据处理应用程序中更改输入和输出 |
| 承包商 | 松懈的访问控制机制 | 窃取商业秘密 |
| 攻击者 | 编写较差的应用程序 缺少严格的防火墙设置 |
造成缓冲区溢出 进行拒绝服务攻击 |
| 入侵者 | 缺少保安 | 打破窗户,盗窃计算机和设备 |
二、如何使用SLE和ALE进行风险分析
| 资产 | 威胁 | 单一损失预期(SLE) | 年发生比率(ARO) | 年度损失预期(ALE) |
|---|---|---|---|---|
| 设施 | 火灾 | 230 000 美元 | 0.1 | 23 000 美元 |
| 商业秘密 | 盗窃 | 40 000 美元 | 0.01 | 400 美元 |
| 文件服务器 | 故障 | 11 500 美元 | 0.1 | 1150 美元 |
| 数据 | 病毒 | 6500 美元 | 1.0 | 6500 美元 |
| 客户信用卡信息 | 盗窃 | 300 000 美元 | 3.0 | 900 000 美元 |
